我在服务器上安装了 VeraCrypt,并想考虑让服务器上的用户可以使用它来加密主目录中的文件。需要考虑哪些安全漏洞?
例如,运行 VeraCrypt 需要 root 权限,即使创建本地文件也是如此,我不希望用户能够破坏服务器系统卷。我也不希望出现上述特权升级风险这里。
可以通过将以下内容添加到来向用户提供 VeraCrypt 的 Root 权限/etc/sudoers.tmp
:
%veracrypt ALL=(root) NOPASSWD:/usr/bin/veracrypt
用户是否可以使用 VeraCrypt 而不存在这些权限提升风险,并且无法在主目录以外的任何地方更改计算机?
答案1
简短回答:否
更详细的答案:这取决于您对用户的信任程度以及他们是否出于善意行事。
允许普通用户安装 VeraCrypt 卷会打开一系列攻击媒介,例如安装恶意制作的卷。
例如,请仔细查看以下答案和评论:
如果你信任你的用户,你可以允许他们安装卷
但请查看评论。