Если я добавлю строку: ALL= /usr/bin/truecrypt
в файл sudoers, это позволит всем пользователям монтировать тома в произвольных точках монтирования. Проблема в том, что пользователь может создать том truecrypt, а затем смонтировать его в /etc/apache2
или /var/www
-- каталогах, которые он не должен иметь возможности изменять.
Если у пользователя нет прав sudo для запуска, /usr/bin/truecrypt
то truecrypt завершается ошибкой после запроса пароля администратора/пользователя.
Как правильно настроить system/truecrypt, чтобы пользователи могли монтировать тома разумным/безопасным способом?например, они могут монтировать тома только в те точки монтирования, которыми они владеют (или к которым имеют доступ на запись)?
решение1
Я бы посоветовал вам попробовать добавить ваши монтирования в fstab. Его можно найти на /etc/fstab
большинстве систем.
fstab позволит вам ограничить, кто имеет доступ и кто может монтировать какие устройства к каким точкам монтирования. Параметр, который вы ищете, скорее всего, будет uid
. Вы можете определить UID пользователя, изучив /etc/passwd
. Обычно вы будете использовать uid 1000 в качестве первого пользователя, созданного в системе.
sshfs#server.local:/mnt/Mountpoint /mnt/LocalDir fuse comment=sshfs,noauto,users,exec,uid=1000,gid=1000,allow_other,reconnect,transform_symlinks,BatchMode=yes,IdentityFile=/home/me/.ssh/server 0 0
В этом примере показано, как я монтирую удаленную файловую систему локально с помощью sshfs. Я ограничил его так, что только мой пользователь может делать это. В этом примере sshfs есть дополнительные опции, которые вам, скорее всего, не понадобятся, но я думаю, если вы посмотрите, это может прояснить ситуацию.
дальнейшее чтение
Монтируйте тома TrueCrypt как обычный пользователь
вкратце
Настройте uid и даже guid в fstab, чтобы ограничить доступ определенным пользователям. Это ограничит монтирование/размонтирование, а также доступ к файлам, если настроено правильно. Также проверьте, используете ли вы FUSE, так как это может вызвать дополнительный конфликт.