Schreibzugriff für Root in Home-Verzeichnissen verhindern

Question 1

Sie stellen die falsche Frage, wenn Sie eine andere Antwort wünschen als „NEIN" - root kann nicht daran gehindert werden,irgendetwas(einschließlich der Änderung von Berechtigungen, aber kann *Gott* die Berechtigungen so streng festlegen, dass nicht einmal er sie umgehen kann?).

Sie möchten wahrscheinlich Administratorrechte (Programme installieren usw.) an Benutzer vergeben können, ohne dass diese dadurch allmächtige Macht über das System erhalten. Dazu können Sie beispielsweise verwendensudomit Einschränkungen auf Benutzer-/Gruppenebene.

Answer

Sie stellen die falsche Frage, wenn Sie eine andere Antwort wünschen als „NEIN" - root kann nicht daran gehindert werden,irgendetwas(einschließlich der Änderung von Berechtigungen, aber kann *Gott* die Berechtigungen so streng festlegen, dass nicht einmal er sie umgehen kann?).

Sie möchten wahrscheinlich Administratorrechte (Programme installieren usw.) an Benutzer vergeben können, ohne dass diese dadurch allmächtige Macht über das System erhalten. Dazu können Sie beispielsweise verwendensudomit Einschränkungen auf Benutzer-/Gruppenebene.

Question 2

Der Root-Benutzer kann alles im Home-Verzeichnis jedes anderen Benutzers ändern. Dies ist beabsichtigt.

Damit Benutzer Dateien lesen, aber nicht ändern können, müssen Sie Gruppen verwenden und den Dateien Gruppenberechtigungen zum Lesen erteilen. Ein Beispiel, das Ihren Anwendungsfall veranschaulicht, finden Sie unterHier:

Answer

Der Root-Benutzer kann alles im Home-Verzeichnis jedes anderen Benutzers ändern. Dies ist beabsichtigt.

Damit Benutzer Dateien lesen, aber nicht ändern können, müssen Sie Gruppen verwenden und den Dateien Gruppenberechtigungen zum Lesen erteilen. Ein Beispiel, das Ihren Anwendungsfall veranschaulicht, finden Sie unterHier:

Question 3

Wenn Sie stattdessen Ihr /home-Verzeichnis in ein NFS-Mount ändern, können Sie die Option root_squash verwenden, um den Root-Benutzer auf der lokalen Box einem anonymen Benutzer auf dem NFS-Server zuzuordnen. Dies würde verhindern, dass Root auf Ihrer Box die Dateien in /home ändern kann.

Obwohl root niemals die Dateien anderer Benutzer auf dem NFS-Server ändern kann, sollten Sie sich bewusst sein, dass root dennoch böswillige Dinge tun könnte. root könnte beispielsweise /home aushängen und durch ein scheinbar dupliziertes /home ersetzen, in das er schreiben könnte. root könnte auch ein gefälschtes Dateisystem über dem Home-Verzeichnis eines anderen Benutzers einhängen, in das er ebenfalls schreiben könnte. Während die Originaldateien auf dem NFS-Server noch immer sicher und unberührt wären, würden Ihre Benutzer nicht wissen, wie sie nach diesem Trick suchen sollen, und Sie könnten auf das Problem stoßen, das Sie eigentlich vermeiden wollten.

Answer

Wenn Sie stattdessen Ihr /home-Verzeichnis in ein NFS-Mount ändern, können Sie die Option root_squash verwenden, um den Root-Benutzer auf der lokalen Box einem anonymen Benutzer auf dem NFS-Server zuzuordnen. Dies würde verhindern, dass Root auf Ihrer Box die Dateien in /home ändern kann.

Obwohl root niemals die Dateien anderer Benutzer auf dem NFS-Server ändern kann, sollten Sie sich bewusst sein, dass root dennoch böswillige Dinge tun könnte. root könnte beispielsweise /home aushängen und durch ein scheinbar dupliziertes /home ersetzen, in das er schreiben könnte. root könnte auch ein gefälschtes Dateisystem über dem Home-Verzeichnis eines anderen Benutzers einhängen, in das er ebenfalls schreiben könnte. Während die Originaldateien auf dem NFS-Server noch immer sicher und unberührt wären, würden Ihre Benutzer nicht wissen, wie sie nach diesem Trick suchen sollen, und Sie könnten auf das Problem stoßen, das Sie eigentlich vermeiden wollten.

Schreibzugriff für Root in Home-Verzeichnissen verhindern

Antwort1

Antwort2

Antwort3

verwandte Informationen