Saubere Benutzertrennung in Debian

Da ich bisher Debian nur als Einzelbenutzersystem im privaten Bereich nutze ist mir das bisher noch nie aufgefallen, aber in der Standardeinstellung können alle Benutzer lesend auf das Home-Verzeichnis aller Benutzer zugreifen.
Auch wenn das für mich persönlich wenig relevant ist möchte ich mein System, aus Prinzip, relativ sicher vorkonfigurieren. Dazu gehört für mich auch eine saubere Trennung der einzelnen Benutzer. Vielleicht richte ich ja auch irgendwann mal einen weiteren Benutzer auf einem meiner Rechner ein und dann ist es von Vorteil, wenn alles bereits ordentlich eingerichtet ist und ich mich dann nicht mehr damit befassen muss.

Damit Dateien und Verzeichnisse im jeweiligen home nicht mehr für andere Benutzer zugänglich sind genügt es

dpkg-reconfigure -plow adduser

auszuführen. Dies wirkt sich aber nicht auf bereits vorhandene Benutzer aus, weshalb man auch folgendes einstellen sollte:

Um neu angelegte Dateien nicht mehr für alle Benutzbar zugänglich zu machen ändert man einfach den UMASK-Wert in der Datei `/etc/login.defs` von `022` auf `027`.

UMASK      027
…

Um die Änderungen zu übernehmen muss man folgende Zeile an die Datei /etc/pam.d/common-session anhängen:

session optional   pam_umask.so

Weitere Informationen zu UMASK kann man dem manual entnehmen.

Das wirkt sich aber nicht auf bereits vorhandene Benutzer und deren Verzeichnisse/Dateien aus. Um bereits vorhandene Dateien für andere Benutzer unzugänglich zu machen genügt dieser Befehl:

chmod 750 /home/*

Vielen Dank an alle Beteiligten dieses Threads im df.de. Besonderer Dank geht an smutbert, der die hier erwähnten Lösungen beschrieben hat. 😉

Teilen: FB | G+ | TW | E-Mail

Hinterlasse einen Kommentar oder diskutiere im OSBN-Chat.

In den Kommentaren können folgende Formatierungen genutzt werden.