Downsides d'umask 077?

Quels sont les inconvénients, pour avoir un umask ressortingctif de 077? Beaucoup de dissortingbutions (je crois que tous, sauf Red Hat?) Ont un umask par défaut de 022, configuré dans / etc / profile. Cela semble trop peu sûr pour un système non-bureau, auquel plusieurs users accèdent, et la security est préoccupante.

Sur une note connexe, sur Ubuntu, les directorys de départ des users sont également créés avec des permissions 755, et le programme d'installation indique que cela facilite le partage des files par les users. En supposant que les users sont à l'aise de définir les permissions à la main pour faire des files partagés, ce n'est pas un problème.

Quels autres inconvénients y a-t-il?

022 rend les choses pratiques. 077 rend les choses less pratiques, mais en fonction des circonstances et du profil d'utilisation, cela peut ne pas être less pratique que d'avoir à utiliser sudo .

Je dirais que, comme sudo , le bénéfice de security réel et mesurable que vous obtenez est négligeable par rapport au niveau de douleur que vous infligez à vous-même et à vos users. En tant que consultant, j'ai été méprisé pour mon sharepoint vue sur sudo et mis au défi de briser de nombreuses configurations sudo , et je n'ai pas encore pris plus de 15 secondes pour le faire. Ton appel.

Connaître umask est bon, mais c'est juste un seul flocon de maïs dans le «petit-déjeuner complet». Peut-être que tu devrais te requestr: "Avant de partir avec des configs par défaut, dont la cohérence devra être maintenue à travers les installations, et qui devront être documentées et justifiées pour les gens qui ne sont pas sombres, qu'est-ce que ça va acheter moi?"

Umask est aussi un bash embedded qui peut être paramétré par les users individuels dans leurs files d'initialisation shell ( ~/.bash* ), donc vous ne pouvez pas forcer facilement l' umask . C'est juste un défaut. En d'autres termes, ça ne vous achète pas beaucoup.

L'inconvénient le plus évident est lorsque vous commencez à créer des files / directorys dans un directory partagé, en attendant que les autres users y accèdent.

Bien sûr, il ne s'agit que de ne pas oublier de définir le bon umask avant de faire des choses qui doivent être partagées par tous les users.

Une autre mise en garde (pas vraiment un inconvénient, une fois que vous êtes au courant) est quand vous commencez à faire des trucs sudo tels que l'installation de programmes locaux, des gemmes ruby, des œufs de python.

Vous rencontrerez des problèmes car l'umask est hérité par la session sudo, donc seul root pourra accéder aux files / directorys que vous créez. sudo peut être configuré pour configurer automatiquement l'umask comme vous le souhaitez: cette question est traitée sur superuser.com .

Umask ne serait pas approprié si vous essayez de contrôler ce que les autres users peuvent voir les uns des autres. Cependant, si vous avez de nombreux files qui sont sensibles au fait que la permission d'y accéder soit less gênante / risquée que de laisser les gens voir ce qu'ils veulent, un umask de 077 serait une bonne idée.

J'ai quelques files sensibles sur un server de files que je gère. Je pense que définir un umask ressortingctif puis avoir un script périodique, peut-être un travail cron pour définir des permissions plus spécifiques aux éléments dans certains dossiers serait une solution idéale pour moi. Quand je mettrai cela en place, je le postrai ici, et je vous dirai comment cela a fonctionné.

@ [Les gars bashing sudo] Commencer un nouveau fil pour lui, il pourrait prendre plusieurs threads de son propre et ce fil est sur umask.

J'ai cette ligne dans mon ~/.zshrc

 umask 0077 

le définir globalement n'est probablement pas une bonne idée, mais le définir comme file par défaut dans votre file rc ne fera probablement pas mal ou même le définir comme file par défaut dans le file /etc/skel/.rc . tout le système causera des problèmes cependant.