除了 root 之外誰可以看到我的目錄內容?什麼是 CAP_DAC_OVERRIDE?系統管理員可以將我的內容的此權限授予某些使用者嗎?
我的理解是具有 CAP_DAC_OVERRIDE 權限的人可以進入並查看任何目錄的內容,即使權限設定為chmod 600。如果是這樣,我有辦法知道某人是否對我的目錄具有該權限嗎?
我的老闆非常努力地監視我,最近我覺得他已經說服了系統管理員幫他一些忙。現在他似乎對我正在做的事情以及我目錄中的一些文件非常熟悉。我沒有什麼好隱瞞的,只是因為一直被監視而感到害怕。
如果不是透過 CAP_DAC_OVERRIDE,除了 root 之外還有其他人可以看到我的目錄內容嗎?
答案1
CAP_DAC_OVERRIDE是一個過程能力,它不附加到特定文件。對於在其有效能力集中具有該權限的進程,DAC(讀取/寫入/執行)權限檢查將完全繞過。這類似於 root 繞過 DAC 權限檢查的方式。
使用這種功能授予對文件的共享存取權限非常粗略(開/關),因為它會跳過全部DAC 存取控制一切。擁有該能力本質上與成為 root 相同[1]。任何負責任且稱職的系統管理員都不會為不需要的人授予他們管理的電腦的 root 存取權限。
還有其他允許細粒度配置的存取控制機制,例如POSIX 存取控制清單 (ACL)。它們可以按檔案/目錄進行配置,以允許使用者/群組進行正常 DAC 存取將阻止的存取。
如果您使用的系統不是由您管理的,那麼您幾乎無法繞過系統管理員設定的策略。您可以在客戶端上使用額外的文件加密,這將使您的資料保密。
你的老闆在工作中監視你其實不是技術問題,而是社會問題。技術解決方案並不能解決問題。