防止 root 在主目錄中進行寫入訪問

防止 root 在主目錄中進行寫入訪問

是否有 Linux 發行版可以阻止 root 使用者修改/刪除其他使用者家中的檔案/目錄?我遇到了允許對主目錄進行加密的工具。但我希望其他用戶能夠讀取這些文件,但不能修改或刪除它們。

如果這在 Linux 中不可能,你們知道有其他作業系統允許這樣做嗎?

答案1

如果您想要“以外的答案”,那麼您就問錯了問題" - root 的行為不能被阻止任何事物(包括更改權限,但是*神*可以將權限設定得如此嚴格以至於它無法繞過它們嗎?)。

您可能想要的是能夠向使用者授予一些管理權限(安裝程式等),而不使他們在系統上擁有全能。為此,您可以使用例如sudo對使用者/群組層級進行限制。

答案2

root 使用者可以修改任何使用者家中的任何內容,這是設計使然。

要讓使用者能夠讀取但不能修改文件,您必須使用群組並授予文件只讀群組權限。可以從以下位置取得一個說明您的用例的範例這裡:

答案3

如果您將 /home 目錄變更為 NFS 掛載,則可以使用 root_squash 選項將本機上的 root 使用者對應到 NFS 伺服器上的匿名使用者。這將阻止您機器上的 root 能夠修改 /home 中的檔案。

然而,雖然 root 永遠無法修改 NFS 伺服器上其他使用者的文件,但請注意 root 仍然可以執行惡意操作。例如,root 可以卸載 /home 並將其替換為可以寫入的看似重複的 /home。它還可以在另一個使用者的主目錄頂部安裝一個假檔案系統,它也可以寫入該檔案系統。雖然原始檔案在 NFS 伺服器上仍然是安全且未受影響的,但您的用戶將不知道如何尋找這種欺騙,並且您可能會遇到您試圖避免的任何問題。

相關內容