ルート以外の誰が私のディレクトリの内容を見ることができますか? CAP_DAC_OVERRIDE とは何ですか? システム管理者は私のコンテンツに対するこの権限を一部のユーザーに与えることができますか?
私の理解では、CAP_DAC_OVERRIDE 権限を持つユーザーは、権限が に設定されていても、任意のディレクトリにアクセスしてその内容を見ることができますchmod 600。もしそうなら、誰かが自分のディレクトリに対してその権限を持っているかどうかを知る方法はありますか。
上司は懸命に私を監視しようとしていましたが、最近、上司がシステム管理者を説得して、自分の利益を図っているような気がします。今では、上司は私が何をしているか、私のディレクトリにあるいくつかのファイルについて、非常によく知っているようです。隠すものは何もありませんが、常に誰かに監視されているのは気味が悪いです。
CAP_DAC_OVERRIDE によるものでない場合、root 以外の人が私のディレクトリの内容を見ることは可能でしょうか?
答え1
CAP_DAC_OVERRIDEはプロセス能力ただし、特定のファイルに添付されるわけではありません。有効な機能セットにこれが含まれているプロセスの場合、DAC (読み取り/書き込み/実行) 権限チェックは完全にバイパスされます。これは、ルートに対して DAC 権限チェックがバイパスされる方法に似ています。
このような機能を使用してファイルへの共有アクセスを許可することは、非常に粗雑(オン/オフ)であり、スキップされる可能性があります。全てDACアクセス制御すべて能力を持つことは、本質的にはルートであることと同じである[1]責任感と能力のあるシステム管理者であれば、管理するマシンへのルート アクセス権を、それを必要としないユーザーに与えることはありません。
きめ細かな設定を可能にする他のアクセス制御メカニズムもあります。例えば、POSIX アクセス制御リスト (ACL)通常の DAC アクセスでは許可されないユーザー/グループのアクセスを許可するように、ファイル/ディレクトリごとに構成できます。
使用しているシステムを自分で管理していない場合は、システム管理者が設定したポリシーを回避する方法はほとんどありません。クライアントで追加のファイル暗号化を使用すると、データのプライバシーが保護されます。
職場で上司があなたを監視しているのは、技術的な問題ではなく、社会的な問題です。技術的な解決策では状況は解決しません。