1

Существует ли дистрибутив Linux, который запрещает пользователю root изменять / удалять файлы / каталоги в доме другого пользователя? Я столкнулся с инструментами, которые позволяют зашифровать домашний каталог. Но я хочу, чтобы другие пользователи могли читать файлы, но не могли изменять или удалять их.

Если это невозможно в Linux, знает ли кто-нибудь из вас о какой-либо другой ОС, которая позволяет это?

3 ответа3

5

Вы задаете неправильный вопрос, если хотите получить ответ, отличный от « Нет » - root не может быть лишен каких- либо действий (включая изменение разрешений, но может ли * божество * устанавливать разрешения настолько строго, что даже не сможет их обойти?).

То, что вы, вероятно, хотите, - это иметь возможность предоставлять некоторые административные привилегии (устанавливать программы и тому подобное) пользователям, не делая их всемогущими в системе. Для этого вы можете использовать, например, sudo с ограничениями на уровне пользователя / группы.

2

Пользователь root может изменить что угодно в доме любого пользователя, это сделано специально.

Чтобы пользователи могли читать, но не изменять файлы, вам придется использовать группы и давать файлам разрешение на чтение только для групп. Пример, иллюстрирующий ваш вариант использования, доступен здесь:

0

Если вместо этого вы измените каталог /home на монтирование NFS, вы можете использовать параметр root_squash, чтобы корневой пользователь на локальной карте сопоставлялся с анонимным пользователем на сервере NFS. Это не позволит root на вашем компьютере изменять файлы в /home.

Однако, хотя root никогда не может изменять файлы других пользователей на NFS-сервере, имейте в виду, что существуют вредоносные действия, которые root по-прежнему может делать. Например, root может размонтировать /home и заменить его на кажущийся дубликат /home, в который он может писать. Он также может монтировать поддельную файловую систему поверх домашней директории другого пользователя, в которую он также может записывать. Хотя исходные файлы все еще будут в безопасности и не будут затронуты на сервере NFS, ваши пользователи не будут знать, как искать этот обман, и вы можете столкнуться с любой проблемой, которую пытались избежать.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .