Wer außer Root kann den Inhalt meines Verzeichnisses sehen? Was ist CAP_DAC_OVERRIDE? Kann der Systemadministrator einem anderen Benutzer dieses Privileg für meinen Inhalt erteilen?
Nach meinem Verständnis kann jemand mit dem Privileg CAP_DAC_OVERRIDE jedes Verzeichnis betreten und dessen Inhalt sehen, selbst wenn die Berechtigung auf eingestellt ist chmod 600. Wenn ja, gibt es eine Möglichkeit, herauszufinden, ob jemand dieses Privileg für meine Verzeichnisse hat?
Mein Chef hat mit aller Kraft versucht, mich auszuspionieren, und in letzter Zeit habe ich das Gefühl, dass er den Systemadministrator davon überzeugt hat, ihm einen Gefallen zu tun. Jetzt scheint er sehr gut über meine Aktivitäten und einige Dateien in meinem Verzeichnis Bescheid zu wissen. Ich habe nichts zu verbergen, aber es macht mir Angst, ständig von jemandem überwacht zu werden.
Wenn nicht durch CAP_DAC_OVERRIDE, kann dann überhaupt eine andere Person außer Root den Inhalt meiner Verzeichnisse sehen?
Antwort1
CAP_DAC_OVERRIDEist einProzessfähigkeit, es ist nicht an bestimmte Dateien angehängt. Für Prozesse, die es in ihrem effektiven Fähigkeitssatz haben, werden DAC-Berechtigungsprüfungen (Lesen/Schreiben/Ausführen) vollständig umgangen. Dies ist ähnlich der Art und Weise, wie DAC-Berechtigungsprüfungen für Root umgangen werden.
Die Gewährung des gemeinsamen Zugriffs auf Dateien mit dieser Funktion ist äußerst grob (an/aus), da siealleDAC-Zugriffskontrollen füralles. Die Fähigkeit zu haben ist im Wesentlichen dasselbe wie Root zu sein[1]. Kein verantwortungsbewusster und kompetenter Systemadministrator würde Leuten Root-Zugriff auf die von ihm verwalteten Maschinen gewähren, die diesen nicht benötigen.
Es gibt andere Zugriffskontrollmechanismen, die eine feinere Konfiguration ermöglichen, zum BeispielPOSIX-Zugriffskontrolllisten (ACL). Sie können pro Datei/Verzeichnis konfiguriert werden, um Benutzern/Gruppen den Zugriff zu ermöglichen, der bei normalem DAC-Zugriff verhindert würde.
Wenn das von Ihnen verwendete System nicht von Ihnen verwaltet wird, können Sie die vom Systemadministrator festgelegten Richtlinien kaum umgehen. Sie könnten auf Ihrem Client eine zusätzliche Dateiverschlüsselung verwenden, die Ihre Daten vertraulich hält.
Dass Ihr Chef Sie bei der Arbeit überwacht, ist kein technisches Problem, sondern ein soziales. Eine technische Lösung wird die Situation nicht lösen.