ホームディレクトリへのルートの書き込みアクセスを禁止する

ホームディレクトリへのルートの書き込みアクセスを禁止する

ルート ユーザーが他のユーザーのホームにあるファイルやディレクトリを変更/削除できないようにする Linux ディストリビューションはありますか? ホーム ディレクトリを暗号化できるツールを見つけました。しかし、他のユーザーがファイルを読み取ることはできても、変更や削除はできないようにしたいのです。

Linux でこれが不可能な場合、これを可能にする他の OS をご存知の方はいらっしゃいますか?

答え1

「」以外の答えが欲しいなら、間違った質問をしていることになります。いいえ「 - ルートは妨げられない何でも(権限の変更も含まれますが、*deity* は、バイパスできないほど厳しい権限を設定できますか?)。

おそらく、システム上で全能にすることなく、ユーザーにいくつかの管理者権限(プログラムのインストールなど)を与えることが必要なのでしょう。これには、例えば次のようにします。sudoユーザー/グループ レベルで制限があります。

答え2

ルート ユーザーは、どのユーザーのホームでも何でも変更できます。これは設計によるものです。

ユーザーがファイルを読み取れるけれども変更できないようにするには、グループを使用してファイルに読み取り専用のグループ権限を与える必要があります。使用例を示した例は、以下から入手できます。ここ:

答え3

代わりに /home ディレクトリを NFS マウントに変更する場合は、root_squash オプションを使用して、ローカル ボックスの root ユーザーを NFS サーバー上の匿名ユーザーにマップすることができます。これにより、ボックスの root が /home 内のファイルを変更できなくなります。

ただし、root は NFS サーバー上の他のユーザーのファイルを変更することはできませんが、それでも root が悪意のある操作を行う可能性があることには注意してください。たとえば、root は /home をアンマウントし、書き込み可能な /home のように見える複製に置き換えることができます。また、他のユーザーのホーム ディレクトリの上に偽のファイル システムをマウントし、書き込み可能にすることもできます。元のファイルは NFS サーバー上で安全で変更されませんが、ユーザーはこのトリックを見つける方法を知らず、回避しようとしていた問題に遭遇する可能性があります。

関連情報