Impedir o acesso de gravação para root nos diretórios iniciais

Impedir o acesso de gravação para root nos diretórios iniciais

Existe uma distribuição Linux que impede que o usuário root modifique/exclua arquivos/diretórios na casa de outro usuário? Me deparei com ferramentas que permitem que o diretório inicial seja criptografado. Mas quero que outros usuários possam ler os arquivos, mas não modificá-los ou excluí-los.

Se isso não for possível no Linux, algum de vocês conhece algum outro sistema operacional que permita isso?

Responder1

Você está fazendo a pergunta errada se quiser uma resposta diferente de "Não" - o root não pode ser impedido de fazerqualquer coisa(incluindo a alteração de permissões, mas a *divindade* pode definir permissões tão rigorosas que nem mesmo ela pode ignorá-las?).

O que você provavelmente deseja é conceder alguns privilégios administrativos (instalação de programas e outros) aos usuários sem torná-los onipotentes no sistema. Para isso você pode usar, por exemplosudocom restrições em nível de usuário/grupo.

Responder2

O usuário root pode modificar qualquer coisa na casa de qualquer usuário, isso ocorre por design.

Para que os usuários possam ler, mas não modificar arquivos, você terá que usar grupos e conceder permissão de grupo somente leitura aos arquivos. Um exemplo, que ilustra seu caso de uso, está disponível emaqui:

Responder3

Se você alterar seu diretório /home para ser uma montagem NFS, poderá usar a opção root_squash para que o usuário root na caixa local seja mapeado para um usuário anônimo no servidor NFS. Isso impediria que o root em sua caixa pudesse modificar os arquivos em/home.

No entanto, embora o root nunca possa modificar os arquivos de outros usuários no servidor NFS, tome cuidado, pois há coisas maliciosas que o root ainda pode fazer. Por exemplo, o root poderia desmontar /home e substituí-lo por um /home aparentemente duplicado no qual ele poderia gravar. Ele também poderia montar um sistema de arquivos falso sobre o diretório inicial de outro usuário, no qual também poderia gravar. Embora os arquivos originais ainda estejam seguros e intactos no servidor NFS, seus usuários não saberão como procurar esse truque e você poderá se deparar com qualquer problema que esteja tentando evitar.

informação relacionada