홈 디렉토리에서 루트에 대한 쓰기 액세스 방지

루트 사용자가 다른 사용자의 집에서 파일 / 디렉토리를 수정 / 삭제하지 못하게하는 Linux 배포판이 있습니까? 홈 디렉토리를 암호화 할 수있는 도구를 발견했습니다. 그러나 다른 사용자가 파일을 읽을 수는 있지만 수정하거나 삭제할 수 있기를 바랍니다.

리눅스에서 이것이 가능하지 않다면 이것을 허용하는 다른 OS를 알고 있습니까?

linux security user-accounts

— 말할 수 없다
소스

그것은 일종의 root사용자 를 갖는 목적을 무너 뜨 립니다. 왜 원하는지 자세히 설명해 주시겠습니까?

— slhck

@slhck 사용자 계정의 파일이 다른 시스템 사용을 방해하지 않기 때문에 이것이 왜 문제가되는지 알 수 없습니다. 루트 계정은 모든 사람이 사용할 소프트웨어 설치와 같은 일반적인 작업에 사용할 수 있습니다.

— 수 없음

root가 다른 사용자의 집에서 파일을 삭제하지 못하게하려는 이유는 무엇입니까? 이것은 root모든 파일에 액세스 할 수있는 사용자 의 시점입니다 .

— Renan

@Renan 그러나 그것은 개인 정보를 침해하지 않습니까?

— 수 없습니다

@ Can'tTell 예, root로그인에 주의해야합니다 .

— Renan

답변:

" 아니오 " 이외의 답변을 원할 경우 잘못된 질문을합니다. 루트는 권한 변경을 포함하여 아무것도 하지 못하게 할 수는 없지만 * deity *는 권한을 무시하여 권한을 무시할 수 없습니까?

아마 당신이 원하는 것은 시스템에 전능하게 만들지 않고 사용자에게 일부 관리 권한 (프로그램 설치 등)을 제공하는 것입니다. 이를 위해 예 sudo를 들어 사용자 / 그룹 수준의 제한과 함께 사용할 수 있습니다 .

— 다니엘 앤더슨
소스

답변 주셔서 감사합니다. sudoers 파일을 편집하여 root 이외의 사용자가 root가 할 수 있지만 다른 사용자의 파일을 수정할 수없는 모든 작업을 수행 할 수 있습니까?

— 수 없음

@ Can'tTell : 프로그램의 모든 측면에 익숙하지 않고 "아니오"라고 말하기는 어렵지만, 아니요 . sudo는 블랙리스트가 아닌 화이트리스트 (특정 응용 프로그램 사용 가능)로 사용되며 (거부 특정 조작) 화이트리스트에서 발생하는 것은 해당 프로그램이 루트 권한으로 실행된다는 것입니다. 예를 들어 사용자가 프로그램을 설치할 수있게하려면 허용 또는 사용 대상. 종종 sudo 권한이 액세스를 제어 할 수있는 랩퍼 스크립트를 작성합니다. 그러나이 주석 상자에는 적합하지 않은 주제입니다. apt-getaptitude

— Daniel Andersson

루트 사용자는 모든 사용자 가정의 모든 것을 수정할 수 있습니다. 이것은 의도적으로 설계된 것입니다.

사용자가 파일을 읽을 수는 있지만 수정할 수 없도록하려면 그룹을 사용하고 파일에 읽기 전용 그룹 권한을 부여해야합니다. 사용 사례를 보여주는 예는 다음에서 제공 됩니다 .

— 레난
소스

그러나 루트 사용자가 사용자 홈의 파일을 삭제 / 수정하지 못하게하고 싶습니다.

— 말할 수 없다

@ Can'tTell은 불가능합니다. 설계 상 root사용자는 원하는 모든 것을 수정 / 삭제할 수 있습니다. 그렇지 않으면 root사용자 의 입장에서 패배합니다 .

— Renan

/ home 디렉토리를 대신 NFS 마운트로 변경하는 경우 root_squash 옵션을 사용하여 로컬 상자의 루트 사용자가 NFS 서버의 익명 사용자에게 맵핑되도록 할 수 있습니다. 그러면 상자의 루트가 / home의 파일을 수정할 수 없습니다.

그러나 root는 NFS 서버에서 다른 사용자의 파일을 수정할 수 없지만 root가 여전히 악의적 인 일을 할 수 있다는 점에 유의하십시오. 예를 들어 root는 / home을 마운트 해제하고이를 쓸 수있는 복제 된 / home으로 대체 할 수 있습니다. 또한 다른 사용자의 홈 디렉토리 상단에 가짜 파일 시스템을 마운트 할 수도 있습니다. 원본 파일은 NFS 서버에서 여전히 안전하고 손대지 않지만 사용자는이 속임수를 찾는 방법을 알지 못하므로 피하려고하는 모든 문제가 발생할 수 있습니다.

— 팀 에이스
소스