Quem pode ver o conteúdo do meu diretório além do root? O que é CAP_DAC_OVERRIDE? O sysadmin pode conceder esse privilégio ao meu conteúdo a algum usuário?
Pelo que entendi, alguém com privilégio CAP_DAC_OVERRIDE pode entrar e ver o conteúdo de qualquer diretório, mesmo que a permissão esteja definida como chmod 600. Em caso afirmativo, existe uma maneira de saber se alguém tem esse privilégio em meus diretórios.
Meu chefe estava se esforçando muito para me espionar e, ultimamente, sinto que ele convenceu o administrador do sistema a lhe fazer algum favor. Agora ele parece muito familiarizado com o que estou fazendo e com alguns arquivos em meu diretório. Não tenho nada a esconder, mas me assusto por ser monitorado por alguém o tempo todo.
Se não for por CAP_DAC_OVERRIDE, existe alguma outra pessoa além do root que veja o conteúdo dos meus diretórios?
Responder1
CAP_DAC_OVERRIDEé umcapacidade de processo, ele não será anexado a arquivos específicos. Para processos que o possuem em seu conjunto de recursos efetivos, as verificações de permissão DAC (leitura/gravação/execução) são completamente ignoradas. Isso é semelhante a como as verificações de permissão do DAC são ignoradas para root.
Conceder acesso compartilhado a arquivos usando esse recurso é extremamente grosseiro (ativado/desativado), pois ignorariatodosControles de acesso DAC paratudo. Ter a capacidade é essencialmente o mesmo que ser root[1]. Nenhum administrador de sistema responsável e competente daria acesso root às máquinas que administra para pessoas que não precisam dele.
Existem outros mecanismos de controle de acesso que permitem uma configuração refinada, por exemploListas de controle de acesso POSIX (ACL). Eles podem ser configurados por arquivo/diretório para permitir acesso de usuário(s)/grupo(s) que o acesso normal do DAC impediria.
Se o sistema que você está usando não for gerenciado por você, há pouco que você possa fazer para contornar as políticas definidas pelo administrador do sistema. Você poderia usar criptografia de arquivo adicional em seu cliente, o que manteria seus dados privados.
Seu chefe monitorando você no trabalho não é realmente um problema técnico, mas sim uma questão social. Uma solução técnica não vai resolver a situação.