사용자가 자신의 비밀번호를 변경하는 것을 방지하려면 다음을 입력해야 한다는 내용을 읽었습니다.
passwd -n 10000 $user
하지만 루트 사용자가 $user의 비밀번호도 변경하지 못하도록 하려면 어떻게 해야 합니까?
배경: 일부 디렉토리에 대한 독점 액세스를 설정하려고 하는데 새 사용자가 적절할 것이라고 생각했습니다. 그렇습니까? 대부분의 디렉토리가 1TB를 초과하므로 해당 디렉토리를 압축하지 않고 비밀번호로 보호하기로 선택했습니다. 힌트가 있나요?
편집: 루트에서 이러한 작업을 방지하는 이유는 루트 액세스 권한이 있는 사용자라도 내가 보호하려는 일부 독점 디렉터리에 액세스할 수 없어야 하기 때문입니다.
답변1
이 질문의 근거가 의심스럽습니다.
새 사용자를 생성하는 원하는 솔루션을 비판하려면 다른 루트 사용자가 새 사용자의 비밀번호를 변경할 수 없더라도 루트는 모든 파일을 읽거나 파일의 파일 권한을 변경할 수 있으므로 그럴 필요가 없습니다. 그 사용자가 될 필요는 없습니다."
다른 사용자가 액세스하는 것을 방지하려는 테라바이트급의 데이터가 있습니다. 해당 사용자가 액세스할 수 있는 동일한 컴퓨터에 해당 데이터를 저장하지 마십시오.
여러 사용자가 있는 컴퓨터에 테라바이트 규모의 데이터가 있는 경우 해당 사용자가 데이터에 액세스할 수 있는 권한을 부여하지 않는 이유는 무엇입니까?
그리고 우리는 왜 신뢰할 수 없는 루트 사용자가 여러 명 있는지에 대해 이야기할 시점조차 얻지 못했습니다. 여러 루트 사용자를 부여하는 것은 좋은 일이지만 모든 사용자에 대해 루트 액세스 권한이 있는 것처럼 들립니다. 친구는 훌륭하고 허용하지만 루트가 필요하지 않습니다.
ACL을 사용하더라도 다른 루트 사용자가 데이터에 접근하는 것을 막을 수는 없습니다. 귀하(루트로서)가 ACL을 생성하면 그들(루트로서)이 이를 수정하게 됩니다.
진정으로 실행 가능한 유일한 해결책은 다양한 유령 기관이 오래 전에 발명한 것입니다. 에어 갭이 있는 기계.
"일급 비밀" 데이터를 드라이브에 저장하고 친구와 함께 컴퓨터에 연결하지 마십시오. 또는 루트 사용자가 많지 않고 네트워크에 액세스할 수 없는 다른 시스템에 드라이브를 설치하십시오. 당신의 친구가 이 시스템에 액세스할 수 있는 Spook Grade 해커 도구를 갖고 있을 가능성이 없기 때문에 이 시스템(파일 서버)이 네트워크에 액세스할 수 있도록 허용하면 문제가 발생하지 않을 수 있습니다. 자신에게만 액세스 권한을 부여하세요. 짜잔, 격리된 데이터입니다. 이런 종류의 기계는 만드는 비용이 매우 저렴합니다. CPU, NIC 완료.
이를 신뢰하고/하거나 이(루트 사용자 클러스터링) 시스템에서만 이 데이터에 액세스하기를 "원하는" 경우 단일 사용자 모드, 오프라인일 때만 드라이브를 물리적으로 연결하고 콘솔에 있습니다. .
아마도 다른 창의적인 솔루션이 있을 수 있지만 소프트웨어와 관련된 경우 한 루트 사용자를 다른 루트 사용자로부터 격리하는 것은 불가능합니다.
ps: 루트를 언급할 때 해당 용어는 sudo 등을 사용하는 사용자가 아닌 실제 루트 사용자를 의미하는 데 사용됩니다.
답변2
궁극적으로 누군가에게 시스템에 대한 루트 액세스 권한을 부여하면 시스템의 모든 것을 제공하게 되므로 루트 권한을 부여한 사람들을 신뢰하는 것이 중요합니다.
답변3
/etc/shadow에 불변의 확장 파일 시스템 속성을 설정할 수 있다고 가정합니다. 그러면 다음 때까지 모든 비밀번호 변경이 방지됩니다.뿌리사용자가 불변 비트를 실행 취소합니다. 명령은 "chattr +i /etc/shadow"입니다.
전문 시스템 관리자에게 루트 액세스 권한을 제공하는 경우 비밀번호를 변경하지 말라고 요청하면 비밀번호를 변경하지 않을 것이라고 가정해야 합니다. 마지막으로 언제든지 Kerberos 5 또는 중앙에서 관리되는 것을 사용하도록 전환할 수 있습니다.