Как настроить Debian так, чтобы несколько пользователей могли администрировать, но не могли видеть личные файлы друг друга?

Question

Я ищу, чтобы настроить сервер, чтобы поделиться с группой людей. Машина будет работать под управлением Debian GNU/Linux, и мы хотели бы разрешить нескольким людям выполнять задачи администрирования (в частности, установку, обновление и настройку программного обеспечения), но мы не хотели бы предоставлять каждому из этих администраторов доступ на чтение к домашним каталогам каждого, поэтому дать им какой-то прямой способ стать root не является оптимальным решением.

Я предполагаю, что может быть хорошо проверенный способ сделать это, который я предполагаю, может включать использование sudo и правильную настройку sudoers . Как мне это сделать?

Answer 1

Одним из решений, которое наилучшим образом гарантирует, что все домашние каталоги являются частными, является шифрование домашних каталогов. Я могу ошибаться, но я думаю, что было бы довольно сложно получить нужную конфигурацию без шифрования. Если у других есть физический доступ к вашей машине, они всегда могут прочитать ваши файлы, если они действительно этого хотят (загрузить работающую ОС, смонтировать диск и прочитать). Поэтому я думаю, что шифрование будет вашим лучшим выбором.

Я не знаком со всеми методами шифрования жесткого диска, но, например, Ubuntu дает вам возможность зашифровать ваш домашний диск во время установки с помощью eCryptfs. Он находится поверх файловой системы, поэтому вам не нужно иметь отдельные разделы и т.д. При входе в систему файловая система разблокирована. Таким образом, пользователь не может сказать, что его домашний каталог зашифрован, он использует систему так же, как и всегда. Шифрование не должно мешать вам. Я не знаком с тем, как сложно это настроить.

Answer 2

Да, разрешить этим людям запускать apt-get и dpkg от имени пользователя root с помощью /etc/sudoers .

Я не уверен, открывает ли это возможность для работы с каталогами других пользователей (скажем, путем специального создания среды перед запуском этих программ). sudo должен позаботиться об этом, но я бы спросил в списке debian-security если вы не уверены.