¿Quién puede ver el contenido de mi directorio además del root? ¿Qué es CAP_DAC_OVERRIDE? ¿Puede el administrador del sistema otorgar este privilegio sobre mi contenido a algún usuario?
Según tengo entendido, alguien que tenga el privilegio CAP_DAC_OVERRIDE puede ingresar y ver el contenido de cualquier directorio incluso si el permiso está establecido en chmod 600. Si es así, ¿hay alguna manera de saber si alguien tiene ese privilegio en mis directorios?
Mi jefe se esforzaba mucho en espiarme y últimamente siento que ha convencido al administrador del sistema para que le haga algún favor. Ahora parece muy familiarizado con lo que estoy haciendo y con algunos archivos en mi directorio. No tengo nada que ocultar, pero me asusta que alguien me vigile todo el tiempo.
Si no es por CAP_DAC_OVERRIDE, ¿hay alguna persona que no sea root y vea el contenido de mis directorios?
Respuesta1
CAP_DAC_OVERRIDEes uncapacidad de procesamiento, no se adjunta a archivos específicos. Para los procesos que lo tienen en su conjunto de capacidades efectivas, las comprobaciones de permisos DAC (lectura/escritura/ejecución) se omiten por completo. Esto es similar a cómo se omiten las comprobaciones de permisos de DAC para el root.
Otorgar acceso compartido a archivos usando dicha capacidad es extremadamente burdo (activado/desactivado), ya que omitiríatodoControles de acceso DAC paratodo. Tener la capacidad es esencialmente lo mismo que ser root.[1]. Ningún administrador de sistemas responsable y competente daría acceso root a las máquinas que administra a personas que no lo necesitan.
Existen otros mecanismos de control de acceso que permiten una configuración detallada, por ejemploListas de control de acceso (ACL) POSIX. Se pueden configurar por archivo/directorio para permitir el acceso de usuarios/grupos que el acceso DAC normal impediría.
Si usted no administra el sistema que está utilizando, es poco lo que puede hacer para eludir las políticas establecidas por el administrador del sistema. Podría utilizar cifrado de archivos adicional en su cliente, lo que mantendría sus datos privados.
Que tu jefe te controle en el trabajo no es realmente un problema técnico, sino una cuestión social. Una solución técnica no va a resolver la situación.