Wie kann der Root-Benutzer eine Datei / ein Verzeichnis erstellen, die bzw. das für sich selbst nicht beschreibbar ist?

8

Normale Benutzer können chmodDateien, um sie unzugänglich zu machen, wie

evgeniy@ubuntu:~$ touch test
evgeniy@ubuntu:~$ chmod 444 test
evgeniy@ubuntu:~$ echo 'test' > test
bash: test: Permission denied

Kann so etwas für den Root-Benutzer simuliert werden?

linux permissions filesystems Dolzenko
quelle

Ich hoffe nicht, oder ich bin sicher, es zu tun.

Mark Allen

Gehen Sie voran und überprüfen Sie die Antwort von @ danlefree;)

Dolzenko

13

chattr +i *verhindert, dass auch das Root-Konto Änderungen an Dateien im Verzeichnis vornimmt (bis chattr -i *es ausgeführt wird).

Laut den Kommentaren von Slartibartfast sollten Sie einige Dinge über chattr und das unveränderliche Attribut wissen :

Das unveränderliche Bit verhindert, dass eine Datei gelöscht, umbenannt, verknüpft oder beschrieben wird. Verwenden Sie lsattrdiese Option, um Attribute auf die gleiche Weise anzuzeigen, wie lsEigentümer und Berechtigungen angezeigt werden
Sie können verhindern, dass das unveränderliche Bit (auch von root) nicht gesetzt wird, indem Sie das CAP_LINUX_IMMUTABLEFlag ändern. Dazu möchten Sie libcap installieren. Es ist jedoch nur eine faire Warnung, dass die Funktionen (bestenfalls) schlecht dokumentiert sind.

danlefree
quelle

Es ist erwähnenswert, um zu helfen, diese Antwort zu finden, dass chattr + i die Datei unveränderlich macht.

Slartibartfast

5

Mit SELinux kann eine Datei in der aktuellen Domänen- und Benutzerrolle von root als nicht beschreibbar markiert werden.

Ignacio Vazquez-Abrams
quelle

Ein Beispiel zu liefern wäre großartig

Jonathan

Antworten: