Чому існують дозволи за замовчуванням для / media / username root: root?

Я налагоджені дозволу на /media/usernameвід root:rootдо username:root[1]. Я розумію, що орієнтоване на користувача розташування дозволяє дозволити, орієнтовані на користувача [2].

Але чому root:rootв першу чергу були дозволи на цю папку ?

[1] Щоб я міг монтувати там зашифровані папки за допомогою Gnome EncFS Manager. Наприклад, я можу зараз змонтувати зашифровану папку як /media/username/personal-documents.

[2] Звідки Ubuntu перемістив точки монтажу за замовчуванням? :

Першопричина цієї зміни поведінки за замовчуванням у udisks2 видається зрозумілою: безпека. Безпечніше обмежувати доступ до файлової системи одним конкретним користувачем, а не надавати доступ до неї всім користувачам системи.

У моєму випадку так виглядають речі /media:

$ ls -l /media | grep $USER
drwxr-x---+  3 root root 4096 Jan 22 15:59 oli

В основному це означає, що з каталогом може взаємодіяти лише користувач root. Це чудово для безпеки (звичайно, зупиняє інших користувачів бачити, не кажучи вже про крадіжку / видалення / зміну даних), але на цьому справа не закінчується.

Ви можете помітити знак плюс в кінці маски дозволу. Це означає, що використовується ACL (Список контролю доступу). Це дозволяє отримати більш детальні дозволи.

$ getfacl /media/$USER
getfacl: Removing leading '/' from absolute path names
# file: media/oli
# owner: root
# group: root
user::rwx
user:oli:r-x
group::---
mask::r-x
other::---

Це через ACL, коли мій користувач може переглядати вміст /media/oli. Мені все ще не дозволено редагувати вміст.

Те, що робить монтаж на сучасних настільних комп’ютерах (і Gnome, і KDE) udisks2:

root      2882  0.3  0.0 195956  4048 ?        Sl   Jan16  30:35 /usr/lib/udisks/udisks-daemon
root      2887  0.0  0.0  47844   784 ?        S    Jan16   0:00 udisks-daemon: not polling any devices
root      3386  0.0  0.0 429148  6980 ?        Sl   Jan16   7:35 /usr/lib/udisks2/udisksd --no-debug

Як бачимо, він працює там як root, тому коли щось звертається до нього через DBUS, він може створити точки монтажу в / home / $ USER і подати їх користувачеві, щоб вони могли редагувати вміст.

Ніщо з цього не змінює те, про що я говорив спочатку. Я просто пояснюю, як це працює на практиці. Ось як-то на вашому робочому столі фактично дозволяється писати кудись, що дозволено тільки root, і як ваш користувач може читати це, незважаючи на обмеження права власності.

Все це перетворює його в середовище, захищене для даних користувача, але таке, що також ускладнює користувач важко втручатися в тканину кріплення. Наприклад, вони не можуть видалити точку монтажу або перейменувати її, що може спричинити проблеми, якщо вони не матимуть root доступу.

Редагувати : Щось мені щойно спало на думку, це те, що воно також дає адміністратору гарне місце для монтажу речей для одного користувача. Дозвіли за замовчуванням допомагають зберегти це кріплення та захистити його від втручання користувача. Здається, що за умовчанням досить розумним є те, що для /media/$user/каталогу, що робиться без каталогу, потрібні дозволи root.

Я погоджуюся з іншою відповіддю та коментарями на додаток до цього

root:rootуникати переважно двох ситуацій.
1. Ризик безпеки: хакерський скрипт, який скидає / dev / zero до / media / user /, який заповнює кореневий розділ і, отже, не може увійти або погана продуктивність.
2. Конфлікт з udisk2: Припустимо розділ із резервною копією мітки . Удіски монтують його @ / media / user / backup. Користувач вручну створив вищевказаний каталог, який змусить udisk змінити точку монтажу на щось на кшталт / media / user / backup1 і таким чином ввести в оману сценарії резервного копіювання тощо.

У менталітеті Linux (і * nix) взагалі базується на принципі Least amount of necessary privileges.

Зазвичай сучасні Desktop Environmentsзмонтують ваші пристрої під /media/username/devicepartitionname. Це означає, що для використання пристрою потрібно мати лише devicepartitionnameпапку та все, що знаходиться під нею. Це означає, що ваша папка /media/usernameдосі може бути власником root, і це зробить її більш безпечною.

Також монтувати що-небудь на /media/username- це погана ідея, оскільки це зробить вашу DEспробу встановити розділ у папку на іншому змонтованому розділі, що може призвести до багато !! (також можлива втрата даних).