Intereting Posts
Как возможно, что gnome-software может устанавливать приложения в arch без доступа root? Как восстановить групповую / пользовательскую правку по умолчанию для всех файлов в / var? понимание / dev / disk / by-folders Как заставить Терминатора сосредоточиться на скрытии? Какой исходный пакет использует мастер установки Deepin OS? как маршрутизировать локальную IP-подсеть в туннель vpnc Что такое эквивалент yum 'apt-get update'? Перемещение одного файла за раз, исходя из определенного числа в файлах Список всех каталогов, которые НЕ имеют файл с заданным именем файла внутри Настроить ebuild в Gentoo в дереве порталов Дублируйте пользователя или, по крайней мере, пароль Не удается перейти в существующий каталог Изменение расширения нескольких файлов с помощью однострочной команды Linux (на Vmware) мгновенно отключается, когда не выполняет никакой сетевой активности Wget: конвертировать ссылки и избежать повторной загрузки уже загруженных файлов?

Защитить папку от sudoers

Есть ли возможность не разрешать sudoers просматривать вашу папку (только вы и root можете получить доступ к папке)?

Предполагая, что «sudoers» вы имеете в виду людей, которым разрешено запускать команды с правами root с префиксом sudo , поскольку они упоминаются в файле sudoers через строку, такую ​​как bob ALL=(ALL) ALL , тогда эти люди являются root. То, что определяет «root», не знает пароль учетной записи root, имеет доступ к учетной записи root любым способом.

Вы не можете защитить свои данные от root. По определению пользователь root может делать все. Разрешения не помогли бы, так как root может изменить или обойти разрешения. Шифрование не поможет, так как root может подорвать программу, выполняющую дешифрование.

Если вы не доверяете кому-либо, не предоставляйте им root-доступ на машине, где хранятся ваши данные. Если вы не доверяете кому-то, у кого есть root-доступ на машине, не храните на нем свои данные.

Если пользователь нуждается в корневом доступе для определенных целей, таких как удобное администрирование приложения, установка пакетов и т. Д., Затем предоставить им собственное оборудование или предоставить им свою собственную виртуальную машину. Пусть они являются root в VM, но не на хосте.

Обычно sudo доступ предоставляется таким образом:

 # User privilege specification root ALL=(ALL) ALL user1 ALL=(ALL) ALL 

В этом случае пользователь по существу имеет неограниченный доступ, чтобы стать root и делать все, что захочет. Вы можете быть более разумным в том, как вы предоставляете доступ к различным задачам в sudo, делая это таким образом:

 user1 ALL=(root) /usr/bin/find, /bin/rm 

Здесь мы ограничиваем команды, которые пользователь1 может использовать, чтобы просто find и rm . Если вы знаете, что пользователю нужна только определенная команда, вы можете предоставить им доступ исключительно к этой команде.

Кроме того, вы можете создавать сценарии вместо добавления команд. Например:

 user1 ALL=(root) /usr/local/bin/limited_script.sh 

Этот скрипт будет единственной командой, к которой у них будет доступ, например, cd /to/some/dir , в предыдущем сценарии, а затем обернуть любую команду, в которой им нужен доступ. Это может быть способ ограничить их доступ.

Поймите, что этот подход не является полным доказательством, но обеспечит вам определенный уровень защиты.

Если команды sudoer не могут запускаться, они ограничены в файле конфигурации sudoers (обычно /etc/sudoers ), sudo предоставляет root , поэтому вы ничего не можете сделать, чтобы предотвратить доступ sudoer к вашему каталогу.

Обычно sudo используется для получения root-полномочий обычными пользователями, по крайней мере, определенной команды. Поэтому, если root может его прочитать, тогда пользователь может использовать sudo .

Думаю, самое лучшее, что вы могли бы сделать, это зашифровать папку / файлы каким-то образом на личный пароль.

Возможно, вы можете использовать списки ACL и в настройке соответствующих записей ACE, которые вы могли бы сделать. Однако, это немного больше хлопот.

В любом случае, если вы это сделаете, как администратор поможет вам решить проблему с вашими файлами / каталогами? Либо вы доверяете своим доверенным пользователям, либо нет, и переходите к другой системе, в которой вы доверяете своим администраторам.