Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Persoonlijke map in Ubuntu wordt standaard onleesbaar voor nieuwe accounts

De home directories van nieuwe accounts in Ubuntu zijn vanaf versie 21.04 niet langer world-readable. Dit betekent dat bij het aanmaken van een nieuw account, de bestanden in de home directory van dit account niet langer leesbaar en uitvoerbaar zijn door andere accounts.

Alex Murray, security tech lead bij Ubuntu, legt op de Ubuntu-site uit dat het standaard world-readable maken van nieuwe accounts niet meer van deze tijd is. Deze functie was volgens Murray vroeger handig, toen computers gedeeld werden door meerdere mensen die graag eenvoudig bestanden met elkaar zouden willen delen. Inmiddels zou een aanzienlijk deel van de Ubuntu-computers in de cloud- en serversector gebruikt worden. Bij deze computers is er vaak sprake van een adminaccount en meerdere niet-admin gebruikersaccounts. In deze situatie is deze functie eerder een footgun die voor beveiligingsissues kan zorgen. Zo heeft een cybercrimineel bij zo'n computer eenvoudiger toegang tot gevoelige data die in de andere persoonlijke mappen aanwezig kan zijn.

Daarom heeft Murray het /etc/adduser.conf-bestand aangepast, waarbij DIR_MODE=0755 wordt vervangen door DIR_MODE=0750. Daardoor zijn de bestanden in de persoonlijke folder van nieuwe accounts die via adduser worden toegevoegd, niet meer standaard te lezen en uit te voeren door de andere gebruikers. Ook bij het aanmaken van een account op een nieuw systeem wordt de persoonlijke map ontoegankelijk gemaakt voor nog aan te maken gebruikers.

De aangepaste instelling komt via de 21.04-Hirsute Hippo-update naar Ubuntu, waarvan de final release voor 22 april gepland staat. Bestaande accounts worden door de update niet veranderd, bestanden in de persoonlijke map van deze accounts zijn dus nog steeds te gebruiken door andere accounts, tenzij eerder aangepast.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Hayte Hugo

Nieuwsposter

13-01-2021 • 21:31

93 Linkedin

Submitter: TheVivaldi

Reacties (93)

Wijzig sortering
Voor de mensen die vaak "sudo" vergeten voor een commando en dan, net als ik, gefrustreerd raken dat je allemaal moeite moet doen om 'pijltje-omhoog, home, "sudo" typen, en dan op enter moet drukken, is er natuurlijk ook het "please" alias:

alias please='sudo "$BASH" -c "$(history -p !!)"'

Bijv.

# apt install foobar
> Nee mag niet fout.
# please
> okay.....
Ik zou daar mee uitkijken. Als je items in je ~/.local/bin of ~/bin hebt worden die ook niet meer uitvoerbaar (voor other, dus moet je jezelf sowieso achter de oren krabben waarom je dat niet in /usr/local/bin hebt staan bijvoorbeeld). Beter los je dit met find op:

sudo find /home -type d -maxdepth 1 -exec chmod o-rwx {} \;

Trouwens, jouw shellcode pakt alles in de home directory, niet de home directory/directories zelf.

[Reactie gewijzigd door sfranken op 13 januari 2021 22:07]

Nee sudo is voor shared systemen waar sommige gebruikers bepaalde commando's als root kunnen uitvoeren zonder dat ze daarvoor het root wachtwoord voor hoeven weten. Je bent er toch niet zo'n een die elke dag 500 keer sudo voor een commando typt? Doe gewoon gelijk sudo -i. Werken als root is helemaal geen no-go. Ik ken in mijn 10 jaar ervaring als Linux systems expert niemand die overal sudo voor typt. Het beschermt je nergens extra voor als je toch al alles mag met sudo.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True