Impedir o acesso de gravação para root nos diretórios iniciais

Question 1

Você está fazendo a pergunta errada se quiser uma resposta diferente de "Não" - o root não pode ser impedido de fazerqualquer coisa(incluindo a alteração de permissões, mas a *divindade* pode definir permissões tão rigorosas que nem mesmo ela pode ignorá-las?).

O que você provavelmente deseja é conceder alguns privilégios administrativos (instalação de programas e outros) aos usuários sem torná-los onipotentes no sistema. Para isso você pode usar, por exemplosudocom restrições em nível de usuário/grupo.

Answer

Você está fazendo a pergunta errada se quiser uma resposta diferente de "Não" - o root não pode ser impedido de fazerqualquer coisa(incluindo a alteração de permissões, mas a *divindade* pode definir permissões tão rigorosas que nem mesmo ela pode ignorá-las?).

O que você provavelmente deseja é conceder alguns privilégios administrativos (instalação de programas e outros) aos usuários sem torná-los onipotentes no sistema. Para isso você pode usar, por exemplosudocom restrições em nível de usuário/grupo.

Question 2

O usuário root pode modificar qualquer coisa na casa de qualquer usuário, isso ocorre por design.

Para que os usuários possam ler, mas não modificar arquivos, você terá que usar grupos e conceder permissão de grupo somente leitura aos arquivos. Um exemplo, que ilustra seu caso de uso, está disponível emaqui:

Answer

O usuário root pode modificar qualquer coisa na casa de qualquer usuário, isso ocorre por design.

Para que os usuários possam ler, mas não modificar arquivos, você terá que usar grupos e conceder permissão de grupo somente leitura aos arquivos. Um exemplo, que ilustra seu caso de uso, está disponível emaqui:

Question 3

Se você alterar seu diretório /home para ser uma montagem NFS, poderá usar a opção root_squash para que o usuário root na caixa local seja mapeado para um usuário anônimo no servidor NFS. Isso impediria que o root em sua caixa pudesse modificar os arquivos em/home.

No entanto, embora o root nunca possa modificar os arquivos de outros usuários no servidor NFS, tome cuidado, pois há coisas maliciosas que o root ainda pode fazer. Por exemplo, o root poderia desmontar /home e substituí-lo por um /home aparentemente duplicado no qual ele poderia gravar. Ele também poderia montar um sistema de arquivos falso sobre o diretório inicial de outro usuário, no qual também poderia gravar. Embora os arquivos originais ainda estejam seguros e intactos no servidor NFS, seus usuários não saberão como procurar esse truque e você poderá se deparar com qualquer problema que esteja tentando evitar.

Answer

Se você alterar seu diretório /home para ser uma montagem NFS, poderá usar a opção root_squash para que o usuário root na caixa local seja mapeado para um usuário anônimo no servidor NFS. Isso impediria que o root em sua caixa pudesse modificar os arquivos em/home.

No entanto, embora o root nunca possa modificar os arquivos de outros usuários no servidor NFS, tome cuidado, pois há coisas maliciosas que o root ainda pode fazer. Por exemplo, o root poderia desmontar /home e substituí-lo por um /home aparentemente duplicado no qual ele poderia gravar. Ele também poderia montar um sistema de arquivos falso sobre o diretório inicial de outro usuário, no qual também poderia gravar. Embora os arquivos originais ainda estejam seguros e intactos no servidor NFS, seus usuários não saberão como procurar esse truque e você poderá se deparar com qualquer problema que esteja tentando evitar.

Impedir o acesso de gravação para root nos diretórios iniciais

Responder1

Responder2

Responder3

informação relacionada