Удалить доступ sudo к определенному файлу

У меня есть файл на сервере ubuntu, который должен быть доступен только одному пользователю. На сервере есть другие пользователи с разрешениями sudo. Я пытаюсь ограничить доступ к этому файлу, несмотря на то, что другой пользователь может просто sudo просмотреть / изменить содержимое.

Я изучил visudo , в котором я отключил команды chmod и chown . Таким образом, пользователь не может изменить права доступа к файлу. Я просмотрел список управления доступом и, насколько я понимаю, его можно было бы обойти с помощью sudo.

Итак, у меня вопрос, как я могу ограничить доступ к файлу одним и только одним пользователем. Не имея возможности sudo в обход разрешений.

2
задан 26 April 2021 в 23:07

2 ответа

Вы можете вернуться к старому стилю переключения окон, включив плагин Static Application Switcher в менеджере настроек CompizConfig:

Шаги:

  1. CompizConfig Manager запускается через sudo apt-get install compizconfig-settings-manager (спасибо @donbright)

  2. sudo apt-get install compiz-plugins, чтобы статический переключатель приложений появился. (спасибо @Milimetric)

  3. CompizConfig Manager запускается путем ввода ccsm в терминале (спасибо @donbright)

  4. Отключите сочетания клавиш для переключателя Unity, сняв галочку с CompizConfig Settings Manager ▸ Desktop ▸ Ubuntu Unity Plugin ▸ Switcher ▸ Key для запуска переключателя ▸ Включено и Клавиша для запуска переключателя в обратном направлении ▸ Включено

  5. Включите статический переключатель приложений, отметив CompizConfig Settings Manager ▸ Window Management ▸ Static Application Switcher ▸ Enable Static Application Switcher

-. 121---893071-

Единственный способ сделать это - запретить доступ к sudo для этих других пользователей. Если у вас несколько человек с правами sudo aka admin, вы не сможете ограничить доступ к sudo/root и лучше не держать этот файл на сервере. Особенно если вы не доверяете всем, у кого есть административные привилегии в системе, в том, что они не будут шпионить за вашими данными.

Разрешение запускать что-либо как sudo по сути равнозначно доступу root, но без разблокированной учетной записи root. root имеет доступ ко всему. Вы не сможете остановить этот доступ.

Если не удалить sudo у этих пользователей или добавить специальные строки sudoers, чтобы определить точно, какие команды могут быть запущены через sudo этими другими sudo-способными пользователями (и ничем другим, в этом смысле "ограниченные" права администратора, поскольку они не могут делать что угодно со своими sudo), у вас нет вариантов защиты от sudo / root просмотра файла.


Другой альтернативой может быть шифрование файла локально на вашей системе ДО загрузки, например, с помощью шифрования gpg или подобного. В этом случае, даже если они смогут получить доступ к файлу, они не смогут редактировать или просматривать его содержимое, поскольку оно зашифровано, и у них не будет ваших кодов расшифровки, необходимых для чтения файлов, даже в качестве root. Однако это сложнее и немного выходит за рамки заданного вами вопроса.

21
ответ дан 7 May 2021 в 17:43

Я бы начал с другого вопроса: какие привилегии от sudo нужны другим пользователям? Если им нужно только иметь возможность выполнять определенные действия (например, перезапуск сервера) и получать доступ к определенным папкам, то вы можете настроить sudo так, чтобы они могли выполнять эти конкретные действия только в качестве root. Ваш файл будет в безопасности, и фактически вся система будет иметь более надежную защиту.

Если, с другой стороны, пользователям требуется sudo для полного корневого доступа, за исключением этого одного файла, то нет никакого способа ограничить их доступ, сохраняя файл на этом сервере, поэтому правильный способ решить проблему - это сохраните файл (или, по крайней мере, главную копию файла) в другом месте и разрешите другим пользователям загружать временную копию только тогда, когда им нужно ее просмотреть. В конце концов, пользователи имеют возможность изменять что-либо на сервере, включая любые ограничения, которые вы пытаетесь наложить на них.

Однако все это мелочи. Если этим людям нельзя доверять, почему они вообще имеют root-доступ?

10
ответ дан 7 May 2021 в 17:43

Другие вопросы по тегам:

Похожие вопросы: