Kann man irgendwo global einstellen, dass im Homeordner neu angelegte Dateien automatisch die Dateirechte 600 erhalten?

[Cordess]

Wenn man in seinem Homeordner oder dessen Unterordner eine neue Datei erstellt oder eine Datei downloadet und sie abspeichert, dann erhält diese automatisch unter Debian die Unix-Dateirechte 611.

Das halte ich für problematisch. Denn andere (others) sollten auf diese keine Leserechte erhalten.
Die Defaulteinstellung diesbezüglich ist bei Debian also nicht optimal.

Kann man das irgendwo global ändern, so dass immer die Unix-Dateirechte 600 verwendet werden, egal welches Programm diese Datei erstellt oder abspeichert?

[DeletedUserReAsG]

Global oder pro User könnte man umask entsprechend setzen, für Verzeichnisse lässt sich wohl mit setfacl was machen.

[Cordess]

Danke, das Setzen von

Code: Alles auswählen

 
$ umask 0077

um folgendes zu erreichen:

Code: Alles auswählen

$ umask -S
u=rwx,g=,o=

hat bestens funktioniert.

Aber warum ist das in Debian keine Defaulteinstellung?
Hat das irgendwelche Nachteile, weswegen das nicht gemacht wird?

EDIT:
Und dann noch eine Frage.
Bleibt das nach dem Reboot erhalten oder muss man das noch in irgendeiner Konfigurationsdatei explizit einstellen?
EDIT2:

Okay, ich habe jetzt etwas recherchiert.
man kann die umask in der ~/.bashrc Datei pro Nutzer setzen.

Wenn man es aber global setzen will, dann ist die Datei /etc/login.defs der bessere Ort dafür.
Dann bekommen alle Nutzer die neue gesetze umask.
Außerdem habe ich noch gerade probiert, ob eine andere umask bei Paketinstallationen einen Einfluss hat.
Das ist glücklicherweise nicht der Fall. Die Pakete scheinen ihre eigenen Zugriffsrechte zu setzen bzw. zu haben.
Programme in /usr/bin/ bleiben somit weiterhin für Nutzer ausführbar, wenn die umask auch von Nutzer root 077 beträgt.

[Cordess]

Wenn man es aber global setzen will, dann ist die Datei /etc/login.defs der bessere Ort dafür.
Dann bekommen alle Nutzer die neue gesetze umask.

Ich habe gerade herausgefunden, dass eine Änderung in
/etc/login.defs
leider ignoriert wird.

Es geht aber auch anders.
Dazu muss man die Datei /etc/pam.d/common-session öffnen und folgenden Eintrag einfügen:

Code: Alles auswählen

session optional   pam_umask.so umask=077

und anschließend rebooten.
Dann stimmen die umask Einstellungen.

[katzenfan]

Dann stimmen die umask Einstellungen.

Aber wohl nur für neu angelegte Dateien?

Bitte aufpassen, nicht, daß Du Dich selber aus Deinem Home-Verzeichnis aussperrst; mit 077 für Root könnte das nämlich der Fall sein, wenn /home Root gehört.

[Cordess]

root kann alles lesen.
Und 077 setzt die Rechte neuer Dateien auf rwx------

Bzw. wird das x beim Anlegen weggenommen.
Dafür ist aber eine andere Konfiguration zuständig.

[tobo]

Bitte aufpassen, nicht, daß Du Dich selber aus Deinem Home-Verzeichnis aussperrst; mit 077 für Root könnte das nämlich der Fall sein, wenn /home Root gehört.

Die umask ist das genaue Gegenteil der Dateiberechtigungen. Kannst du dir so vorstellen: Du nimmst 777 und ziehst die umask ab und hast dann die neue Dateiberechtigung (777 - 077 = 700). Der Besitzer darf dann also alles, jeder andere darf nichts.

[katzenfan]

root kann alles lesen.
Und 077 setzt die Rechte neuer Dateien auf rwx------

Bzw. wird das x beim Anlegen weggenommen.
Dafür ist aber eine andere Konfiguration zuständig.

Bitte zitiere richtig oder lasse das Zitat weg; den Wortlaut habe ich nämlich so gar nicht geschrieben.

Das Root alles lesen kann, weiß ich; ich weiß aber auch, daß Du nicht mehr in Dein Home-Verzeichnis kommst, wenn nur Root auf /home zugreifen darf.

[DeletedUserReAsG]

Nun dürfte /home in diesem Fall, wie in den meisten anderen Fällen, zumindest bei Debian, aber bereits existieren, so dass die Überlegung hier allenfalls hypothetischer Natur sind.

[Cordess]

root kann alles lesen.
Und 077 setzt die Rechte neuer Dateien auf rwx------

Bzw. wird das x beim Anlegen weggenommen.
Dafür ist aber eine andere Konfiguration zuständig.

Bitte zitiere richtig oder lasse das Zitat weg; den Wortlaut habe ich nämlich so gar nicht geschrieben.

Das ist nicht mein Fehler. Das Forum ist verbuggt. Ich habe mich nämlich selbst zitiert, aber das Kommentar fehlt.
Vor meinem Kommentar von 14.11.2021 17:03:25 habe ich nämlich direkt noch etwas geschrieben, das ist hier aber plötzlich nicht mehr lesbar.

Das Root alles lesen kann, weiß ich; ich weiß aber auch, daß Du nicht mehr in Dein Home-Verzeichnis kommst, wenn nur Root auf /home zugreifen darf.

Warum sollte ich nicht mehr auf /home zugreifen können. Siehe mein Kommentar, das komischerweise nicht mehr da ist, da habe ich es erklärt.