私は、操作や書き込みの試み(macOSと同様にrootユーザーの試み)から特定のフォルダを保護する方法を探しています。オプションが見つかりましたが、便利なものが見つかりませんでした。 rootユーザーはchattr -i
。 confおよび他の文書。
答え1
悪意のあるルートユーザーから自分自身を保護することはできません。定義によると、カーネルモジュールのロード/アンロード、カーネルメモリの変更など、システムへのフルアクセス権があります。
システム自体を保護する方法を探しているなら、それが可能かどうかはわかりません。
システムを安全に保つには、自分以外の人がルートにアクセスできないようにする必要があります。それがすべてです。
答え2
従来のUnix権限モデル(任意のアクセス制御DAC
)では、root
ユーザーは全能で特定のファイルへのアクセスを制限することはできませんが、必要なアクセス制御を実装してユーザーroot
を制限することはできません。実際の実装については、Sven Vermeulenのブログ記事をご覧ください。SELinux
MAC
フォルダへのルートアクセスも制限します。。