sudoerがフォルダを表示できないようにする機能はありますか(ユーザーとルートのみフォルダにアクセスできます)。
答え1
「sudoers」がプレフィックスを使用してコマンドをrootとして実行することを許可されている人を参照していると仮定すると、ファイル内の同様の行として参照されるためsudo
、sudoers
bob ALL=(ALL) ALL
はい根。ルートの定義は、ルートアカウントのパスワードを知らないが、どの手段を介してもルートアカウントにアクセスすることです。
ルート保護からデータを保護することはできません。定義によると、rootユーザーはすべての操作を実行できます。ルートは権限を変更またはバイパスする可能性があるため、権限は役に立ちません。ルートは復号化を実行するプログラムを破壊する可能性があるため、暗号化は役立ちません。
誰かが信頼できない場合は、データを保存したコンピュータにrootアクセスを許可しないでください。コンピュータへのrootアクセス権を持つ人を信頼できない場合は、そのコンピュータにデータを保存しないでください。
ユーザーが特定の目的(たとえば、簡単なアプリケーション管理、パッケージのインストールなど)にルートアクセスを必要とする場合は、独自のハードウェアを提供するか、独自の仮想マシンを提供してください。ホストシステムのルートではなく、仮想マシンのルートにします。
答え2
sudo
アクセスは通常、次の方法で付与されます。
# User privilege specification
root ALL=(ALL) ALL
user1 ALL=(ALL) ALL
この場合、ユーザーはデフォルトでルートになり、制限なしに必要なすべての操作を実行できます。これにより、sudoのさまざまなタスクへのアクセスをよりインテリジェントに付与できます。
user1 ALL=(root) /usr/bin/find, /bin/rm
ここでは、user1が使用できるコマンドをfind
およびに制限しますrm
。ユーザーに特定のコマンドのみが必要であることを知っている場合は、そのコマンドにのみ排他的なアクセス権を付与できます。
また、単にコマンドを追加する代わりにスクリプトを生成することもできます。たとえば、
user1 ALL=(root) /usr/local/bin/limited_script.sh
このスクリプトはアクセスできる唯一のコマンドです。たとえば、cd /to/some/dir
前のスクリプトからアクセス可能なコマンドをラップできます。これはアクセスを制限する方法です。
この方法は完全な証拠ではありませんが、一定レベルの保護を提供できます。
答え3
sudoerが実行できるコマンドが設定sudoers
ファイル(通常は/etc/sudoers
)で制限されていsudo
ないと、root
sudoerがディレクトリにアクセスするのを防ぐことはできません。
答え4
ACLを使用して適切なACEエントリを設定することでこれを行うことができます。しかし、これはもっと問題です。
とにかく、これは管理者がファイル/ディレクトリの問題を解決するのにどのように役立ちますか?信頼できるユーザーを信頼するか、信頼せずに管理者を信頼する別のシステムに移動します。