Как запретить другим пользователям доступ к вашему домашнему каталогу в Ubuntu 14.04

Если вы используете Ubuntu совместно с другими людьми, вероятно, вы ожидаете, что каждый пользователь сможет работать только в своём домашнем каталоге. По умолчанию в Ubuntu домашние каталоги создаются с правами, которые позволяют «прочитать и выполнить» содержимое каталога всем пользователям системы. Это означает, что любой пользователь может перечислить файлы в чужом домашнем каталоге и открыть файлы, допустимые для чтения.

Содержание

• Проверка текущих прав
• Изменение прав на существующем каталоге
• Почему работает 0750 и 0700 — краткое объяснение
• Настройка прав по умолчанию для новых пользователей
• Альтернативные методы защиты
• Когда этот метод не защищает ваши данные
• Чек-листы для администратора и пользователя
• Критерии приёмки
• Краткое резюме

Проверка текущих прав

Откройте Терминал (Ctrl+Alt+T) и выполните команду (замените “lori” на ваше имя пользователя):

ls –ld /home/lori

ПРИМЕЧАНИЕ: В команде используются строчные буквы L (ell), а не цифра 1.

Результат выглядит примерно так:

drwxr-xr-x 25 lori lori 4096 янв 1 12:34 /home/lori

Первая колонка (drwxr-xr-x) показывает права доступа: d — каталог, затем три триады прав для владельца, группы и остальных пользователей (владельца, группы, мира).

Краткое объяснение терминов: r — чтение (read), w — запись (write), x — выполнение/вход в каталог (execute).

Изменение прав на существующем каталоге

Чтобы запретить «миру» (всем остальным пользователям) доступ к вашему каталогу, используйте chmod с числовой (октальной) нотацией. Пример — установить 0750 (владелец: rwx, группа: r-x, остальные: —):

sudo chmod 0750 /home/lori

Введите пароль при запросе и нажмите Enter.

Если вы хотите, чтобы доступ имел только владелец и никто больше (включая группу), используйте 0700:

sudo chmod 0700 /home/lori

Проверить изменения можно повторно выполнив команду ls:

ls –ld /home/lori

После изменения вы увидите, что третья триада символов для «мира» стала —.

Если другой пользователь попытается открыть папку через графический файловый менеджер, появится диалог об ошибке доступа.

Почему работает 0750 и 0700 — одно предложение объяснения

0750: владелец имеет полный доступ (rwx), группа может читать и заходить (r-x), остальные пользователи — нет (—). 0700: только владелец имеет доступ.

Настройка прав по умолчанию для новых пользователей

Чтобы новые аккаунты создавались с нужными правами на домашний каталог, измените конфигурацию adduser.

Откройте файл конфигурации в текстовом редакторе с правами root. В примере используется gedit:

gksudo gedit /etc/adduser.conf

ПРИМЕЧАНИЕ: gksudo запускает графические программы с правами root. Можно заменить на sudo и использовать консольный редактор (например, sudo nano /etc/adduser.conf).

Введите пароль и подтвердите.

Найдите параметр DIR_MODE (обычно он равен “0755” по умолчанию) и измените его на “0750” или “0700” в зависимости от желаемого уровня приватности. Затем сохраните файл и закройте редактор.

После этого все новые домашние каталоги будут создаваться с указанными правами.

Альтернативные подходы и дополнительные меры

1. Шифрование домашней папки (ecryptfs, LUKS)
   • Когда нужно защитить данные даже от пользователя root или если диск потенциально может быть снят и прочитан независимо от учётных записей. ecryptfs обеспечивает шифрование домашней папки при входе пользователя. LUKS обеспечивает полное шифрование раздела.
2. ACL (Access Control Lists)
   • Позволяет задавать более гибкие и тонкие правила, чем стандартные UNIX-биты. Полезно, если нужно дать доступ конкретному пользователю, а не всей группе.
3. Изоляция через контейнеры или отдельные виртуальные машины
   • Для сильно ограниченных сред используйте контейнеры (LXC, Docker) или полноценные ВМ, чтобы минимизировать пересечения между пользователями.
4. Удаление пользователя из групп
   • Проверьте, не состоит ли пользователь в группах, которым вы доверяете. Команда проверяет группы пользователя:

groups lori

• Если кто-то находится в той же группе, он получит групповые права на файлы.

Когда этот метод не защищает ваши данные (контрпримеры)

• Если на системе есть пользователь с правами root — root всегда может просмотреть файлы (права root выше обычных прав доступа).
• Если файлы уже скопированы в общедоступные директории или в сетевые папки, chmod на домашнем каталоге не предотвратит доступ к этим копиям.
• Если диск снят и смонтирован на другой системе без шифрования, права UNIX не сработают — используйте шифрование.

Справочная таблица: быстрый чит-шифт (chmod)

• 0700 — только владелец: rwx — —
• 0750 — владелец rwx, группа r-x, остальные —
• 0755 — владелец rwx, группа r-x, остальные r-x (значение по умолчанию в многих системах)

Как переводится число в биты: каждая цифра — сумма: 4 = r, 2 = w, 1 = x. Например, 7 = 4+2+1 = r w x; 5 = 4+1 = r x.

Чек-листы

Чек-лист администратора (быстрая проверка):

• Проверил текущие права: ls –ld /home/
• Изменил права: sudo chmod 0750 /home/ или sudo chmod 0700 /home/
• Проверил, какие группы у пользователя: groups
• Обновил /etc/adduser.conf (DIR_MODE) для будущих аккаунтов
• Рассмотрел шифрование для защиты от физического доступа к диску

Чек-лист для обычного пользователя:

• Убедился, что в домашнем каталоге нет открытых общих папок
• Удалил или переименовал файлы с чувствительной информацией, если они уже были доступны
• По необходимости включил шифрование домашней папки при создании пользователя

Критерии приёмки

• При попытке другого обычного пользователя просмотреть список файлов в /home/<ваш> он не видит содержимое каталога (появляется сообщение об отказе в доступе).
• Права каталога отображаются как drwxr-x— (0750) или drwx—— (0700) в выводе ls.
• Для новых пользователей домашний каталог создаётся с правами, указанными в /etc/adduser.conf.

Модель зрелости (уровни защиты)

• Уровень 1 (Базовый): chmod 0750 — быстро и эффективно для большинства сценариев локального совместного использования машины.
• Уровень 2 (Усиленный): chmod 0700 + проверка групп — предотвращает доступ от односоставных групп.
• Уровень 3 (Продвинутый): шифрование домашней папки (ecryptfs/LUKS) — защита от физического доступа к носителю и от копирования данных.

Безопасность и приватность — краткие примечания

Важно: права доступа UNIX защищают данные от обычных пользователей, но не от администратора (root). Если вам нужна защита от физического доступа или от взлома с привилегиями root, используйте шифрование.

Краткое резюме

Изменение прав на домашний каталог — простой и быстрый способ ограничить доступ другим пользователям на одной машине: используйте chmod 0750 или 0700. Чтобы применять нужные права автоматически при создании новых пользователей, отредактируйте параметр DIR_MODE в /etc/adduser.conf. Для защиты от более серьёзных угроз (физический доступ, привилегированный доступ root) рассмотрите шифрование диска или домашней папки.

Важно: не забывайте проверять, есть ли другие пользователи в вашей группе; если есть — у них будет доступ при установке 0750. Если это неприемлемо, используйте 0700 или пересмотрите членство в группах.