Was passiert, wenn eine Datei eingeschränkte Berechtigungen hat und der Eigentümer nicht verfügbar ist?

2

Ich bin gespannt, was mit einer Datei passiert, wenn wir sagen, dass die Berechtigungen nur dem Eigentümer das Lesen und Schreiben ermöglichen und die Gruppe und jeder überhaupt keinen Zugriff hat. (700 oder rwx ------).

Angenommen, die Datei befindet sich auf einem externen Laufwerk. Daher ist der Eigentümer möglicherweise nicht mehr verfügbar, da das Laufwerk getrennt und mit einem anderen Computer verbunden wurde. Wie kann ich in diesem Fall auf die Dateien zugreifen? Kann ich trotzdem auf sie zugreifen, indem ich mich als Superuser anmelde?

Einerseits wäre es schön, sich bei einem Superuser auf einem beliebigen Computer anmelden zu können, um auf die Datei zuzugreifen, da es zumindest einen Sicherungsplan für den Fall gibt, dass der ursprüngliche Computer jemals stirbt Sicherheitsbedenken, dass jeder technisch auf Daten auf einem externen Laufwerk oder sogar einem internen Laufwerk zugreifen kann, indem er sich als Superuser deklariert.

Gary
quelle
Auf Systemen mit erweiterter Rechteverwaltung (z. B. den meisten Unix- und Windows NT-Versionen) kann der Administrator nicht direkt auf die Datei zugreifen, sondern muss zuerst den Besitz übernehmen und kann den Besitz nicht zurückgeben. Dieser Schritt kann in Überwachungsprotokollen abgelegt werden, die der Administrator ebenfalls nicht ändern kann. Auf diese Weise kann die Sicherheit verletzt werden, aber es hinterlässt dauerhafte Spuren.
MSalters

Antworten:

5

Der Superuser kann immer alle Dateien lesen. Sie können den Eigentümer oder die Berechtigungen einer Datei unabhängig vom ursprünglichen Eigentümer ändern.

Ja, Sie können über den Superuser auf diese Dateien zugreifen und die Berechtigungen oder den Besitzer ändern, um mit Ihrem regulären Benutzer auf sie zugreifen zu können.

Dies ist in der Tat sehr nützlich, um zum Beispiel Backups zu erstellen. Root kann ein Backup des gesamten Laufwerks erstellen, unabhängig von jeglicher Erlaubnis, und Sie werden später dafür dankbar sein, wenn Sie etwas verlieren.

In Bezug auf Ihre Sicherheitsbedenken kann jeder, der physischen Zugriff auf ein Laufwerk hat, auf die eine oder andere Weise auf die darin enthaltenen Daten zugreifen. Wenn Sie sich wirklich Sorgen machen, können Sie die Daten verschlüsseln. Selbst wenn der Superuser darauf zugreifen kann, ist nichts von Nutzen, wenn er den Schlüssel nicht kennt.

Chikitulfo
quelle
Vielen Dank, das alles macht Sinn. Ich vermute also, dass Dateiberechtigungen eher dazu gedacht sind, den Datenverkehr auf einem Computer zu "leiten", als Daten tatsächlich zu schützen?
Gary
@Gary Es schützt Daten, aber es kann keine Daten von Superuser schützen. Wenn Sie ein Mehrbenutzersystem haben und diese Benutzer keine Superuser sind, sind die Daten sicher. (Ich bin auch nicht in der Lage, von einer Knoppix-CD zu booten und mich als root unter "Nicht-Superuser" anzumelden. Hauptsächlich Situationen, in denen Dateiberechtigungen als "vertrauenswürdig" eingestuft werden können, sind Szenarien, in denen der Benutzer keinen physischen Zugriff auf den Computer hat.) Web / Datei / Terminalserver zum Beispiel))
Scott Chamberlain
Richtig, Remote-Server sind ein sehr guter Punkt, und das ist natürlich eines der besten Beispiele dafür, wo Dateiberechtigungen gut funktionieren (genau wie beim Herstellen einer Verbindung zum FTP-Server meiner Website). Ich fühle mich wie auf einem PC, der Sicherheitsvorteil ist dann nicht so stark. Eigentlich bin ich neugierig, weil ich in letzter Zeit bemerkt habe, dass einige Dateien auf meinem Mac die Erlaubnis von 700 haben, und ich dachte, dass dies ein Problem ist, aber es sollte nicht sein, wenn ich nur als ein Akteur fungieren kann Superuser, wenn nötig, um darauf zuzugreifen (von anderen Computern aus).
Gary
@ Gary Ich Fall von einem Personal Computer, gibt es oft einen einzelnen Benutzer, so gibt es in der Tat weniger Sicherheitsbedenken. Viele Dienste werden jedoch als spezielle Konten ausgeführt und haben das Recht, nur auf ihre Dateien zuzugreifen. Dies ist ein guter Weg, um Sicherheitslücken und Viren usw. zu verhindern.
Levans
Ja, in diesem Sinne habe ich es als "Verkehrslenkung" bezeichnet. Es ist mehr, um Dateien vor Diensten zu schützen, weil ich auf meinem Mac viele spezielle Benutzernamen und Gruppen (Mitarbeiter, Rad usw.) bemerke.
Gary