Dans mon cas, voici à quoi les choses ressemblent /media
:
$ ls -l /media | grep $USER
drwxr-x---+ 3 root root 4096 Jan 22 15:59 oli
Fondamentalement, cela signifie que seul un utilisateur root peut interagir avec l'annuaire. C'est excellent pour la sécurité (empêche certainement les autres utilisateurs de voir, sans parler de voler / supprimer / modifier des données), mais ce n'est pas là que l'histoire se termine.
Vous remarquerez peut-être le signe plus à la fin du masque d'autorisation. Cela signifie qu'une ACL (Access Control List) est en cours d'utilisation. Cela permet des autorisations beaucoup plus granulaires.
$ getfacl /media/$USER
getfacl: Removing leading '/' from absolute path names
# file: media/oli
# owner: root
# group: root
user::rwx
user:oli:r-x
group::---
mask::r-x
other::---
C'est via ACL où mon utilisateur est autorisé à afficher le contenu de /media/oli
. Je ne suis toujours pas autorisé à modifier le contenu.
La chose qui fait le montage dans les ordinateurs de bureau modernes (Gnome et KDE) est udisks2
:
root 2882 0.3 0.0 195956 4048 ? Sl Jan16 30:35 /usr/lib/udisks/udisks-daemon
root 2887 0.0 0.0 47844 784 ? S Jan16 0:00 udisks-daemon: not polling any devices
root 3386 0.0 0.0 429148 6980 ? Sl Jan16 7:35 /usr/lib/udisks2/udisksd --no-debug
Comme vous pouvez le voir, il y fonctionne en tant que root, donc quand quelque chose y accède via DBUS, il est capable de créer les points de montage dans / home / $ USER et de les montrer à votre utilisateur afin qu'il puisse éditer le contenu.
Rien de tout cela ne change ce que j'ai dit à l'origine. J'explique simplement comment cela fonctionne dans la pratique. C'est ainsi que quelque chose sur votre bureau est en effet autorisé à écrire quelque part qui n'est autorisé que par root, et comment votre utilisateur est autorisé à le lire malgré une propriété autrement restrictive.
Tout cela le transforme en un environnement sécurisé pour les données de l'utilisateur, mais qui rend également difficile pour l'utilisateur de se mêler du tissu de la monture. Ils ne peuvent pas, par exemple, supprimer le point de montage ou le renommer, ce qui pourrait provoquer des problèmes, sauf s'ils ont un accès root.
Edit : quelque chose qui m'est venu à l'esprit est que cela donne également à un administrateur un bon endroit pour monter des choses pour un seul utilisateur. Les autorisations par défaut aident à garder ce montage privé et à le protéger contre l'ingérence de l'utilisateur. Cela semble être un défaut assez sain pour quelque chose qui se fait sans le /media/$user/
répertoire, aurait besoin des autorisations root.