次の状況を考えてみましょう。
/dev/sda1
、/dev/sda2
は/dev/sda3
ディスクの3つのパーティションです/dev/sda
。
Ubuntusda1
はにインストール/home
されていますsda2
。
foo
Ubuntuシステムにはユーザーが1人だけなので、ホームフォルダ/home/foo
は/dev/sda2
。
/dev/sda3
1人のユーザーだけを使用して別のディストリビューション(Lubuntuなど)をインストールする予定です(方法も知っています)blah
。
私の質問は次のとおりです
blah
ユーザーがパーティションにアクセスしたりマウントしたりできないようにするにはどうすれ/dev/sda1
ばよいですか/dev/sda2
?
これを参照する項目を削除すれば十分ですかfdisk
?
foo
この2つのパーティションをUbuntuユーザーだけが使用できるようにしたいと思います。
blah
このユーザーが使用されてもアクセスできないようにしたいと思いますsudo
。
私の考えは、新しいディストリビューションをインストールするときにsda3
新しいディストリビューションのディスクですsda3
。
答え1
これには、ユーザーとスーパーユーザーがファイルシステムをマウントし、マウントされたファイルシステムのファイルにアクセスし、「生」デバイスのデータにアクセスすることが混在しています。
ファイルシステムのマウント
root
ファイルシステムは、それをホストしているデバイスにアクセスできる場合は常にマウントできます。カーネルがそれを認識するとアクセスできます。ユーザーは、アイテムのオプションで参照され、/etc/fstab
そのうちの1つにファイルシステムuser
が含まれている場合にのみファイルシステムをマウントできます(マンページを読む)。users
mount(8)
マウントされたファイルシステムのファイルにアクセスする
同様に、マウントされたファイルシステム内のすべてのファイルは伝統的に
root
常にアクセス可能でした(もちろんパッチ付きカーネルを使用しない限り)。ユーザーにはファイル権限が適用されます。生デバイスのデータにアクセスします(例
/dev/sdaX
:)上記のファイルです。ユーザーは通常、生のブロックデバイスにアクセスできませんが、
root
アクセスできます。
したがって、2番目のシステムのユーザーが最初のオペレーティングシステムで使用されているマウントされたファイルシステムからのデータのインストールまたはアクセスを防ぐために、権限を/etc/fstab
適切に編集して適用します。ファイルシステムの権限はユーザー/グループ名ではなくUID / GIDにバインドされているため、foo
システム1のユーザーがシステム2のユーザーと同じ数のUIDを持つ場合、ファイルへのbar
フルアクセス権があります。
スーパーユーザーがファイルシステムにアクセスできないようにするには、暗号化が唯一の方法です。
または、最初のシステムの仮想マシンで2番目のシステムを実行して、目的のハードドライブ部分にのみアクセスできます。ベアメタルから2番目のインストールを起動できるようにしたくない限り、このように/dev/sda3
設定する方法はいくつかあります。この場合、仮想マシン全体を/dev/sda
。
最後の注意事項(特に、すべてのユーザーが単にコマンドを追加することで、sudo
すべてのユーザーが管理者権限ですべてを実行できるようにすることで構成を破壊するUbuntuおよび同様のディストリビューションユーザーの場合) -sudo
「sudoによるアプローチ」root
無効な用語です。通常、(UID 0)ユーザーに関連付けられている権限の一部(またはすべて)があるかどうか。で同じ権限を取得できますsu
。
答え2
blah
これはsda3インストールがルートかどうかによって異なります。そうでない場合:
デフォルトではrootとしてのみインストールできるので、/etc/fstab
確認する必要があるのは次のとおりです。
- フラグが必要です
noauto
(起動時にインストールしないでください)。 - 対応するフラグがあってはなりません
user
(またはユーザーがインストールできます)。
彼がroot、root権限を持っているか、または取得できる場合:
これにより状況はさらに困難になります。デフォルトでは、ルートはシステム上で何でもできます。パーティションがあり、読み取り可能な場合、これを防ぐ直接的な方法はありません。もしあなたができる間接的なことがありますが(できればそれはほとんどあなたの状況に依存します)。
- あなたはできます暗号化
sda1
そしてsda2
。ルートパーティションを暗号化するには通常いくつかの追加作業が必要ですが、ほとんどのディストリビューションはこれをサポートします。次に始まるべきキーワード:luks
。暗号化はこれらのパーティションが破壊されるのを防ぎませんが、読み込みを妨げることはありません。また、物理的な直接アクセスを使用すると、すべてをブロックすることはできませんが、それは大丈夫かもしれないことに注意する必要があります。 - 一部の仮想マシンソリューションでは、sda3インストールを使用できます。 sda1/sda2 インストールではクライアントアクセスのみを提供し、仮想マシンでは直接 sda1/sda2 アクセスを拒否し、sda3 は仮想マシンで実行されます。仮想マシンの権限を制限する場合(sda1/sda2のルート)、sda3のルートもその権限が制限されます。