Как обеспечить создание для всех новых пользовательских домашних каталогов без прав на чтение в Linux

Если вы администрируете сервер Linux, скорее всего, этот сервер может использоваться многочисленными пользователями.

Фактически, вы, вероятно, сами создали этих пользователей.

Или, возможно, другой администратор создал пользователей.

В любом случае, вероятно, есть несколько пользователей, работающих на сервере, каждый из которых имеет свой собственный домашний каталог.

Дело в том, что когда эти домашние каталоги были инициализированы, скорее всего, они были созданы с разрешениями, доступными для чтения.

Это означает, что кто-либо на сервере может читать содержимое файлов других пользователей.

Хотя они, возможно, не смогут редактировать эти файлы, они все равно могут их прочитать.

Для некоторых компаний это может считаться проблемой безопасности.

Если это так, что вы сделаете?

Если пользователи уже созданы, вы должны вручную удалить разрешающие мир разрешения с помощью команды, например:

 # sudo chmod 0750 /home/USER 

Где USER – это имя фактического пользователя.

Но вы не хотите продолжать делать это, двигаясь вперед, так как это будет пустой тратой вашего драгоценного времени.

Вместо этого, почему бы вам не настроить систему, чтобы каждый раз, когда вы создаете нового пользователя, домашний каталог пользователя будет создан без прав на чтение.

Я собираюсь продемонстрировать, как это сделать на Ubuntu Server 18.04, но процесс тот же почти для всех дистрибутивов Linux

Что вам понадобится

Все просто. Вам понадобится рабочий дистрибутив Linux, учетная запись с привилегиями sudo и ваш любимый текстовый редактор (мой – nano).

Adduser.conf

При создании нового пользователя с помощью команды adduser значения по умолчанию для пользователя выводятся из файла /etc/adduser.conf.

Из-за этого мы собираемся внести изменения в файл, так что каждый добавленный новый домашний каталог пользователя будет выполнен без прав на чтение.

Для этого откройте этот файл командой sudo nano /etc/adduser.conf (замените nano на ваш любимый текстовый редактор).

Открыв этот файл, найдите строку DIR_MODE.

Значение по умолчанию для этой строки будет:

 DIR_MODE = 0755 

Это то, что отвечает за предоставление домашнему каталогу нового пользователя разрешения, которого мы не хотим.

Измените эту строку на:

 DIR_MODE = 0750

 

 

Сохраните и закройте этот файл. Теперь запустите команду:

 # sudo adduser USERNAME 

 

 

Где USERNAME – это имя нового имени пользователя, которое нужно добавить.

Пройдите вопросы по добавлению пользователя

Figure A

Как только пользователь будет создан, выпустите команду ls -l / home, чтобы увидеть, что новый пользователь был создан без глобальных прав r

Figure B

С этого момента каждый новый пользователь будет создан с более безопасным домашним каталогом.

Без разрешений sudo пользователи не смогут просматривать содержимое этих домашних каталогов.

Конечно, используя sudo, пользователи могут просматривать содержимое других домашних каталогов, поэтому не предоставлять стандартным пользователям привилегии sudo могут быть политикой, которую вы хотите рассмотреть.

Хорошей новостью является то, что создание новых пользователей с помощью команды adduser автоматически не добавляет их в группу sudo.

Так что это не должно быть проблемой.

Наслаждайтесь дополнительной безопасностью

Благодаря этой новой конфигурации ваши пользователи могут быть уверены, что ни один другой стандартный пользователь не сможет просматривать содержимое своих домашних папок.

Для любой системы Linux, в которой есть несколько пользователей, которые входят в систему и работают, это может считаться обязательным для администраторов.

Наслаждайтесь этим добавленным уровнем безопасности.

 



2018-06-15T14:08:10
Закрытие уязвимостей