Wenn ich ALL= /usr/bin/truecrypt
der sudoers-Datei die Zeile: hinzufüge, können alle Benutzer Volumes an beliebigen Einhängepunkten einhängen. Das Problem besteht darin, dass ein Benutzer ein Truecrypt-Volume erstellen und es dann an /etc/apache2
oder /var/www
-- Verzeichnissen einhängen könnte, die er nicht manipulieren können sollte.
Wenn ein Benutzer nicht über die erforderlichen Sudo-Rechte zum Ausführen verfügt, /usr/bin/truecrypt
schlägt Truecrypt nach der Abfrage des Administrator-/Benutzerkennworts fehl.
Wie kann ich das System/Truecrypt richtig konfigurieren, damit Benutzer Volumes auf vernünftige/sichere Weise mounten können?Sie können beispielsweise Volumes nur an Einhängepunkten einhängen, die ihnen gehören (oder für die sie Schreibzugriff haben)?
Antwort1
Ich würde vorschlagen, dass Sie versuchen, Ihre Mounts zu Ihrer fstab hinzuzufügen. Sie ist auf /etc/fstab
den meisten Systemen unter zu finden.
Mit fstab können Sie einschränken, wer Zugriff hat und wer welche Geräte an welchen Einhängepunkten einhängen kann. Die von Ihnen gesuchte Option ist höchstwahrscheinlich uid
. Sie können die UID eines Benutzers ermitteln, indem Sie prüfen /etc/passwd
. Normalerweise verwenden Sie die UID 1000 als ersten auf dem System erstellten Benutzer.
sshfs#server.local:/mnt/Mountpoint /mnt/LocalDir fuse comment=sshfs,noauto,users,exec,uid=1000,gid=1000,allow_other,reconnect,transform_symlinks,BatchMode=yes,IdentityFile=/home/me/.ssh/server 0 0
Dieses Beispiel zeigt, wie ich ein Remote-Dateisystem lokal mit sshfs mounte. Ich habe es so eingeschränkt, dass nur mein Benutzer so etwas tun darf. Es gibt in diesem sshfs-Beispiel zusätzliche Optionen, die Sie höchstwahrscheinlich nicht benötigen werden, aber ich denke, wenn Sie einen Blick darauf werfen, wird es vielleicht klarer.
weiterführende Literatur
Mounten Sie TrueCrypt-Volumes als normaler Benutzer
tl;dr
Richten Sie UID und sogar GUID in Ihrer fstab ein, um den Zugriff auf bestimmte Benutzer zu beschränken. Bei korrekter Einrichtung wird dadurch das Mounten/Unmounten sowie der Dateizugriff eingeschränkt. Prüfen Sie außerdem, ob Sie FUSE verwenden, da dies zu weiteren Konflikten führen kann.