インストール権限を拒否する方法は?

インストール権限を拒否する方法は?

次の状況を考えてみましょう。

/dev/sda1/dev/sda2/dev/sda3ディスクの3つのパーティションです/dev/sda

Ubuntusda1はにインストール/homeされていますsda2

fooUbuntuシステムにはユーザーが1人だけなので、ホームフォルダ/home/foo/dev/sda2

/dev/sda31人のユーザーだけを使用して別のディストリビューション(Lubuntuなど)をインストールする予定です(方法も知っています)blah

私の質問は次のとおりです

blahユーザーがパーティションにアクセスしたりマウントしたりできないようにするにはどうすれ/dev/sda1ばよいですか/dev/sda2

これを参照する項目を削除すれば十分ですかfdisk

fooこの2つのパーティションをUbuntuユーザーだけが使用できるようにしたいと思います。

blahこのユーザーが使用されてもアクセスできないようにしたいと思いますsudo

私の考えは、新しいディストリビューションをインストールするときにsda3新しいディストリビューションのディスクですsda3

答え1

これには、ユーザーとスーパーユーザーがファイルシステムをマウントし、マウントされたファイルシステムのファイルにアクセスし、「生」デバイスのデータにアクセスすることが混在しています。

  1. ファイルシステムのマウント

    rootファイルシステムは、それをホストしているデバイスにアクセスできる場合は常にマウントできます。カーネルがそれを認識するとアクセスできます。ユーザーは、アイテムのオプションで参照され、/etc/fstabそのうちの1つにファイルシステムuserが含まれている場合にのみファイルシステムをマウントできます(マンページを読む)。usersmount(8)

  2. マウントされたファイルシステムのファイルにアクセスする

    同様に、マウントされたファイルシステム内のすべてのファイルは伝統的にroot常にアクセス可能でした(もちろんパッチ付きカーネルを使用しない限り)。ユーザーにはファイル権限が適用されます。

  3. 生デバイスのデータにアクセスします(例/dev/sdaX:)

    上記のファイルです。ユーザーは通常、生のブロックデバイスにアクセスできませんが、rootアクセスできます。

したがって、2番目のシステムのユーザーが最初のオペレーティングシステムで使用されているマウントされたファイルシステムからのデータのインストールまたはアクセスを防ぐために、権限を/etc/fstab適切に編集して適用します。ファイルシステムの権限はユーザー/グループ名ではなくUID / GIDにバインドされているため、fooシステム1のユーザーがシステム2のユーザーと同じ数のUIDを持つ場合、ファイルへのbarフルアクセス権があります。

スーパーユーザーがファイルシステムにアクセスできないようにするには、暗号化が唯一の方法です。

または、最初のシステムの仮想マシンで2番目のシステムを実行して、目的のハードドライブ部分にのみアクセスできます。ベアメタルから2番目のインストールを起動できるようにしたくない限り、このように/dev/sda3設定する方法はいくつかあります。この場合、仮想マシン全体を/dev/sda

最後の注意事項(特に、すべてのユーザーが単にコマンドを追加することで、sudoすべてのユーザーが管理者権限ですべてを実行できるようにすることで構成を破壊するUbuntuおよび同様のディストリビューションユーザーの場合) -sudo「sudoによるアプローチ」root無効な用語です。通常、(UID 0)ユーザーに関連付けられている権限の一部(またはすべて)があるかどうか。で同じ権限を取得できますsu

答え2

blahこれはsda3インストールがルートかどうかによって異なります。そうでない場合:

デフォルトではrootとしてのみインストールできるので、/etc/fstab確認する必要があるのは次のとおりです。

  1. フラグが必要ですnoauto(起動時にインストールしないでください)。
  2. 対応するフラグがあってはなりませんuser(またはユーザーがインストールできます)。

彼がroot、root権限を持っているか、または取得できる場合:

これにより状況はさらに困難になります。デフォルトでは、ルートはシステム上で何でもできます。パーティションがあり、読み取り可能な場合、これを防ぐ直接的な方法はありません。もしあなたができる間接的なことがありますが(できればそれはほとんどあなたの状況に依存します)。

  1. あなたはできます暗号化 sda1そしてsda2。ルートパーティションを暗号化するには通常いくつかの追加作業が必要ですが、ほとんどのディストリビューションはこれをサポートします。次に始まるべきキーワード: luks。暗号化はこれらのパーティションが破壊されるのを防ぎませんが、読み込みを妨げることはありません。また、物理的な直接アクセスを使用すると、すべてをブロックすることはできませんが、それは大丈夫かもしれないことに注意する必要があります。
  2. 一部の仮想マシンソリューションでは、sda3インストールを使用できます。 sda1/sda2 インストールではクライアントアクセスのみを提供し、仮想マシンでは直接 sda1/sda2 アクセスを拒否し、sda3 は仮想マシンで実行されます。仮想マシンの権限を制限する場合(sda1/sda2のルート)、sda3のルートもその権限が制限されます。

関連情報