Auf meinem Ubuntu-Rechner (ext3-Dateisystem) ist mir gerade aufgefallen, dass das Entfernen von Schreibberechtigungen aus einer Datei nicht verhindert, dass root darauf schreibt.
Ist dies eine allgemeine Regel für UNIX-Dateiberechtigungen? Oder Ubuntu-spezifisch? Oder eine Fehlkonfiguration auf meinem Computer?
# touch abc # chmod ugo-w abc # Python Python 2.6.4 (r264: 75706, 7. Dezember 2009, 18:45:15) [GCC 4.4.1] unter Linux2 Geben Sie "help", "copyright", "credits" oder "license" ein, um weitere Informationen zu erhalten. >>> öffne ('abc', 'w'). schreibe ('AAA \ n') >>> # Katze abc AAA
Das Schreiben in die Datei schlägt (wie erwartet) fehl, wenn ich dies von meinem normalen Benutzerkonto aus tue.
Ist das normales Verhalten?
Gibt es eine Möglichkeit zu verhindern, dass root versehentlich in eine Datei schreibt? (Vorzugsweise normale Dateisystemmechanismen verwenden, nicht AppArmor usw.)
Bitte bringen Sie mir etwas bei, das ich definitiv nicht verstehe.
HINWEIS: Ich verstehe, dass root die vollständige Kontrolle über das System hat und z. B. die Berechtigungen für jede Datei ändern kann. Meine Frage ist, ob aktuell eingestellte Berechtigungen für Code erzwungen werden, der als root ausgeführt wird . Die Idee ist, dass der Root-Benutzer verhindert, dass er versehentlich in eine Datei schreibt.
HINWEIS: Ich verstehe auch, dass man für den normalen Betrieb nicht als root angemeldet sein sollte . Ich habe dieses Verhalten gerade bemerkt und frage Sie danach.
quelle
chattr
. Gibt es einen Benutzermodus zum Festlegen solcher Attribute?root
eine Datei so gut schützen, auch wenn er sie nicht löschen kann"!CAP_DAC_OVERRIDE
Möglichkeit, ACLs und Berechtigungen zu ignorieren.sudo chflags <s|u>chg <file>
darin, es für das System bzw. den Benutzer unveränderlich zu machen undsudo chflags no<s|u>chg <file>
das unveränderliche Flag für das System bzw. den Benutzer zu deaktivieren.Ja das ist normal Wurzel ist Gott.
Ja, es gibt Möglichkeiten, zu verhindern, dass root Dateien überschreibt.
chattr
(+i
setzt,-i
setzt nicht). Erfordert Root-Zugriff, funktioniert nur mit ext2 / ext3 (vermutlich auch mit ext4), ist aber ansonsten praktisch.sudo
diese Taste, um auf Systemfunktionen zuzugreifen.Diese Methoden folgen logischerweise aus # 1. Wie Sie sehen, sind die letzten beiden Methoden in der Regel nicht sinnvoll, ebenso wenig wie der Schutz von Windows vor Viren durch Entfernen des Netzwerks. Deshalb ist root gefährlich. [+]
[*] Natürlich ohne die Möglichkeit, "versehentlich" direkt auf das Block-Gerät zu schreiben. Ja, root kann das. Ja, das können Sie verhindern: Trennen Sie das Gerät.
[+] Hierher kommen auch die BOfH-Mythen. Sie sind nicht alle Mythen.
quelle
Sie können auch den Dateizugriff für den Root-Benutzer einschränken, indem Sie den Linux-Kernel "Capabilities" verwenden: http://www.securityfocus.com/infocus/1400
Es besteht auch die Möglichkeit, SE-Linux oder einen anderen Kernel-Patch zu verwenden, um einige Dateien sogar für Roots unveränderlich zu machen.
quelle
Ich denke, solange root der Superuser ist und er alles kann, können Sie ihm keine Erlaubnis entziehen, auch wenn Sie der Root sind. Es soll der Wille des Roots sein, zu verhindern, dass er eine Operation ausführt oder nicht (z. B. in eine Datei schreiben oder eine Anwendung öffnen).
Also nein, es besteht die Möglichkeit, dass Sie nur das Root-Konto deaktivieren, um eine missbräuchliche Verwendung zu verhindern.
Grüße
[Notiz an mich selbst: ihr sollt demütig sein ... vielleicht irrt ihr euch]
quelle