From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on sa.local.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-4.3 required=5.0 tests=ALL_TRUSTED,BAYES_00, HEADER_FROM_DIFFERENT_DOMAINS,RP_MATCHES_RCVD autolearn=unavailable autolearn_force=no version=3.4.1 Date: Wed, 9 Dec 2020 02:56:33 +0300 From: "Alexey V. Vissarionov" To: ALT Linux Team development discussions Message-ID: <20201208235633.GD21271@altlinux.org> References: <20201208165429.4d81fa81@sem-notebook.localdomain> MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: Subject: Re: [devel] default umask X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 08 Dec 2020 23:56:37 -0000 Archived-At: List-Archive: List-Post: On 2020-12-08 17:38:32 +0300, Stanislav Levin wrote: >>> В рамках https://www.openwall.com/lists/oss-security/2020/10/07/4 >>> хочу поинтересоваться почему у нас по умолчанию umask 0022 >>> (/etc/profile)? Какие-то исторические проблемы совместимости? >> А что не так с таким umask? Хорошее умолчание для большинства >> файлов. По ссылке же речь о правах на домашние каталоги, которые >> регулируются как раз UMASK в login.defs. > По ссылке речь о пермишенах для хомяк и дефолтном umask. Это (как, надеюсь, до сих пор говорят в Одессе) "две большие разницы". > 1) проблема в том, что есть приложения, которые надеются на > umask по умолчанию и не выставляют должные пермишены или не > меняют umask перед созданием файлов/директорий, создавая > возможность получить доступ к информации третьих лиц. Эти приложения делают абсолютно правильно - они делегируют принятие решения админу, а не пытаются думать за него. А в тех редчайших случаях, когда права на каталог должны быть 0700, а на файл 0600, вполне можно передать системному вызову open() третий параметр. Я про int open(const char *pathname, int flags, mode_t mode); > 2) пользователи могут и не догадываться, что их домашняя > директория Директории были у Наполеона, Петлюры и еще кого-то из малоуважаемых персонажей. А в файловой системе все же каталоги. > доступна для перехода, при этом пользуясь дефолтным umask, > подвергают опасности свою информацию. Это опять же забота админа. Например, на некоторых моих серверах домашним каталогам пользователей выставлены права 0701 - угадаешь, что это за серверы? :-) > Поэтому и возник вопрос, а что мешает поставить 077. Ничего не мешает. И любой уважающий себя админ настраивает систему под свои местные нужды. Что касается значения по умолчанию - действительно, лучше выставить 077 и опять-таки спихнуть дальнейшую настройку на админа. >>> Спрашиваю, потому что как минимум один альтовый скрипт >>> ставит UMASK 076 в login.defs. >> По умолчанию у нас 077 и это хорошо. > Тут вопросов-то и нет. И этого в общем-то достаточно. -- Alexey V. Vissarionov gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net