Intereting Posts
SSH просит меня ввести кодовую фразу, которая не имеет кодовой фразы Как отметить даты, которые были в прошлом? ENOSPC: Почему требуется баланс «btrfs»? Что оно делает? Есть ли смысл использовать `sudo`, когда вы являетесь единственным пользователем вашей машины? Разница между «/ export / home» и «/ home» Автозаполнение в соответствии с возможными целями Какова наилучшая конфигурация rtorrent.rc для посева? Файлы Rsync, исключая список После печати предыдущей строки, где файл содержит один токен, теперь нужно пройти через результат, чтобы соответствовать требованию cd из удаленной папки Как вы используете 'find' для обновления права собственности на все каталоги, файлы и символические ссылки в папке? Когда группы процессов обычно создаются? Использование разрешений Drush описание порядка сортировки Управление памятью – как работает memblock_reserve

Защитить папку от sudoers

Есть ли возможность не разрешать sudoers просматривать вашу папку (только вы и root можете получить доступ к папке)?

Предполагая, что «sudoers» вы имеете в виду людей, которым разрешено запускать команды с правами root с префиксом sudo , поскольку они упоминаются в файле sudoers через строку, такую ​​как bob ALL=(ALL) ALL , тогда эти люди являются root. То, что определяет «root», не знает пароль учетной записи root, имеет доступ к учетной записи root любым способом.

Вы не можете защитить свои данные от root. По определению пользователь root может делать все. Разрешения не помогли бы, так как root может изменить или обойти разрешения. Шифрование не поможет, так как root может подорвать программу, выполняющую дешифрование.

Если вы не доверяете кому-либо, не предоставляйте им root-доступ на машине, где хранятся ваши данные. Если вы не доверяете кому-то, у кого есть root-доступ на машине, не храните на нем свои данные.

Если пользователь нуждается в корневом доступе для определенных целей, таких как удобное администрирование приложения, установка пакетов и т. Д., Затем предоставить им собственное оборудование или предоставить им свою собственную виртуальную машину. Пусть они являются root в VM, но не на хосте.

Обычно sudo доступ предоставляется таким образом:

 # User privilege specification root ALL=(ALL) ALL user1 ALL=(ALL) ALL 

В этом случае пользователь по существу имеет неограниченный доступ, чтобы стать root и делать все, что захочет. Вы можете быть более разумным в том, как вы предоставляете доступ к различным задачам в sudo, делая это таким образом:

 user1 ALL=(root) /usr/bin/find, /bin/rm 

Здесь мы ограничиваем команды, которые пользователь1 может использовать, чтобы просто find и rm . Если вы знаете, что пользователю нужна только определенная команда, вы можете предоставить им доступ исключительно к этой команде.

Кроме того, вы можете создавать сценарии вместо добавления команд. Например:

 user1 ALL=(root) /usr/local/bin/limited_script.sh 

Этот скрипт будет единственной командой, к которой у них будет доступ, например, cd /to/some/dir , в предыдущем сценарии, а затем обернуть любую команду, в которой им нужен доступ. Это может быть способ ограничить их доступ.

Поймите, что этот подход не является полным доказательством, но обеспечит вам определенный уровень защиты.

Если команды sudoer не могут запускаться, они ограничены в файле конфигурации sudoers (обычно /etc/sudoers ), sudo предоставляет root , поэтому вы ничего не можете сделать, чтобы предотвратить доступ sudoer к вашему каталогу.

Обычно sudo используется для получения root-полномочий обычными пользователями, по крайней мере, определенной команды. Поэтому, если root может его прочитать, тогда пользователь может использовать sudo .

Думаю, самое лучшее, что вы могли бы сделать, это зашифровать папку / файлы каким-то образом на личный пароль.

Возможно, вы можете использовать списки ACL и в настройке соответствующих записей ACE, которые вы могли бы сделать. Однако, это немного больше хлопот.

В любом случае, если вы это сделаете, как администратор поможет вам решить проблему с вашими файлами / каталогами? Либо вы доверяете своим доверенным пользователям, либо нет, и переходите к другой системе, в которой вы доверяете своим администраторам.