Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Persoonlijke map in Ubuntu wordt standaard onleesbaar voor nieuwe accounts

De home directories van nieuwe accounts in Ubuntu zijn vanaf versie 21.04 niet langer world-readable. Dit betekent dat bij het aanmaken van een nieuw account, de bestanden in de home directory van dit account niet langer leesbaar en uitvoerbaar zijn door andere accounts.

Alex Murray, security tech lead bij Ubuntu, legt op de Ubuntu-site uit dat het standaard world-readable maken van nieuwe accounts niet meer van deze tijd is. Deze functie was volgens Murray vroeger handig, toen computers gedeeld werden door meerdere mensen die graag eenvoudig bestanden met elkaar zouden willen delen. Inmiddels zou een aanzienlijk deel van de Ubuntu-computers in de cloud- en serversector gebruikt worden. Bij deze computers is er vaak sprake van een adminaccount en meerdere niet-admin gebruikersaccounts. In deze situatie is deze functie eerder een footgun die voor beveiligingsissues kan zorgen. Zo heeft een cybercrimineel bij zo'n computer eenvoudiger toegang tot gevoelige data die in de andere persoonlijke mappen aanwezig kan zijn.

Daarom heeft Murray het /etc/adduser.conf-bestand aangepast, waarbij DIR_MODE=0755 wordt vervangen door DIR_MODE=0750. Daardoor zijn de bestanden in de persoonlijke folder van nieuwe accounts die via adduser worden toegevoegd, niet meer standaard te lezen en uit te voeren door de andere gebruikers. Ook bij het aanmaken van een account op een nieuw systeem wordt de persoonlijke map ontoegankelijk gemaakt voor nog aan te maken gebruikers.

De aangepaste instelling komt via de 21.04-Hirsute Hippo-update naar Ubuntu, waarvan de final release voor 22 april gepland staat. Bestaande accounts worden door de update niet veranderd, bestanden in de persoonlijke map van deze accounts zijn dus nog steeds te gebruiken door andere accounts, tenzij eerder aangepast.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Hayte Hugo

Nieuwsposter

13-01-2021 • 21:31

93 Linkedin

Submitter: TheVivaldi

Reacties (93)

Wijzig sortering
:? ACL op linux is een drama want ?
cp -a kopieert dan weer helaas niet file capabilities ( https://www.insecure.ws/linux/getcap_setcap.html ), schijnbaar een bug ( https://lists.gnu.org/arc...ils/2010-04/msg00105.html ), maar die "fix" zit niet in Ubuntu 18?
Resultaat: brak systeem na mergen van 2 file systemen.Kwam ik ook pas achteraf achter :/
Nu is dat op Windows ook niet zo 1-2-3 makkelijk (en op linux makkelijker denk ik), maar "robocopy" werkt verbazend goed (helaas, ook lang documentatie in duiken).

Zeker smaak en voorkeur.

Windows met allerlei verschillende share technologie vind ik ook raar. Ik gebruik gewoon advanced sharing en ben er altijd blij mee geweest.
Maarja alle troep en fouten die ook in Windows aanwezig zijn.. voor mij is de keuze dus: shiny corporate shit A, shiny open source shit B 😂

[Reactie gewijzigd door grasmanek94 op 14 januari 2021 14:15]

Ik denk dat de meeste mensen sowieso niet verder komen dan de normale Linux permissions. En dat 0777 de meeste gebruikte permissie is.
En dit is voor mij de reden dat ik vaak linux gewoon vervelend vind om mee te werken tenzij ik echt maar 1 doel hebt op een linux server en er nooit meer aan hoef te komen nadat ik alles aan de gang heb gekregen.

Het uitzoeken en oplossen kost zo veel meer tijd en dan is het misschien vast heel veilig en geweldig en fanatisch maar ik heb wel wat beters te doen.
Ik ga dat commando meteen eens testen op mijn systeem! :*)
(mooi aangetoond trouwens dat sudo vooral een vals gevoel van veiligheid is....)

[Reactie gewijzigd door Bigjim80 op 14 januari 2021 09:30]

Save je eerst in de user home-directory, daarna via su kopieren en root flags eraan geven.
Maar irritant is het wel ja...
Je bent er toch niet zo'n een die elke dag 500 keer sudo voor een commando typt?
Ik wel. Gaat ook eigenlijk automatisch. Zowel prive als professioneel ben ik vrijwel nooit root. Beetje oldschool wellicht, ben in 1998 begonnen :9
Ik zou gek worden om voor iedere sudo door 2FA te lopen ;)
Volgens mij (in mijn herinnering) gaan ACL's niet mee in een TARfile. En ook over nfs gaat het niet altijd goed. Ik weiger ACL's te gebruiken. te veel nét niet.
Als je een standaard install hebt voldoet locate ook, alleen gaat ie dan op vrijdagmiddag 16:00 die index zitten updaten. :+
Dat upgrade probleem is de oude Windows DLL hell. De logische oplossing is dat je installatie's naast elkaar ondersteunt, zodat je teksteditor 1.4_3.1 en 1.4_3.2 naast elkaar kunt hebben. Idealiter zelfs met het delen van files, zodat je op disk geen dubbele ruimte nodig hebt (Zie de WinSxS folder op Windows).

Technisch is het ook geen heel erg groot probleem - je symlinkt simpelweg de files van /packages/teksteditor_1.4_3,1 naar /bin/
In FreeBSD zijn dat .so bestanden. Met ldconfig kun je zelf directories toevoegen aan de actieve base, daar zit het probleem niet. De portstree gaat er gewoon leuk vanuit dat iedereen heel strikt alleen maar dingen daaruit installeert. Als ik daarnaar zou luisteren op mijn PC met uitgebreide installatie waar ook github spullen en handmatig gecompileerde programmatuur tussen zit, zou er onvoorspelbaar van alles breken.
In de ports tree kun je zoeken met make search.

# cd /usr/ports
# make search name=haproxy
of make search key=<search string>

Soms gaat het inderdaad wat moeizaam met maintainers, en soms ook erg snel en direct.
Maar dat heb je ook met Linux, ik heb meer vervelende ervaringen met Linux personen dan FreeBSD personen.

Ik gebruik sinds 4.2 FreeBSD heb nog wel eens gekeken naar Linux, maar het kan mij niet meer bekoren, ja het is snel, ja het is makkelijk maar de kant waar het opgaat met overal maar services die zich overal mee bemoeien lees systemd maakt het geen leuk systeem om mee te werken. Op mijn werk gebruiken we exclusief Ubuntu, maar wat een verademing is het als ik in de avond weer aan mijn prive servertje mag sleutelen.

Laatst met Ubuntu18.04 een geintje met disks vervangen.
Voor mysql data hebben wij een aparte disk, deze gingen wij vervangen door een groter exemplaar.
/var/lib/mysql verwijst naar /data. Nieuwe disk geplaatst, /dev/sdd kreeg deze mee.
/dev/sdd voorzien van een partitie en een bestandssyteem en gemount op /data/data-2.
Mysql gestopt, data gekopieerd van /data naar /data-2. /dev/sdc geunmount, /dev/sdd unmount.
Mountpoints omgedraaid. dus sdd mounten op /data en sdc op /data-2 mocht er wat missen dan kunnen we er nog bij
Mysql starten, de truukjes doen en alles helemaal ok. Even een dagje wachten en dan kunnen we disk sdc verwijderen.
Dus de volgende dag disk verwijdert en wat doet systemd, die weet dat sdc tijdens de boot gemount was op /data, inderdaad deze unmount /data gewoon en tevens blokkeert systemd dat je sdd weer kan mounten op /data.
NIET DOEN, die is nu gemount op sdd. Ofwel je unmount gewoon je data van je database. Dit was een test machine, had geen verder geen gevolgen maar dit was de test voor productie, die we dus live doen op een virtuele machine met de productie data.
Is al sinds 2015 een probleem blijkbaar maar word naar het schijnt niet veel aangedaan.
https://github.com/systemd/systemd/issues/1741

En zo zijn er op ubuntu vele zaken waardoor je echt geen vertrouwen meer hebt in het systeem. Elke release is bijna een nieuw OS, zoveel quirks die je allemaal weer moet zien te vinden. Daarbij is FreeBSD een verademing.

Soms is het inderdaad een gedoe om op FreeBSD iets aan de praat te krijgen, dit omdat FreeBSD je vaak geen compleet werkende config geeft, je zal dus zelf je applicatie moeten configureren.
Maar als ik aan een Ubuntu collega vraag of hij even een apache module wil laden, dan kan de arme drommel alleen maar a2enmod doen. Sommige juniors weten niet eens wat er gebeurt en op een andere unix zijn ze hopeloos verloren omdat men alleen maar de tooling kent die Ubuntu meelevert. Hoe je apache configureerd, ze hebben geen idee.
Dus ja FreeBSD is lastiger, maar je weet als je klaar bent wel hoe en wat en bij problemen heb je vaak veel sneller een idee waar het kan zitten omdat je de config toch echt heb moeten onderzoeken.
Zo heb ik toch heel wat meer geleerd van applicaties dan de ubuntu manier. En ja soms is het ook frustrerend als je snel even iets wil doen.

@Omega
Ga er maar vanuit dat systemd-homed ook gewoon gaat landen in de aankomende Ubuntu versies.
Het probleem met Ubuntu is dat het geen Linux wil zijn, om zich te onderscheiden. Bij "Ubuntu Phone" begon dat op te vallen. Het ging Ubuntu OS zonder Linux in de naam heten en ze zouden de exclusieve permissie krijgen voor smartphones.
Om die reden is het ook geflopt. Mensen zijn gaan graven naar de achterliggende reden, min of meer de vraag waarom andere Linuxen buiten de boot zouden vallen. Toen zijn closed-source monopoly-gerichte praktijken en twijfelachtige deals met fabrikanten boven water gekomen.

FreeBSD heeft een klein beetje last van ditzelfde imperialisme. De pre- en post login-meldingenen mbt OS 'brand', architectuur en versie zijn actief verstopt en vertroebeld in de code van de login executable. Echt open en non-profit zou dit niet moeten steunen.

[Reactie gewijzigd door blorf op 15 januari 2021 13:18]

Een onleesbare home directory is zo onhandig }>


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True