Evitar el acceso de escritura para root en directorios de inicio

Question 1

Estás haciendo la pregunta equivocada si quieres una respuesta distinta a "No" - no se puede impedir que root hagacualquier cosa(incluido el cambio de permisos, pero ¿puede *deidad* establecer permisos tan estrictos que ni siquiera ella pueda evitarlos?).

Lo que probablemente desee es poder otorgar algunos privilegios administrativos (instalación de programas y demás) a los usuarios sin hacerlos todopoderosos en el sistema. Para esto puedes usar por ejemplosudocon restricciones a nivel de usuario/grupo.

Answer

Estás haciendo la pregunta equivocada si quieres una respuesta distinta a "No" - no se puede impedir que root hagacualquier cosa(incluido el cambio de permisos, pero ¿puede *deidad* establecer permisos tan estrictos que ni siquiera ella pueda evitarlos?).

Lo que probablemente desee es poder otorgar algunos privilegios administrativos (instalación de programas y demás) a los usuarios sin hacerlos todopoderosos en el sistema. Para esto puedes usar por ejemplosudocon restricciones a nivel de usuario/grupo.

Question 2

El usuario root puede modificar cualquier cosa en la casa de cualquier usuario, esto es por diseño.

Para que los usuarios puedan leer, pero no modificar archivos, deberá usar grupos y otorgar a los archivos permiso de grupo de solo lectura. Un ejemplo, que ilustra su caso de uso, está disponible enaquí:

Answer

El usuario root puede modificar cualquier cosa en la casa de cualquier usuario, esto es por diseño.

Para que los usuarios puedan leer, pero no modificar archivos, deberá usar grupos y otorgar a los archivos permiso de grupo de solo lectura. Un ejemplo, que ilustra su caso de uso, está disponible enaquí:

Question 3

Si cambia su directorio /home para que sea un montaje NFS, puede usar la opción root_squash para que el usuario root en el cuadro local se asigne a un usuario anónimo en el servidor NFS. Esto evitaría que el root de su equipo pueda modificar los archivos en /home.

Sin embargo, aunque root nunca puede modificar los archivos de otros usuarios en el servidor NFS, tenga en cuenta que hay cosas maliciosas que root aún podría hacer. Por ejemplo, root podría desmontar /home y reemplazarlo con un /home aparentemente duplicado en el que podría escribir. También podría montar un sistema de archivos falso encima del directorio de inicio de otro usuario en el que también podría escribir. Si bien los archivos originales seguirán estando seguros e intactos en el servidor NFS, sus usuarios no sabrán cómo buscar este truco y es posible que se encuentre con cualquier problema que esté tratando de evitar.

Answer

Si cambia su directorio /home para que sea un montaje NFS, puede usar la opción root_squash para que el usuario root en el cuadro local se asigne a un usuario anónimo en el servidor NFS. Esto evitaría que el root de su equipo pueda modificar los archivos en /home.

Sin embargo, aunque root nunca puede modificar los archivos de otros usuarios en el servidor NFS, tenga en cuenta que hay cosas maliciosas que root aún podría hacer. Por ejemplo, root podría desmontar /home y reemplazarlo con un /home aparentemente duplicado en el que podría escribir. También podría montar un sistema de archivos falso encima del directorio de inicio de otro usuario en el que también podría escribir. Si bien los archivos originales seguirán estando seguros e intactos en el servidor NFS, sus usuarios no sabrán cómo buscar este truco y es posible que se encuentre con cualquier problema que esté tratando de evitar.

Evitar el acceso de escritura para root en directorios de inicio

Respuesta1

Respuesta2

Respuesta3

información relacionada