Gibt es eine Möglichkeit, dass Sudoer Ihren Ordner nicht anzeigen können (nur Sie und root können auf den Ordner zugreifen)?
permissions
security
sudo
Arthur Halma
quelle
quelle
/etc/sudoers
arbeitet, aber Sie können einfach nicht alle Benutzer zur Gruppeadmin
oder hinzufügensudo
.sudo
. Die Berechtigung zur Verwendungsudo
wird normalerweise erteilt, indem ein Benutzer Teil der Administratorgruppe wird. Und Mitglieder der Administratorgruppe erhalten vollen Root-Zugriff (dhsudo su -
sind zulässig). "Sudoers" sind also im Sinne des OP Benutzer mit Root-Zugriff unter Ubuntu.022
(oder weniger) Dateien weltweit lesbar erstellt werden. Stellen Sie sicher, dass Ihre Umask und / oder Berechtigungen richtig eingestellt sind, da sonst alle Benutzer Ihre Dateien lesen können.Antworten:
Unter der Annahme , dass durch „sudoers“ Sie meinen Menschen , die erlaubt sind Befehle als root mit dem laufen
sudo
Präfix, weil sie in der genanntensudoers
Datei durch eine Leitung wiebob ALL=(ALL) ALL
, dann sind diese Leute sind Wurzel. Was definiert, dass man root ist, kennt nicht das Passwort des Root-Kontos, sondern hat Zugriff auf das Root-Konto mit welchen Mitteln auch immer.Sie können Ihre Daten nicht vor root schützen. Per Definition kann der Root-Benutzer alles tun. Berechtigungen würden nicht helfen, da root die Berechtigungen ändern oder umgehen kann. Die Verschlüsselung würde nicht helfen, da root das Programm, das die Entschlüsselung durchführt, untergraben kann.
Wenn Sie jemandem nicht vertrauen, geben Sie ihm keinen Root-Zugriff auf einem Computer, auf dem Sie Ihre Daten speichern. Wenn Sie jemandem nicht vertrauen, der Root-Zugriff auf einem Computer hat, speichern Sie Ihre Daten nicht darauf.
Wenn ein Benutzer Root-Zugriff für einen bestimmten Zweck benötigt, z. B. für die komfortable Verwaltung einer Anwendung, die Installation von Paketen usw., geben Sie ihm seine eigene Hardware oder eine eigene virtuelle Maschine. Lassen Sie sie in der VM root sein, aber nicht auf dem Host.
quelle
In der Regel wird der
sudo
Zugriff auf folgende Weise gewährt:In diesem Szenario hat der Benutzer im Wesentlichen uneingeschränkten Zugriff, um root zu werden und zu tun, was er will. Sie können vorsichtiger sein, wie Sie Zugriff auf verschiedene Aufgaben in sudo gewähren, indem Sie stattdessen die folgenden Schritte ausführen:
Hier beschränken wir die Befehle, die Benutzer1 verwenden kann, auf nur
find
undrm
. Wenn Sie wissen, dass ein Benutzer nur einen bestimmten Befehl benötigt, können Sie ihm ausschließlich Zugriff auf diesen Befehl gewähren.Darüber hinaus können Sie Skripte erstellen, anstatt nur Befehle hinzuzufügen. Zum Beispiel:
Dieses Skript wäre der einzige Befehl, auf den sie Zugriff haben würden, z. B.
cd /to/some/dir
im vorherigen Skript, und dann den Befehl umbrechen, auf den sie Zugriff haben müssen. Dies kann eine Möglichkeit sein, den Zugriff einzuschränken.Stellen Sie fest, dass der Ansatz kein vollständiger Beweis ist, sondern Ihnen ein gewisses Maß an Schutz bietet.
quelle
sudo /usr/bin/find . -maxdepth 0 -exec any-command-you-like \;
bob ALL=(ALL) ALL
was der schlechteste Weg ist, um Sudo-Berechtigungen herauszufinden. Wie gesagt, es ist im Wesentlichen unmöglich, einen getriebenen Benutzer daran zu hindern, Befehle in sudo für schändliche Zwecke nicht zu kooptieren. Aber meine Antwort ist in der Tat repräsentativer dafür, wie Sie Sudo-Berechtigungen erteilen würden.Es sei denn , die Befehle ein sudoer in der eingeschränkt läuft
sudoers
config - Datei ( in der Regel/etc/sudoers
),sudo
gibtroot
, so gibt es nichts , was man tun kann , eine sudoer zu verhindern , dass Ihr Verzeichnis zugreifen.quelle
Wird normalerweise
sudo
verwendet, um von normalen Benutzern Root-Kräfte zu erlangen, zumindest von einem bestimmten Befehl. Wenn root es also lesen kann, kann es auch ein Benutzer verwendensudo
.Ich denke, das Beste, was Sie tun konnten, war, den Ordner / die Dateien auf irgendeine Weise mit einem persönlichen Passwort zu verschlüsseln.
quelle
Möglicherweise verwenden Sie ACLs, und wenn Sie die entsprechenden ACE-Einträge festlegen, können Sie dies möglicherweise tun. Es ist jedoch etwas mühsamer.
Wie kann Ihnen ein Administrator dabei helfen, ein Problem mit Ihren Dateien / Verzeichnissen zu beheben? Entweder vertrauen Sie Ihren vertrauenswürdigen Benutzern oder Sie vertrauen nicht auf ein anderes System, auf dem Sie Ihren Administratoren vertrauen.
quelle