防止对主目录中的root进行写访问

1

是否有Linux发行版阻止root用户修改/删除其他用户家中的文件/目录？我遇到了允许加密主目录的工具。但我希望其他用户能够读取文件，但不能修改或删除它们。

如果在Linux中无法做到这一点，你们中是否有人知道其他允许这样做的操作系统？

linux security user-accounts

— 不能告诉
source

8

这有点打败了拥有root用户的目的。你能详细说明你为什么要这样吗？

— slhck

@slhck因为用户帐户中的文件不会干扰别人对系统的使用，我不明白为什么这可能是个问题。root帐户可用于常见操作，例如安装每个人都使用的软件。

— 不能告诉

1

为什么你希望root无法删除其他用户家中的文件？这是root用户访问所有文件的要点。

— Renan

@Renan但这不会影响隐私吗？

— 不能告诉

1

@ Can'tTell是的，这就是你需要注意root登录的原因。

— Renan 2012年

5

如果你想要一个除“ 否 ” 之外的答案，你会问错误的问题- root不能阻止做任何事情（包括更改权限，但是* deity *设置权限如此严格以至于它不能绕过它们？）。

你可能想要的是能够向用户提供一些管理权限（安装程序等），而不会让他们在系统上全能。为此，您可以使用例如sudo对用户/组级别的限制。

— 丹尼尔安德森
source

感谢您的回答。是否可以（通过编辑sudoers文件）允许用户（root除外）执行root可以执行但不修改其他用户文件的所有操作？

— 不能告诉

@ Can'tTell：如果不对程序的各个方面感到满意，很难说“不”，但是：没有。sudo用作白名单（允许使用特定应用程序）而不是黑名单（拒绝特定操作），白名单会发生这些程序是以root权限运行的。如果您希望用户能够安装程序：允许apt-get或aptitude使用您的程序。通常会编写一个允许sudo权限的包装器脚本来控制访问。然而，这本身就是一个永无止境的话题，不适合这些评论框。

— Daniel Andersson

2

root用户可以修改任何用户家中的任何内容，这是设计使然。

要让用户能够阅读但不能修改文件，您必须使用组并授予文件只读组权限。可以从此处获得一个说明您的用例的示例：

— 雷南
source

但我想阻止root用户删除/修改用户主目录中的文件。

— 不能告诉

1

@ Can'tTell这是不可能的，按照设计，root用户有权修改/删除他想要的一切。否则就会破坏root用户的观点。

— Renan 2012年

0

如果将/ home目录更改为NFS安装，则可以使用root_squash选项将本地框上的root用户映射到NFS服务器上的匿名用户。这样可以防止您的盒子上的root用户修改/ home中的文件。

但是，虽然root永远不能修改NFS服务器上的其他用户文件，但要注意root仍然存在恶意内容。例如，root可以卸载/ home并将其替换为可以写入的看似重复的/ home。它还可以在另一个用户的主目录的顶部安装一个伪文件系统，它也可以写入。虽然原始文件在NFS服务器上仍然是安全且不受影响的，但您的用户将不知道如何查找此技巧，您可能会遇到您要避免的任何问题。

— 蒂姆艾斯
source