In meinem Linux-System habe ich zwei Benutzer, sagen wir A und B. Ich muss B so isolieren, dass B keinen Zugriff auf das Home-Verzeichnis von A erhält, nicht einmal von A selbst. Wie kann ich das Problem lösen?
Antwort1
Legen Sie das Home-Verzeichnis von A in ein Verzeichnis, für das B kein x-Bit (Ausführungs-Bit) gesetzt hat.
Beispiel: Lassen Sie /home/prison/Adas Home-Verzeichnis von A sein. Setzen Sie die Berechtigungen von prisonauf
r-xr-x---und die Besitzer:Gruppe auf root:prisoners. Setzen Sie die Berechtigungen /home/prison/Anormal auf , d. h. Aist der Besitzer.
Natürlich kann A seine Dateien immer noch in andere Verzeichnisse fest verlinken und sie so zugänglich machen. Es gibt wirklich keine Möglichkeit, Daten vor Benutzern mit Lesezugriff und dem Wunsch, sie zu duplizieren, zu schützen.
Antwort2
Thitons Antwortist eine gute Möglichkeit, dieses Problem zu lösen.
Eine weitere (schwerwiegendere und komplexere) Lösung besteht darin, eine entsprechende Richtlinie zu erstellen, wenn Sie SELinux oder AppArmour verwenden. Sie können dies auf Systemebene erzwingen und A kann es nicht auf Dateisystemebene (mit AppArmour) oder sogar durch Kopieren von Dateien (mit SELinux) umgehen.
Die Umsetzung einer solchen Richtlinie bleibt dem Leser als Übung überlassen.
Antwort3
Das klingt nach einem Job für chroot, und jemand hat ein Projekt namensJailkitdas scheint genau das zu tun. Ihre Laufleistung kann abweichen.
Antwort4
Wenn niemand sonst Zugriff auf Dateien im Home-Verzeichnis des Benutzers benötigt, können Sie Home-Verzeichnisse ausführbar/lesbar/beschreibbar machennurvon diesem Benutzer.
sudo chmod 700 /home/username
Andere Benutzer können dieses Verzeichnis nicht sehen, nicht mit CD dorthin wechseln usw.