Hallo,

wenn man die Voreinstellung ändern möchte, so dass die Dateien künftig neu angelegter Benutzer nicht von Anderen lesbar sind, so geht das im Terminal mit dem Befehl

sudo dpkg-reconfigure adduser 

Die Frage "Wünschen Sie systemweit lesbare Heimatverzeichnisse" sollte man hier dann mit einem "Nein" beantworten. - So jedenfalls die Info hier im Wiki.

Tatsächlich erhalten die Homedirectories neuer User jedoch folgende Rechte:

drwxr-x--x 21 testuser testuser  952 2012-04-25 14:48 testuser

Für Nicht-Gruppenmitglieder gilt demnach "--x". Das Homedirectory lässt sich nicht lesen, man kann aber hineinwechseln und weiter in die Tiefe schreiten und die darin befindlichen Dateien lesen oder schreiben, soweit deren Dateirechte das zulassen. Zumindest Leseberechtigung ist Default für neu erstellte Dateien. Beweis:

werner@zuse:/home$ ls -l
[...]
drwxr-x--x 21 testuser testuser  952 2012-04-25 14:48 testuser
werner@zuse:/home$ cd testuser/Dokumente/testordner
werner@zuse:/home/testuser/Dokumente/testordner$ cat test.txt
Bespieltext
werner@zuse:/home/testuser/Dokumente/testordner$ 

Wenn man die Verzeichnis- und Dateinamen richtig errät, kann man also alles lesen.

Nun die Frage: Ist das eine Sicherheitslücke der Grundkonfiguration von Ubuntu oder gibt es einen vernünftigen Grund dafür?

Das ist keine Sicherheitslücke. Das ist ein sehr schönes Feature. Lerne es zu schätzen!

Es kann ja sein, das ein anderer User mal eine Datei von der lesen soll, darum auch -x für World. Passe die uname auf deinen System entsprechend an, damit neue Dateien nur mehr mit den von dir gewünschten Rechten erstellt werden.

TheDarkRose schrieb:

Es kann ja sein, das ein anderer User mal eine Datei von der lesen soll, darum auch -x für World. Passe die uname auf deinen System entsprechend an, damit neue Dateien nur mehr mit den von dir gewünschten Rechten erstellt werden.

Du meinst wahrscheinlich umask. Das regelt aber nicht, mit welchen Rechten beliebige Programme ihre Dateien anlegen, nicht wahr?

wawi schrieb:

TheDarkRose schrieb:

Es kann ja sein, das ein anderer User mal eine Datei von der lesen soll, darum auch -x für World. Passe die uname auf deinen System entsprechend an, damit neue Dateien nur mehr mit den von dir gewünschten Rechten erstellt werden.

Du meinst wahrscheinlich umask. Das regelt aber nicht, mit welchen Rechten beliebige Programme ihre Dateien anlegen, nicht wahr?

Wenn das Programm intern die umask nicht überschreibt (bei FTP Servern z.b möglich), dann wird IMHO die umask des System verwendet.

P.S.: Ja meinte umask, war ein Typfehler

Danke, verstehe, anders wäre auch die Existenz des Verzeichnisses "Öffentlich" innerhalb von $HOME wenig sinnvoll.

Zur Umsetzung folgte ich der Anleitung in Homeverzeichnis:

Voreinstellung ändern¶

Wenn man die Voreinstellung so ändern möchte, dass die Dateien aller künftig neu angelegten Benutzer nicht von anderen lesbar sind, so geht das im Terminal ^[1] mit diesen Befehlen:

sudo sed -ie 's/^umask.*$/umask 027/' /etc/profile
[...] 

[...] Die "umask" wird allerdings durch den sed-Befehl wirklich global gesetzt und gilt für alle Benutzer nach dem nächsten Login, sofern sie nicht ihre eigene private "umask" in ihren Konfigurationsdateien setzen.

Leider bleibt meine umask auf 0002. Ob ich früher schon damit herumgespielt habe, weiß ich nicht mehr.

~/.bash_profile existiert nicht.

/etc/profile enthält ein Script, dessen Einfluss auf umask mir unverständlich ist.

~/.profile enthält ebenfalls ein Script mit einem auskommentiertes #umask 022 und den Hinweis:

# the default umask is set in /etc/profile; for setting the umask
# for ssh logins, install and configure the libpam-umask package.
#umask 022

Die erwähnte "libpam-umask package" finde ich in den Paketquellen nicht, aber das wird vermutlich auch nicht gebraucht.

Weiß jemand Rat?