特定のユーザーがホームディレクトリをchmodしても、ホームツリーから情報が漏洩するのを防ぎたいと思います。つまり、ユーザーアリスとボブがあり、アリスがボブ(またはルートを除く他の人)が自分のホームツリーのデータを読み取ることを許可しないようにしたいのです。その逆。
最初は、これがselinux作業であると思いました。しかし、必ずしも必要な場合でなければ冒険をしたくありません。
代わりに、私は次のようなホームディレクトリスキームを思い出し、それが実際に私が望むことをしているのだろうかと思います。
デフォルトディレクトリ/home/aliceと/home/bobの代わりに中間ディレクトリを追加しました。このツリーは次のとおりです。
/home root:root drwxr-xr-x (as usual)
/home/alice0 root:alice drwxr-x---
/home/alice0/alice alice:alice drwxrwxrwx (alice's home dir)
/home/bob0 root:bob drwxr-x---
/home/bob0/bob bob:bob drwxrwxrwx (bob's home dir)
アリスとボブはいつものように、それぞれのグループの唯一のメンバーです。 aliceのホームディレクトリは/home/alice0/aliceであり、bobのホームディレクトリも似ているので、通常とは少し異なります。 homedir alice(bob)を除いて、中間ディレクトリalice0(bob0)には何もありません。 AliceとBobはまだホームディレクトリを持っていますが、ホームディレクトリへのアクセスはもはや重要ではなく、これが重要です。その目的は、ルートユーザーが中間の「user0」ディレクトリ階層を所有し、各ユーザーが制限された「rx」グループアクセスのみを持つようにすることで、各ユーザーが自分のホームディレクトリにアクセスできるかどうかにかかわらず、各ユーザーグループの外部への漏洩を防ぐことです。ホームディレクトリで実行される作業は何ですか?
/home/alice が常に alice の homedir であると仮定するアプリケーションの場合、bob の場合と同様に /home: /home/alice -> /home/alice0/alice にシンボリックリンクを追加できます。
すべての場合で動作しますか?質問がありますか?
答え1
なぜこれをするのか理解できません。
/home/alice0/alice alice:alice drwxrwxrwx (alice's home dir)
そして
/home/bob0/bob bob:bob drwxrwxrwx (bob's home dir)
私の言葉は:なぜ他のすべてのユーザーがaliceフォルダを読み、書き込み、実行できるようにするのですかbob?
「他のユーザー」のrwxを使用すると、アリスはbobのディレクトリコンテンツ(ファイルの権限に応じてファイルの内容ではない場合でも)を読み取ることができ、その逆も同様です。 bob は alice のディレクトリのリストを読むことができます。 BobはAliceのフォルダにファイルを作成することも、その逆も同様です。
標準権限と標準ホームフォルダを持つBobは、Aliceのホームディレクトリを読み込んで変更することはできません。逆も同様です。
標準設定で避けたいことの例を追加できますか?
標準設定で、アリスとボブのホームディレクトリにディレクトリ権限がある場合は、所有者(およびそのグループとルート)を除く他のユーザーがディレクトリの内容を表示できないように755変更できます。750