ルートユーザーがファイルを削除できないようにするにはどうすればよいですか?

ルートユーザーがファイルを削除できないようにするにはどうすればよいですか?

ルートユーザーがファイルを削除できないようにできるかどうか知りたいです。 可能ですか?

答え1

いいえ、それは不可能です。 を使用して不変属性を設定することはできますがchattr +i、少なくともファイルへの書き込みを許可するために何をしなければならないかがわかりにくくなり、わかりにくくなりますが、再度設定を解除することは可能です。また、ファイルシステムがこれをサポートし、機能が有効になっている必要があります。

SELinux でも制限を行うことができますが、これも無効にすることができます。

より良い解決策は、アクセスを制限し、絶対に必要な場合を除いて root として実行できないようにすることで、ユーザーとプログラムを適切に制御することです。

答え2

他の人が言っているように、一般的にルートの考え方は、ユーザーがマシンにできることなら何でもさせる権限を持つということです。そのため、ルートを阻止できる簡単なフラグはありません。意図的にファイルを削除するchattr +iと(偶然の削除)。

しかし、それにもかかわらず、解決策はいくつかあります。

  1. ファイルをファイルサーバー上に置き、削除を許可しないようにファイルサーバーを設定します。これは、ローカル ルートがファイル サーバー上のルートではないために機能します。
  2. ファイルをワームメディア。ハードウェアが上書きを許可しないので、データが保護されるため、これが機能します。(上書きはマシンで実行できるものではありません。) 安価なオプションは CD-R と DVD-R です。ドライブがすでに書き込まれたセクションを上書き (破壊) できないことを確認してください。WORM SD カードもあります。

答え3

いいえ。

「sudo」権限を持つユーザーまたは root ユーザーは、すべてを表示および削除できます。

ただし、理想的なシステムでは、スーパー権限を持つユーザーは 1 人だけであり、そのユーザーは必要なときだけ使用し、常に応答性を保つため、その点について心配する必要はありません。

答え4

非常に特殊な状況下では可能です:

変更が発生した USB ドライブを取り外したり、コンピューターと NAS 間のイーサネット ケーブルを取り外したりすることができます。ただし、ファイルが破損したり、アクセスできなくなったり、またはその両方が発生する可能性があります。

ハードウェアベースのアクション以外に、以前のバックアップからファイルを復元できる場合があります。

関連情報