Bir * süper * süper kullanıcı oluşturabilir miyim, böylece root kullanımına izin vermeyen bir kullanıcı olabilir mi?

34

Root kullanıcısından daha yüksek izinlere sahip bir kullanıcıya sahip olmanın avantajlı olabileceğini düşünüyordum.

Gördüğünüz gibi, tüm etkinlikleri ve hemen hemen tüm kök kullanıcı ayrıcalıklarını aynen olduğu gibi tutmak istiyorum .

Ancak, duruma göre son derece yalıtılmış bir durumda kökene sahip olma ayrıcalıklarını reddetme olanağını istiyorum.

Bunun avantajlarından biri, bazı istenmeyen dosyaların güncellemeler sırasında yüklenmesini önlememe izin vermekti. Bu sadece olası bir avantaj örneğidir.

Apt-get güncellemeleri root tarafından veya sudo ayrıcalıklarıyla çalıştırıldığından apt-get, güncelleme sırasında bazı istenmeyen dosyaları değiştirme olanağına sahiptir.

Bu ayrıcalıkları bu bireysel dosyalara veremezsem, onları /dev/nullgüncelleme işlemi sırasında dosyanın değiştirilmesini engelleyebilecek izinlere sahip olabilecek boş bir yer tutucu dosyaya bağlanabilir veya büyük bir yer tutucu dosyaya sahip olabilirim.

Buna ek olarak, yardım edemem ama Ubuntu yaratıcılarından biriyle yaptığımız röportajda, bir kullanıcı "bize" (Ubuntu cihazlarına atıfta bulunmaktan) daha iyi güvendiği hakkında bir şeyler söylediğinde söylenen bir hat hakkında hatırlatılsın. "Bu sistem güncellemelerinin root izniyle nasıl yapıldığının bir referansıydı.

Kurulum prosedürünü sadece bu problemi çözecek şekilde söyleyecek şekilde değiştirmek kesinlikle burada ilgilendiğim şey değil. Aklımın kök erişimini reddetme gücüne sahip olma fikrinin tadı olduğuna göre, bunu yapmak için bunu yapmanın bir yolunu bulmak istiyorum.

Sadece bunu düşündüm ve bu zamana kadar hiçbir zaman harcamamıştım ve bunun çözülebileceğine oldukça eminim. Ancak, bunun zaten yapılmış olup olmadığını veya bunun yeni bir fikir veya kavram olmadığını merak ediyorum.

Temel olarak, sistemin ötesinde yalnızca bir derece izin alabilecek süper bir süper kullanıcıya sahip olmanın bir yolu olmalı gibi görünüyor.

Not: Kabul edilen yanıtın ölçütlere en uygun olduğunu hissetmeme rağmen, @CR'nin yanıtını gerçekten seviyorum. Ayrıca.

Ağacın üzerinde (ben) daha yüksek bir gerçek kullanıcı oluşturmak isterdim ama sanırım anlamaya vaktim olduğunda bir gün oturmak zorunda kalacağım.

Ayrıca, burada Ubuntu'yu seçmeye çalışmıyorum; Olumsuz hissedersem, ana dağıtımım olarak kullanmazdım.

permissions  sudo  users  root 
mchid
kaynak
4
Ne tür dosyalardan bahsediyorsunuz ve neden? " bazı istenmeyen dosyaların yüklenmesini engelle _", dosyaların normalde bulunmadığını ve bunları yapmalarını durdurmak istediğinizi belirtir; ancak "_hat, güncelleme sırasında dosyanın değiştirilmesini reddeder. ", dosyaların zaten var olduğunu (muhtemelen arzu edilen içerikle) önerir ve yeni sürümler istemezsiniz.
TripeHound
6
aptDosyaların yazılmasını (üstünde) engelleyen herhangi bir yöntemin , güncelleme işlemini iptal eden bir hataya yol açabileceğini unutmayın. aptdaha sonra "sorun" çözülene kadar herhangi bir güncelleme veya kurulum yapmayı reddedecektir.
Dubu
6
"Sadece kurulum prosedürünü değiştirerek bu soruna geçici bir çözüm bulmak kesinlikle ilgimi çekmiyor." Belki öyleyse, ancak genellikle sorunu belirtildiği gibi çözmenin doğru yoludur. Sınırlama kökü yapılabilir (resmen kullanıcı kök, çekirdek kipiyle aynı düzeyde erişim değildir) ve bunu gerçekleştirmek için sistemler vardır, ancak Unix felsefesine ve temel güvenlik ilkelerine aykırıdır. Genel olarak, bir kişi "kısmi" kökündeyken, "tam" kök elde etmek için kullanabilecekleri her şeyi kara listeye almak son derece zordur. Yalnızca güvenilir koda kök vermeyi tercih edin.
Kevin,
8
@mchid: Kök olan tam kontrol. Tüm mesele bu. Tam kontrole sahip olmamasını sağlamak için, artık kök gibi görünmeyen pek çok şeyi inkar etmek zorundasınız (örneğin, çekirdek modülleri takma, montaj keyfi cihazları vb.). Bir şeyi kök olarak çalıştırmak istemiyorsanız, kök olarak çalıştırmayın. Bunun yerine, yetenekleri dağıtın (tüm kök eşdeğeri olanlar dışında , bunlarla uğraşmayın) veya kök olmayan işlemler adına kök işlemleri yapan polkitd gibi bir arka plan programı çalıştırın .
Kevin
4
@mchid: Sorun şu: Programların kısıtlamalarınızı atlatması için çok sayıda yol var. Tüm bu yolları kara listeye almazsanız, "kısıtlanmış kök" olarak çalıştırdığınız herhangi bir program, ne zaman isterse tam kök olabilir. Demek bütün planın bir güvenlik tiyatrosundan başka bir şey değil.
Kevin

Yanıtlar:

83

İstediğiniz "kullanıcı" adı LSM: Linux güvenlik modülü. En bilinenleri SELinux ve AppArmor'dur.

Bu sayede belirli ikili dosyaların (ve onların alt işlemlerinin) belirli şeyler yapmasını önleyebilirsiniz (UID'leri olsa bile root). Ancak bu işlemlere gettyve alt işlemlerine elle izin verebilmek için izin verebilirsiniz .

Hauke ​​Laging
kaynak
2
Ancak, UID'leri root ise, ilk etapta erişimlerini engelleyen selinux izinlerini değiştiremezler mi?
curious_cat
11
@curious_cat: Evet, elbette "sınırlı bir kök" işlemini reddetmeniz gerekiyor, kendi iznini değiştirme / yükseltme yeteneğini! SELinux'u yazan insanlar bunu çoktan düşünmüşlerdir ...
Peter Cordes
8
@curious_cat LSM'leri, çalışma zamanlarında yapılandırmalarını tamamen imkansız hale getirecek şekilde yapılandırabilirsiniz. Bunun için yeniden başlatmanız ve bir çekirdek parametresi vermeniz gerekir.
Hauke ​​Laging
5
@Joshua apt-get'inizin kopyası Rowhammer kullanıyorsa, endişelenmeniz gereken daha büyük sorunlarınız var.
Draconis
3
@corsiKa Öncelikle, aslında insanlara makineyi boot insanları kısıtlamak istediğiniz en sistemleri ederken onlar ediyoruz önyükleme savunmasız oldukları için, makinenin. Ağ üzerinden yeniden başlatmayı tetiklemek iyidir, ancak önyükleme yaparken denetimi sağlamak değildir. İkincisi, bir bilgisayar güvenliği kuralı, bir saldırganın fiziksel erişimi olduğunda bir şey yapamayacağınızdır, çünkü o zaman LN2'deki her şeyi silebilirler / donanımı / vb. Yani, evet, bir makinenin önyüklemesini değiştirebilen birinin genellikle makineyi "kazandığı" varsayılır.
HTNW
51

rootKullanıcı kavramını yanlış anlıyorsunuz .

Düz İngilizce olarak, root"ağacın tepesinde" dir.

Bir gün bir "süper süper kullanıcı" ve sonra gelecek ay bir "süper süper süper kullanıcı" (!) Almaya karar verirseniz. Ağacın ne kadar uzağa gitmek istersin? Bu işi yapmak için tüm izinleri ve hiyerarşiyi nasıl karıştırırsınız? Kim her zaman zirvededir? Birisi zirvede olmalı ve o root. Hikayenin sonu.

Burada verilen çözümler - AppArmor ve SELinux dahil - bunu gerçekten değiştirmez. Onlar sadece rootizinler ve süreçler üzerinde daha ince tahıl kontrolüne izin verir .

Güncelleme işleminiz istenen sonuç için uygun değil gibi geliyor. Ancak bu, rootkullanıcının bir hatası değildir . Aşırı karmaşık şeyler yapmak yerine, rooten üst düzey izin kullanıcısı olarak düşünün ve ardından diğer her şey için aşağı doğru çalışmalısınız.

Bazı insanların bunu işaretleyeceğini biliyorum, ancak kullanıcı hiyerarşisinde daha yüksek bir seviye yok ve diğer tüm çözümler rootizinlerin nasıl çalıştığı konusunda biraz farklı bir kontrol sağlıyor . Ancak , daha yüksek izinlere sahip yeni bir kullanıcı oluşturmazlar .

"İzinleri" daha fazla olan bir kullanıcıya sahip olamazsınız rootçünkü rootmümkün olan en yüksek izin seviyesini gösterir. "Kökten daha fazla kontrol" gibi bir cümle kullanmak bir çelişkidir - roottam kontrole ve tüm olası izinlere sahiptir, bu yüzden bunun üzerinde yapılabilecek hiçbir şey yoktur.

Andy
kaynak
Zirvede değil, hikayenin sonunda olurdum. Çünkü kullanıcı hiyerarşisinde daha yüksek bir seviye yoktur çünkü daha yüksek bir kullanıcı oluşturmak istiyorum.
mchid
Yine de istediğim şey bu: kök izinlerini ve süreçlerini kontrol etmek, böylece kök izin verilmesini reddedebilirim. Bir şekilde SELinux veya AppArmor ile yeni bir kullanıcı oluşturmadan root izinini reddedebilirsem, o zaman sanırım yeni bir kullanıcıya ihtiyacım yok. Tam kontrol istiyorum, kökten daha fazla kontrol istiyorum.
mchid
16
'Dan daha fazla "izni olan" bir kullanıcıya sahip olamazsınız root. Bütün sorun bu. Oluşturmak aradığınız kullanıcı ise esasen kök kullanıcı. rootAyrıcalıklara sahip bir kullanıcı oluşturmak ve ardından daha hassas kontrol etmek istediğiniz bazılarını reddetmek gibi buna başka şekilde yaklaşmanız gerekir . İstediğiniz şey ("kökten daha fazla kontrol") mümkün değil, hatta bir şey!
Andy
@mchid Peki, yapmak istediğin şey şu anki kök kullanıcıyı yeniden adlandırmak, kök adı verilen yeni bir kullanıcı oluşturmak ve apt-get ve diğerleri, yeni, kök olmayan kullanıcınızı kullanmak mı?
Odalrick
Bazı sistemlerde rootdonanıma doğrudan erişme izni yoktur. Çekirdek modüllerinin yüklenmesini devre dışı bırakırsanız, kökü donanım üzerindeki tam kontrolün dışında tutabilirsiniz ( /dev/memve benzeri şeyler). Dosya sistemi izinleriyle pek ilgili değil, çünkü SATA veya NVMe denetleyicinizle doğrudan konuşan bir apt-get kullanmazsınız ... Ancak teknik olarak, root"durumdan daha fazla izin " durumu var ve buna çekirdek modu denir. : P
Peter Cordes
26

Dosyaların veya dizinlerin değiştirilmesini / silinmesini engellemek istiyorsanız, üzerlerindeki değişmez bayrağı ayarlayın.

chattr +i <file>

Bayrak çıkartılmadıkça root bile onlara bir şey yapamaz. Ayrıca root erişimini engellemek için container / namespace sistemini kullanmak da mümkündür, ancak bu ihtiyaç duyduğunuz şey için fazla mazeret gibi görünmektedir.

CR.
kaynak
11
Ancak root bayrağı kaldırabilir.
sebasth
10
apt, hemen hemen her şey gibi, bu bayrağı kaldırmak için chattr kullanmaz.
CR.
13
@sebasth: Doğru, ancak Apt, dpkg ve paket başına yükleme komut dosyaları (normalde) dosya özniteliklerini değiştirmez. Bunun yerine, dosyaları değişmez bayrakla değiştirmeye çalıştıklarında başarısız olurlar ve şikayet ederler.
David Foerster
4
@TripeHound Yani OP apt-getdosyayı değiştirmeyi başarmak istiyor , ancak bu dosyayı sağlam tutuyor mu? Bu biraz çelişkili diyebilirim.
Dmitry Grigoryev
3
@DmitryGrigoryev Bu gibi geliyor istedikleri apt-getiçin düşünmek değişmeden bir veya daha fazla dosya bırakarak başarılı ama. Hangi dosyaları ya da nedenlerini söylemiyorlar, ama dediğiniz gibi, biraz çelişkili - ve gelecekte "garip davranışlara" meyilli.
TripeHound
9

  • Süper bir süper kullanıcıya sahip olmak yerine kökü sınırlayabilirsiniz. Bakınız gnu / linux'da dosya izinlerini ayarlamak için farklı yollar nelerdir?

  • Ayrıca AppArmor ve SELinux da var.

  • Ve / veya yapılandırın sudo, böylece tam root ayrıcalıklarını vermezsiniz. Bunu, bir kullanıcının önceden kararlaştırılmış argümanlarla yalnızca önceden kararlaştırılmış komutları çalıştırabilmesi için ayarlayabilirsiniz.

  • Kök sınırlamak için sanallaştırmayı da kullanabilirsiniz:

    • grupları, ad alanları, chroot vb. (docker bunu yapar)
    • Xen
    • virtualbox

  • Ayrıca bakınız etckeeper: bu araç revizyonu /etcdizini kontrol eder ve apt ile senkronize eder. Varsayılan olarak güvenli değildir, kötü amaçlı bir kurulum onu ​​sabote edebilir, ancak yangın duvarlı bir yedekleme havuzunda değişiklikleri zorlamasını sağlayabilirsiniz.

  • Genel olarak revizyon kontrolünün kullanımı, yangın duvarlı bir yedekleme deposuyla. Bu, kazara, kasıtlı yolsuzluk ve donanım arızası ile yardımcı olur.

Güvenlik duvarı olan yedekleme havuzları farklı bir makinede, internette veya farklı bir sanal makinede (veya sanal makinenin ana bilgisayarında) olabilir.

Ctrl-alt-DELOR
kaynak
8

Normal işletimde neredeyse tüm sistemlere erişim gerektiren APT gibi yazılımlar için kısıtlama problemlidir. Sistemin belirli bölümlerine erişmesini engelleseniz bile, büyük olasılıkla kötü niyetli distribütörün çalışabilmesi için fazlasıyla olasılık var. Örneğin, bir kitaplığı veya yalnızca bir ikili dosyayı değiştirerek veya sonunda sınırsız bir kökün kullanacağı kötü amaçlı bir yapılandırma değişikliği ekleyerek.

Ne kadar kısıtlama getireceğinize bağlı olarak, bazı kurulum komut dosyalarının kırılması beklenebilir.

Uygulamaları ve kullanıcıları kısıtlama yolları için bir AppArmor veya SELinux politikası yazabilirsiniz. Bu tür politika daha fazla desteklenir ki, dağıtımınıza bağlı olarak: Debian tabanlı AppArmor için daha iyi destek sağlarken, Fedora / RHEL tabanlı dağıtımlar varsayılan olarak SELinux'u etkinleştirir.

Hem AppArmor hem de SELinux , belirli eylemlere izin vermek (veya reddetmek) için kurallar içeren beyaz liste politikaları üzerinde çalışır . Politikalar, yürütmedeki bir işleme uygulanır , benzer şekilde kullanıcılar, oturum açma sırasında işlemlerine uygulanan bir politika uygulandığında kısıtlanabilir. İyi düşünülmüş bir politika çevrilemez (çekirdek hataları dikkate alınmazsa). Root (Uid 0) olarak çalışan sınırlı işlem yapılandırılmış politika tarafından sınırlandırılmıştır ve politikada açıkça izin verilmedikçe değiştirilemez.

AppArmor politika dili, kara liste politikası oluşturmak için kullanılabilecek bir reddetme kuralı tanımlar . AppArmor ile başlamak için iyi bir yer, AppArmor man sayfaları , wiki ve dağıtımınızdaki mevcut yapılandırmaya bakmaktır ./etc/apparmor.d/

Bol SELinux'un yönetim ve geliştirme malzemesi sağlanır SELinux'un wiki . SELinux referans politikası github'da barındırılmaktadır.

sebasth
kaynak
7

Kimsenin uygun bir şekilde iğnelemekten bahsetmediğine inanamıyorum ...

Birkaç yıl önce, Microsoft, Windows 10 makinelerini eski Samba NT4 Etki Alanı Denetleyicilerimizle konuşmasını engelleyen bir yama yayınladı. Sorun bulunduğunda, Samba paketini mevcut sürümde kalmaya devam ettirdik ve aptyine de doğru bir şekilde çalıştığımızı gördük .

Tam bir Debian Walkthrough süreci iyi açıklıyor:

In /etc/apt/preferences(veya yeni bir dosya under /etc/apt/preferences.d/), hangi paketi ve versiyonunu belirtmek için bazı metin eklemek:

Package: samba
Pin: release v=3.6.6-6+deb7u7
Pin-Priority: 900

Tam sözdizimi için belgelere bakın, ancak bu bir paket sürümünü sabitlemenin hızlı ve kirli yoludur. Kök olabilir kök daima yapabileceği gibi, bununla baypas, ancak bu çözer otomatik size paketleri yükseltmek için çalışıyoruz paket yöneticilerinin sorunu.

NOT: Bu cevap sizin bir XY sorununuz olduğunu varsayıyor

Kanadalı Luke MONICA TAKIM
kaynak
Askubuntu'da bir dizi XY problemini kendim cevapladım. Ancak, apt sadece bir örnek ve beni fikre götüren şey. Ben her şeyin "güç-yozlaştırıcı ve mutlak-güç-yozlaştırıcı kesinlikle" yönü ile daha fazla ilgileniyorum. Kendi sistemim üzerinde tam ve mutlak güç, beni en başta linux'a yönlendiren şey. Gücümün her zaman kökten mutlak olmadığının farkına varmak biraz rahatsız edicidir; mutlak güç fikri baştan çıkarıcıdır.
mchid
Ayrıca, biraz XY problemi olduğunu sanıyorum ama buradaki Y, "root süper kullanıcı olduğunda root kullanımına nasıl izin vermeyebilirim?"
mchid
1
@mchid, kök izinlerini reddetmekle ilgili değil, root olarak çalışan bir programın bir şeyini reddetmekle ilgili.
John Keates
6

Aslında oldukça basit.

Kök sizin "süper süper kullanıcınız"

"Admin" adında bir hesap oluşturun ve ona istemediğinizlerin dışındaki tüm kök izinlerini verin.

Sonra bob adında bir kullanıcı oluşturun ve "admin" olmasına izin verin. Su veya sudo kullanarak.

Artık normal bir kullanıcı (bob) olan yönetici şeyler (admin) ve süper bir süper kullanıcı (root) yapabilen bir süper kullanıcı var.

Eğer "root" ismini başka bir şeyle değiştirmek istiyorsanız, bunu bile yapabilirsiniz. Teknik olarak sadece kullanıcı kimliği (0) önemlidir.

coteyr
kaynak
Normal bir kullanıcı (bob), admin şeyler (admin) ve süper bir süper kullanıcı (root) yapabilen bir süper kullanıcı olsaydı, root hala tüm admin şeylerini arkaplan işlemleri, cronjobs ve kullanıcı kimliği olarak başka şeyler (0)?
mchid
Onları istemiyorsan hayır. Çoğu servis, hangi kullanıcının işi yapacağını seçmenize izin verir. Yönetici kullanıcısı, işlemleri yürüten kullanıcı olacak şekilde ayarlayabilirsiniz. Birkaç istisna var, ama çok değil.
coteyr
Bütün bu süreçleri ayrı ayrı ele almak zorunda kalmaz mıyım?
mchid
3
Standart kuralları çiğnemeye çalıştığınızda olan budur. Bir * nix ortamındaki izin sistemlerinin nasıl ve niçin olduğunu daha iyi anlamanız gerektiğini düşünüyorum.
Shauna,
2
Shauna ile aynı fikirdeyim, * nix izin sisteminin temel bir anlayışından yoksun görünüyorsun. Çok güçlü ama pencereler gibisi yok.
coteyr
3

İstediğiniz şey yalnızca belirli dosyaların yüklenmesini engellemekse, kök izinlerini kısıtlamak bunu yapmanın yolu değildir. Konvansiyonel cevapların (değiştirilemez dosyalar veya LSM'lerin), APT (ve diğer birçok paket yöneticisi) dosyaları kuramazlarsa kurtarmayacağı gibi, özel kullanım durumunuz için işe yaramayacağına dikkat etmek önemlidir.

Sormak istediğiniz asıl soru şudur:

APT'nin belirli dosyaları yüklemesini önlemenin bir yolu var mı?

Bu, çoklu seviyelerde sorduğunuzdan tamamen farklı bir şey.

Şimdi, bu soruya göre kendim% 100 emin değilim, ancak bazı paket yöneticilerinin belirli dosyaların yüklenmesini önleme seçeneğine sahip olduğunu biliyorum (örneğin, Gentoo'nun Portage sistemi INSTALL_MASK=gerçekten kabuk kabul eden bir seçeneğe sahiptir). tarzı yüklenmeyen şeylerin kalıplarını eşleştirme). APT (ya da muhtemelen dpkg'ın kendisi için) için böyle bir seçeneğin mevcut olduğuna bahse girmekten çok daha fazla isterdim.

Austin Hemmelgarn
kaynak
Gerçekten, "APT'nin belirli dosyaları yüklemesini önlemenin bir yolu var mı?" benim sorum değil; bu sadece bir örnek ve soruyu aklıma getiren şey bu. Yeni firefox eklentilerle birlikte gelir ve kullanıcı bunları yeni güncellemelerle sildikten sonra bile bu dosyaları yükler. Bu aslında sorun değil; bu benim sistemim üzerinde daha fazla kontrol istediğimi fark etmemi sağladı. Bununla birlikte, buradaki birkaç soruyu yanıtladığım için mantığınız için teşekkür ederim.
mchid
dpkg-divert bunu yapar: unix.stackexchange.com/a/157896/70847
mchid
1

Yedek bir kopyasını güvenli bir yere koyun. Herhangi bir yükleme / güncelleme işleminden sonra, derhal belirli dosyaları bu yedeklemeden değiştirin. Bu nedenle, yüklemeyi bozacak hiçbir hata yok ama saklamak istediğiniz dosyaları hala geri alıyorsunuz.

WGroleau
kaynak
1

Monte edilmiş bir sürücüden çalışın

Bunun çoğunlukla kavramsal bir cevap olduğuna dikkat edin, ancak başarmak istediğiniz şeyle çalışması ve ruhu içinde olması gerektiğini düşünüyorum.

Sistem X sizin çalışma sisteminiz olsun ve Y sistemi sizin kontrol ettiğiniz başka bir sistem olsun

  1. Y'den bir dizini X'te bir sürücü olarak bağla
  2. Hakları, X'in kök kullanıcısının, bu istisna sürücüde her şey üzerinde, birkaç istisna dışında hak sahibi olacak şekilde ayarlayın.

Şimdi neredeyse her şeyi yapabilen 'çalışma kökünüze sahipsiniz ve Y sisteminin gerçek kök hesabı olan ve her şeyi gerçekten yapabilen' kökünüz 'var.

Dennis Jaheruddin
kaynak
Bu fikri seviyorum, ancak çalışan bir sistemde bunu yapmak istiyorum.
mchid
1

Xen hipervizörü gibi bir tip 1 hiper yönetici çalıştırabilir ve normal işletim sisteminizi sanallaştırılmış bir konuk olarak barındırabilirsiniz. Hiper yönetici, sanal konuk işletim sistemini kökten daha derin bir seviyede kontrol eder çünkü konuk işletim sisteminin üzerinde çalıştığı (sanal) donanım üzerinde kontrolü vardır.

Hiper denetçiyi, misafir işletim sistemini manipüle etmek üzere, izinleri değiştirmek, yedek oluşturmak ve uygulamak, konuk işletim sistemindeki bazı değişiklikleri ya da talimatları almak, ek işlevsellik, doğrulama vb. Uygulamak için izinleri değiştirmek de dahil olmak üzere programlayabilirsiniz. "Kök bile yapamayan şeyler yapmak" için bir "kullanıcı" (aslında hipervizörün bir işlevi) olan unix tipi bir sistemi uygulamak

Benim bu yaklaşım muhtemelen overkill olduğunu hissediyorum

Nathan Smith
kaynak
Hiper yönetici, kök izinli bir kullanıcının konuk bir VM'de yapmak istediği herhangi bir şeyi yapmasını nasıl önler?
fpmurphy
Bu cevap yolunda başlıyor, ancak daha sonra gramer yoldan sapıyor (daha sonra yanlış yol okuyor ya da en azından belirsizlikler). Bir düzeltme yaptım.
ctrl-alt-delor
1
@ fpmurphy1 bir hiper yönetici, kök kullanıcı veya konuk işletim sisteminin diğer bölümlerinde keyfi kısıtlamalar uygulamak için sistem çağrılarını bağlayabilir, politikalar uygulayabilir vb. yapabilir. Belki de cevabım iyi değil, çünkü gerçek bir kurumsal kullanım davası veya başka bir şey bulamazsanız, bu çok fazla işe yarıyor ...
Nathan Smith
@ ctrl-alt-delor Düzeltmeniz için teşekkürler, ancak gramerin sorun olduğunu sanmıyorum. Ne demek istediğimi açıklığa kavuşturdum ve düşüncelerimin ilk başta net olmadığı konusundaki görüşlerini takdir ediyorum
Nathan Smith
1
Misafir içinde @ fpmurphy1 tam kök var. Ancak, ana bilgisayardaki kök ile aynı kök değil. Bu nedenle, ana bilgisayar kökünden daha küçük bir köktür. Docker, işlerin daha bütünleştirilmesine izin verecek, ancak yine de kök üzerinde kısıtlamalar koyacak.
ctrl-alt-delor
1

Bir göz atın cgroups ve Linux ad gibi onlara göre bu hedef türünü, hem de araçlar ulaşma alternatif bir yöntem olarak Docker ve LXD .

Bu araçlar, diğer şeylerin yanı sıra, "kök" olarak çalışan bir işlemin dosya sisteminin hangi bölümlerini görebileceğini, hangi süreçlerin görülebileceğini sınırlayabilmenizi ve "kök" kullanıcısına yalnızca belirli yetenekler sunabilmenizi sağlar .

smw
kaynak
0

UNINSTALL sudo

Nasıl Kaldırmak hakkında sudove sembolik bağ /bin/suiçin /bin/false? Bunu root, giriş yapamayacağınızdan sshve sistemi kilitlediğinizden emin olun .

Bu rootSüper * Süper Kullanıcı yapar ve diğer herkes buna bağlıdır.

Güncellemeler sırasında değiştirilen dosyalar için hiçbir güncelleme yapmayın. Daha gerçekçi olarak, dosyaların izinlerini değiştirir 440ya 444da yazamazlar. Veya onları bir git deposuna koyun, eğer üzerine yazılırsa geri alınabilir.

user176717
kaynak
Gördün mü, hala güncellemeler yapmak istiyorum ve hala kökün normalde yaptığı her şeyi yapıyor. Ancak, "hey bunu yapma" ya da "hayır, bunu yapamazsın" gibi bir ebeveyn otoritesinin bir çocuğa yapabileceğini söyleyebilmek istiyorum. Şu an olduğu gibi, Root sistemimdeki ebeveyn otoritesi gibi ve tüm küçük çocuklar "anne yapabilir miyim?" sudo kullandıklarında. Bu iyi. Ancak, bu gezegendeki hemen hemen her kişi birisinin yavrularıdır. Buradaki bazı cevaplar, yürümeye başlayan çocukların farkında olmadıklarında öz farkındalıktan önce olduğu gibi görünüyor
mchid
. . . o büyük anne ve büyükbaba, annenin ve babanın anne ve babasının annesidir. Büyükbabamın sistemime girmesini istiyorum, çünkü şu an kökü evin babası ve büyükbabam babamın ne yapması gerektiğini söyleyebilir çünkü büyükbabam babanın babası :)
mchid
Sudo gücüne sahip çok fazla insan eklediniz. sudoersDosyayı, yalnızca seçilen kullanıcıların önceden seçilmiş komutlara uyması için ayarlayın .
user176717 7:17
Sudoers dosyasında root dahil sadece iki kullanıcım var. Bazı insanların sorumu nasıl anlamadığımı ve neyi başarmak istediğimi anlamadığını açıklamak için bir benzetim kullanmaya çalışıyordum.
orkide
Sanki insanlar çok küçük bir çocuğun annesinin ve babasının ebeveyni olamayacağını düşündüğü şekilde kökten daha yüksek bir kullanıcının olamayacağını düşünüyor gibi görünüyor. Ayrıca, aşağı oy vermedim.
orkide
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.