Защитить папку от sudoers

Есть ли возможность не разрешать sudoers просматривать вашу папку (только вы и root можете получить доступ к папке)?

5 Solutions collect form web for “Защитить папку от sudoers”

Предполагая, что «sudoers» вы имеете в виду людей, которым разрешено запускать команды с правами root с префиксом sudo , поскольку они упоминаются в файле sudoers через строку, такую ​​как bob ALL=(ALL) ALL , тогда эти люди являются root. То, что определяет «root», не знает пароль учетной записи root, имеет доступ к учетной записи root любым способом.

Вы не можете защитить свои данные от root. По определению пользователь root может делать все. Разрешения не помогли бы, так как root может изменить или обойти разрешения. Шифрование не поможет, так как root может подорвать программу, выполняющую дешифрование.

Если вы не доверяете кому-либо, не предоставляйте им root-доступ на машине, где хранятся ваши данные. Если вы не доверяете кому-то, у кого есть root-доступ на машине, не храните на нем свои данные.

Если пользователь нуждается в корневом доступе для определенных целей, таких как удобное администрирование приложения, установка пакетов и т. Д., Затем предоставить им собственное оборудование или предоставить им свою собственную виртуальную машину. Пусть они являются root в VM, но не на хосте.

Обычно sudo доступ предоставляется таким образом:

 # User privilege specification root ALL=(ALL) ALL user1 ALL=(ALL) ALL 

В этом случае пользователь по существу имеет неограниченный доступ, чтобы стать root и делать все, что захочет. Вы можете быть более разумным в том, как вы предоставляете доступ к различным задачам в sudo, делая это таким образом:

 user1 ALL=(root) /usr/bin/find, /bin/rm 

Здесь мы ограничиваем команды, которые пользователь1 может использовать, чтобы просто find и rm . Если вы знаете, что пользователю нужна только определенная команда, вы можете предоставить им доступ исключительно к этой команде.

Кроме того, вы можете создавать сценарии вместо добавления команд. Например:

 user1 ALL=(root) /usr/local/bin/limited_script.sh 

Этот скрипт будет единственной командой, к которой у них будет доступ, например, cd /to/some/dir , в предыдущем сценарии, а затем обернуть любую команду, в которой им нужен доступ. Это может быть способ ограничить их доступ.

Поймите, что этот подход не является полным доказательством, но обеспечит вам определенный уровень защиты.

Если команды sudoer не могут запускаться, они ограничены в файле конфигурации sudoers (обычно /etc/sudoers ), sudo предоставляет root , поэтому вы ничего не можете сделать, чтобы предотвратить доступ sudoer к вашему каталогу.

Обычно sudo используется для получения root-полномочий обычными пользователями, по крайней мере, определенной команды. Поэтому, если root может его прочитать, тогда пользователь может использовать sudo .

Думаю, самое лучшее, что вы могли бы сделать, это зашифровать папку / файлы каким-то образом на личный пароль.

Возможно, вы можете использовать списки ACL и в настройке соответствующих записей ACE, которые вы могли бы сделать. Однако, это немного больше хлопот.

В любом случае, если вы это сделаете, как администратор поможет вам решить проблему с вашими файлами / каталогами? Либо вы доверяете своим доверенным пользователям, либо нет, и переходите к другой системе, в которой вы доверяете своим администраторам.

  • Как использовать sudo для удаления содержимого каталога
  • sudo: «эффективный uid не равен 0, sudo установлен setuid root?» на малине Pi
  • Автозаполнение для недоступных каталогов
  • Разрешить пользователям запускать только определенные двоичные файлы с правами root / привилегиями
  • отключить запрос пароля sudo для сценария загрузки
  • sudo kill: операция не разрешена через SSH
  • Выполнять вторую команду в цепочке как другой пользователь
  • команда запуска в качестве другого пользователя nologin
  • Если я нахожу «sudo» в начале одного лайнера, применим ли он к остальным командам?
  • Переместить переменную среды в Sudo AWS ec2 sudo node
  • Получить iSerial с lsusb без sudo
  • Interesting Posts

    Как определить, является ли работающая программа 64-разрядной в Linux?

    Как удалить диск из группы с чередующимися томами?

    Поиск файлов в глобальных каталогах, исключая некоторые подпуты

    Nvidia загружается, несмотря на то, что она включена в черный список

    Время автономной работы для нескольких виртуальных машин

    Найдите то, что занимает много памяти и не видно в `ps` или аналогичном

    Сортировка массива путей файлов по их базам

    Включает ли vi в конце файла новую строку (LF)?

    Слишком большая задержка с xscreensaver на неправильном пароле в OpenSUSE 12.2

    Видеопроигрыватель, который использует несколько ядер CPU / GPU в Linux?

    Не удается подключить шлюз после моста

    Как убедить dpkg, что libssl1.0.2 is> = libssl1.0.0?

    Cron с 12-часовым выпуском?

    отслеживание активности в Linux-системе?

    Как я могу определить, является ли «сторожевой таймер NMI: BUG: soft lockup» аппаратным или программным обеспечением?

    Linux и Unix - лучшая ОС в мире.