In meinem Fall sieht es so aus /media
:
$ ls -l /media | grep $USER
drwxr-x---+ 3 root root 4096 Jan 22 15:59 oli
Grundsätzlich bedeutet dies, dass nur ein Root-Benutzer mit dem Verzeichnis interagieren kann. Dies ist sehr sicherheitsrelevant (es verhindert, dass andere Benutzer Daten sehen, geschweige denn sie stehlen / löschen / ändern), aber hier endet die Geschichte nicht.
Möglicherweise sehen Sie das Pluszeichen am Ende der Berechtigungsmaske. Dies bedeutet, dass eine ACL (Access Control List) verwendet wird. Dies ermöglicht weitaus detailliertere Berechtigungen.
$ getfacl /media/$USER
getfacl: Removing leading '/' from absolute path names
# file: media/oli
# owner: root
# group: root
user::rwx
user:oli:r-x
group::---
mask::r-x
other::---
Über die Zugriffssteuerungsliste kann mein Benutzer den Inhalt von anzeigen/media/oli
. Ich darf den Inhalt immer noch nicht bearbeiten.
Das Ding, das das Mounten in modernen Desktops (sowohl Gnome als auch KDE) macht, ist udisks2
:
root 2882 0.3 0.0 195956 4048 ? Sl Jan16 30:35 /usr/lib/udisks/udisks-daemon
root 2887 0.0 0.0 47844 784 ? S Jan16 0:00 udisks-daemon: not polling any devices
root 3386 0.0 0.0 429148 6980 ? Sl Jan16 7:35 /usr/lib/udisks2/udisksd --no-debug
Wie Sie sehen, wird es dort als root ausgeführt. Wenn also etwas über DBUS darauf zugreift, kann es die Einhängepunkte in / home / $ USER erstellen und an Ihren Benutzer weiterleiten, damit dieser den Inhalt bearbeiten kann.
Nichts davon ändert das, was ich ursprünglich gesagt habe. Ich erkläre nur, wie es in der Praxis funktioniert. Auf diese Weise kann etwas auf Ihrem Desktop tatsächlich an einen Ort schreiben, der nur von root zugelassen wird, und Ihr Benutzer kann es trotz eines ansonsten restriktiven Eigentums lesen.
All dies macht es zu einer Umgebung, die für die Daten des Benutzers sicher ist, die es dem Benutzer jedoch auch erschwert, sich in die Struktur der Halterung einzumischen. Sie können beispielsweise den Einhängepunkt nicht löschen oder umbenennen, was zu Problemen führen kann, es sei denn, sie haben Root-Zugriff.
Bearbeiten : Etwas, das mir gerade eingefallen ist, ist, dass es einem Administrator auch einen guten Ort gibt, um Dinge für einen einzelnen Benutzer bereitzustellen. Die Berechtigungen von Standard Hilfe halten dieses private montieren und diese Einmischung gegen den Benutzer-Mount schützen. Es scheint ein ziemlich vernünftiger Standard für etwas zu sein, das ohne das /media/$user/
Verzeichnis ausgeführt wird und Root-Berechtigungen benötigt.