Кто может видеть содержимое моего каталога, кроме root? Что такое CAP_DAC_OVERRIDE? Может ли системный администратор дать эту привилегию на мое содержимое какому-либо пользователю?
Насколько я понимаю, тот, у кого есть привилегия CAP_DAC_OVERRIDE, может войти и увидеть содержимое любого каталога, даже если разрешение установлено на chmod 600. Если так, есть ли способ узнать, есть ли у кого-то эта привилегия для моих каталогов.
Мой босс очень старался шпионить за мной, и в последнее время я чувствую, что он убедил системного администратора оказать ему некоторую услугу. Теперь он, кажется, очень хорошо знаком с тем, что я делаю, и с некоторыми файлами в моем каталоге. Мне нечего скрывать, но меня пугает, что за мной постоянно кто-то следит.
Если нет CAP_DAC_OVERRIDE, есть ли еще кто-то, кроме пользователя root, который может видеть содержимое моих каталогов?
решение1
CAP_DAC_OVERRIDEэтовозможности процесса, он не прикреплен к определенным файлам. Для процессов, которые имеют его в своем эффективном наборе возможностей, проверки разрешений DAC (чтение/запись/выполнение) полностью обходят. Это похоже на то, как обходят проверки разрешений DAC для root.
Предоставление общего доступа к файлам с использованием такой возможности является крайне грубым (вкл./выкл.), так как это приведет к пропускувсеDAC-контроллеры доступа длявсе. Наличие этой возможности по сути то же самое, что и наличие прав root.[1]Ни один ответственный и компетентный системный администратор не предоставит root-доступ к машинам, которые он администрирует, людям, которым это не нужно.
Существуют и другие механизмы контроля доступа, которые позволяют выполнять тонкую настройку, например:Списки контроля доступа POSIX (ACL). Их можно настроить для каждого файла/каталога, чтобы разрешить пользователям/группам доступ, который был бы запрещен при обычном доступе DAC.
Если система, которую вы используете, не управляется вами, вы мало что можете сделать, чтобы обойти политики, установленные системным администратором. Вы можете использовать дополнительное шифрование файлов на вашем клиенте, что сохранит ваши данные в тайне.
Ваш босс, следящий за вами на работе, на самом деле не техническая проблема, а социальная. Техническое решение не разрешит ситуацию.