Dokumentation1.3. Benutzerprofilsicherheit
Wenn ein neuer Benutzer erstellt wird, erstellt das Dienstprogramm adduser ein brandneues Home-Verzeichnis mit dem Namen /home/Benutzername. Das Standardprofil orientiert sich an den Inhalten im Verzeichnis von / etc / skel, das alle Profilgrundlagen enthält.
Wenn Ihr Server mehrere Benutzer beherbergt, sollten Sie den Berechtigungen des Benutzer-Home-Verzeichnisses große Aufmerksamkeit schenken, um die Vertraulichkeit zu gewährleisten. Standardmäßig werden Benutzer-Home-Verzeichnisse in Ubuntu mit weltweiten Lese-/Ausführungsberechtigungen erstellt. Dies bedeutet, dass alle Benutzer die Inhalte der Home-Verzeichnisse anderer Benutzer durchsuchen und darauf zugreifen können. Dies ist möglicherweise nicht für Ihre Umgebung geeignet.
• Um die Berechtigungen Ihres aktuellen Benutzer-Home-Verzeichnisses zu überprüfen, verwenden Sie die folgende Syntax:
ls -ld /home/Benutzername
Die folgende Ausgabe zeigt, dass das Verzeichnis /home/Benutzername verfügt über weltweit lesbare Berechtigungen:
drwxr-xr-x 2 Benutzername Benutzername 4096 2007-10-02 20:03 Benutzername
• Sie können die weltweit lesbaren Berechtigungen mithilfe der folgenden Syntax entfernen:
sudo chmod 0750 /home/Benutzername
Manche Leute neigen dazu, die rekursive Option (-R) wahllos zu verwenden, wodurch alle untergeordneten Ordner und Dateien geändert werden. Dies ist jedoch nicht notwendig und kann zu anderen unerwünschten Ergebnissen führen. Das übergeordnete Verzeichnis allein reicht aus, um unbefugten Zugriff auf alles unterhalb des übergeordneten Verzeichnisses zu verhindern.
Eine viel effizientere Herangehensweise wäre, die globalen Standardberechtigungen von adduser beim Erstellen von Benutzer-Home-Ordnern zu ändern. Bearbeiten Sie einfach die Datei /etc/adduser.conf und ändern Sie die DIR_MODE Variable auf etwas Passendes setzen, damit alle neuen Home-Verzeichnisse die richtigen Berechtigungen erhalten.
DIR_MODE=0750
• Nachdem Sie die Verzeichnisberechtigungen mithilfe einer der zuvor genannten Techniken korrigiert haben, überprüfen Sie die Ergebnisse mithilfe der folgenden Syntax:
ls -ld /home/Benutzername
Die folgenden Ergebnisse zeigen, dass weltweit lesbare Berechtigungen entfernt wurden:
drwxr-x--- 2 Benutzername Benutzername 4096 2007-10-02 20:03 Benutzername