はい、そうです。

はい、そうです。

ルート権限でのみアクセスできるディレクトリがあるとします。誰かがコンピュータから物理ドライブを取り出してファイルシステムをマウントすると(おそらく他のオペレーティングシステムを使用しても)どうなりますか?彼はディレクトリとその内容を読むことができますか?

答え1

自分のシステムでは、ルートのみ読めるディレクトリを他人のシステムでもルートとして読み取ることができます。

システムの物理的なセキュリティが損なわれた場合は、暗号化だけでデータを保護できます。

コンピュータに物理的にアクセスできるユーザーは、システムをシングルユーザーモードで起動して、コンピュータからハードドライブを取り出すことなくファイルをrootとしてアクセスすることもできます。

答え2

はい、そうです。

確かに。

この質問はLinuxに限定されていないことにも注目しました。

  • その他オペレーティングシステムは、オンディスクACLおよびファイルシステムの権限に従う必要はありません。別の言葉
  • 第1に、ディスクアクセスは、オペレーティングシステム自体のファイルシステムドライバとセキュリティメカニズムを必要としない。関連ファイルシステムの形式は次のとおりです。mtoolsパッケージ結局可能です。

    実際、これはGNU Hurdにファイルシステムと中間認証サーバー用の独自のコンバーターを設定する練習です。

  • または他の場合でも同じオペレーティングシステムのみが適用されます。彼らだけACLのUIDとGID、およびディスクに対する権限。もちろん、UID 0はすべてのオペレーティングシステムで同じです。

3番目の点は、Windows NT SIDモデルとUnix IDモデルの間の有名な違いの1つです。ほとんどのSID、ローカル管理者のSIDにもコンピュータ関連の部分が含まれています。したがって、移行されたディスクボリュームには、マシンAのローカル管理者(S-1-5-21-)のACLが含まれます。マシンA-500)マシンBのローカル管理者(S-1-5-21-マシンB-500)なぜならIDが異なりますACEのオンディスクIDはグローバルに一意です。 Unixモデルでは、UID 0はすべてのシステムのディスク上の同じ番号であり、単一のシステムでのみローカルに一意です。

(興味深いことに、TrustedInstallerユーザーのSIDには、最新のWindows NTシステム上の多くのオペレーティングシステムファイルへのフルアクセス権があります。はい世界で唯一です。また、興味深いのは、ドメインSIDが単一の共有システム固有の部分を持つことによって機能することです。 )

したがって、インスタンス間でディスクを移動できます。同じWindows NT の場合、オペレーティング システムは他のコンピュータの ACL を独自のユーザーとグループとして扱うことなく尊重します。しかし、他の2つのことはまだ適用されています。

だから:

別のコンピュータ(自分のコンピュータも含む)で同じオペレーティングシステムまたは異なるオペレーティングシステムを使用してコンテンツを読み取れないボリュームを作成するには、暗号化を使用します。

答え3

デフォルトのUnix認証メカニズム(ACL、MACなどの拡張機能がロードされていない状態)を想定すると、特定の数値UIDが所有するすべての権限は、ファイルシステムがマウントされているシステムに関係なく存在します。 rootユーザーは実際には常にUID 0なので(一部の外国システムでは異なる場合がありますが、すべての場合にすべてのものから「uid || do _privileged_stuff();」を取得する必要があります;))、これらの権限は送信されます。異なるUIDを持つ異なるシステムに同じユーザーがいる場合、状況ははるかに混乱します。 Unixカーネルは単にユーザー名を知らないし、気にしません。彼らにとって、あなたは数字であり、あなたが自由であるかどうかは何もありません。彼らのビジネスマンの。ユーザー名とUIDを一緒にバインドすることは、ログインに関連するユーザースペースソフトウェア(getty、login、pamなど)の操作であり、それらを一緒にバインドすることはlibcおよびパーサーソフトウェアの作業です。

関連情報