루트 사용자가 파일을 삭제하는 것을 방지할 수 있는지 알고 싶습니다. 가능합니까?
답변1
아니요, 불가능합니다. 를 사용하여 불변 속성을 설정할 수 있습니다 chattr +i
. 그러면 파일에 쓰기를 허용하기 위해 수행해야 하는 작업이 짜증나고 명확하지 않게 됩니다. 하지만 다시 설정을 해제할 수 있습니다. 또한 파일 시스템이 이를 지원하고 해당 기능을 활성화해야 합니다.
SELinux도 일부 제한을 수행할 수 있지만 비활성화할 수도 있습니다.
더 나은 해결책은 사용자와 프로그램의 액세스를 제한하고 꼭 필요한 경우가 아니면 루트로 실행하는 것을 허용하지 않음으로써 사용자와 프로그램을 적절하게 제어하는 것입니다.
답변2
다른 사람들이 말했듯이 일반적으로 루트의 개념은 사용자가 기계가 할 수 있는 모든 작업을 수행하도록 허용된다는 것입니다. 따라서 루트가의도적으로파일 삭제( chattr +i
방지할 수 있음 )우연한삭제).
그러나 그럼에도 불구하고 몇 가지 해결책이 있습니다.
- 파일을 파일 서버에 넣고 삭제를 허용하지 않도록 파일 서버를 구성합니다. 이는 로컬 루트가 파일 서버의 루트가 아니기 때문에 작동합니다.
- 파일을 넣어벌레미디어. 이는 하드웨어가 덮어쓰기를 허용하지 않으므로 데이터가 보호되기 때문에 작동합니다. (덮어쓰기는 기계가 할 수 있는 일이 아닙니다.) 저렴한 옵션으로는 CD-R과 DVD-R이 있습니다. 드라이브가 실제로 이미 작성된 섹션을 덮어쓰(파기)할 수 없는지 확인하십시오. WORM SD 카드도 있습니다.
답변3
아니요.
"sudo" 권한이 있는 사용자 또는 루트 사용자는 모든 것을 보고 삭제할 수 있습니다.
그러나 이상적인 시스템에서는 단 한 명의 사용자만이 슈퍼 권한을 갖고 필요할 때만 사용하고 항상 응답하기 때문에 이에 대해 걱정할 필요가 없습니다.
답변4
이는 매우 특정한 상황에서 가능합니다:
변경이 발생한 곳에서 USB 드라이브를 분리하거나 컴퓨터와 NAS 사이의 이더넷 케이블을 분리할 수 있습니다. 그러나 파일이 손상되었거나 접근할 수 없는 상태로 남거나 둘 중 하나가 될 가능성이 있습니다.
하드웨어 기반 작업 외에 이전 백업에서 파일을 복원할 수도 있습니다.