루트 외에 내 디렉토리의 내용을 볼 수 있는 사람은 누구입니까? CAP_DAC_OVERRIDE란 무엇입니까? 시스템 관리자가 내 콘텐츠에 대한 이 권한을 일부 사용자에게 부여할 수 있습니까?
제가 이해한 바에 따르면 CAP_DAC_OVERRIDE 권한이 있는 사람은 권한이 로 설정된 경우에도 모든 디렉터리의 내용을 입력하고 볼 수 있습니다 chmod 600. 그렇다면 누군가가 내 디렉토리에 대해 그러한 권한을 가지고 있는지 알 수 있는 방법이 있습니까?
내 상사는 나를 염탐하기 위해 매우 열심히 노력하고 있었고 최근에는 시스템 관리자가 자신에게 호의를 베풀도록 설득한 것 같습니다. 이제 그는 내가 하고 있는 일과 내 디렉토리에 있는 일부 파일에 대해 매우 잘 알고 있는 것 같습니다. 숨길 게 하나도 없는데, 누군가에게 늘 감시당하고 있어서 소름이 돋는다.
CAP_DAC_OVERRIDE가 아닌 경우 루트 이외의 사람이 내 디렉토리의 내용을 볼 수 있습니까?
답변1
CAP_DAC_OVERRIDE는공정 능력, 특정 파일에는 첨부되지 않습니다. 유효 기능 집합에 이를 포함하는 프로세스의 경우 DAC(읽기/쓰기/실행) 권한 검사가 완전히 우회됩니다. 이는 루트에 대한 DAC 권한 확인을 우회하는 방법과 유사합니다.
이러한 기능을 사용하여 파일에 대한 공유 액세스 권한을 부여하는 것은 건너뛰기 때문에 매우 성가신(설정/해제) 것입니다.모두DAC 액세스 제어모든 것. 기능을 갖는 것은 본질적으로 루트가 되는 것과 같습니다.[1]. 책임감 있고 유능한 시스템 관리자는 필요하지 않은 사람들에게 자신이 관리하는 시스템에 대한 루트 액세스 권한을 부여하지 않습니다.
세밀한 구성을 허용하는 다른 액세스 제어 메커니즘이 있습니다. 예를 들어POSIX 액세스 제어 목록(ACL). 일반적인 DAC 액세스가 차단하는 사용자/그룹 액세스를 허용하도록 파일/디렉터리별로 구성할 수 있습니다.
사용 중인 시스템을 직접 관리하지 않는 경우 시스템 관리자가 설정한 정책을 피하기 위해 할 수 있는 일은 거의 없습니다. 클라이언트에서 추가 파일 암호화를 사용하면 데이터를 비공개로 유지할 수 있습니다.
직장에서 상사가 당신을 감시하는 것은 기술적인 문제가 아니라 사회적인 문제입니다. 기술적인 해결책으로는 상황이 해결되지 않습니다.