Schreibzugriff für Root in Home-Verzeichnissen verhindern

Schreibzugriff für Root in Home-Verzeichnissen verhindern

Gibt es eine Linux-Distribution, die verhindert, dass Root-Benutzer Dateien/Verzeichnisse im Home-Verzeichnis eines anderen Benutzers ändern/löschen? Ich bin auf Tools gestoßen, mit denen das Home-Verzeichnis verschlüsselt werden kann. Ich möchte jedoch, dass andere Benutzer die Dateien lesen, aber nicht ändern oder löschen können.

Wenn dies unter Linux nicht möglich ist, kennt jemand von Ihnen ein anderes Betriebssystem, das dies ermöglicht?

Antwort1

Sie stellen die falsche Frage, wenn Sie eine andere Antwort wünschen als „NEIN" - root kann nicht daran gehindert werden,irgendetwas(einschließlich der Änderung von Berechtigungen, aber kann *Gott* die Berechtigungen so streng festlegen, dass nicht einmal er sie umgehen kann?).

Sie möchten wahrscheinlich Administratorrechte (Programme installieren usw.) an Benutzer vergeben können, ohne dass diese dadurch allmächtige Macht über das System erhalten. Dazu können Sie beispielsweise verwendensudomit Einschränkungen auf Benutzer-/Gruppenebene.

Antwort2

Der Root-Benutzer kann alles im Home-Verzeichnis jedes anderen Benutzers ändern. Dies ist beabsichtigt.

Damit Benutzer Dateien lesen, aber nicht ändern können, müssen Sie Gruppen verwenden und den Dateien Gruppenberechtigungen zum Lesen erteilen. Ein Beispiel, das Ihren Anwendungsfall veranschaulicht, finden Sie unterHier:

Antwort3

Wenn Sie stattdessen Ihr /home-Verzeichnis in ein NFS-Mount ändern, können Sie die Option root_squash verwenden, um den Root-Benutzer auf der lokalen Box einem anonymen Benutzer auf dem NFS-Server zuzuordnen. Dies würde verhindern, dass Root auf Ihrer Box die Dateien in /home ändern kann.

Obwohl root niemals die Dateien anderer Benutzer auf dem NFS-Server ändern kann, sollten Sie sich bewusst sein, dass root dennoch böswillige Dinge tun könnte. root könnte beispielsweise /home aushängen und durch ein scheinbar dupliziertes /home ersetzen, in das er schreiben könnte. root könnte auch ein gefälschtes Dateisystem über dem Home-Verzeichnis eines anderen Benutzers einhängen, in das er ebenfalls schreiben könnte. Während die Originaldateien auf dem NFS-Server noch immer sicher und unberührt wären, würden Ihre Benutzer nicht wissen, wie sie nach diesem Trick suchen sollen, und Sie könnten auf das Problem stoßen, das Sie eigentlich vermeiden wollten.

verwandte Informationen