如何在不删除相应软件包的情况下阻止用户加密公司内部服务器上的主文件夹?
我可以启用什么策略来防止这种情况发生吗?
编辑:原因是离职员工不应将数据以加密形式留在这台机器上。他们有机会在一定程度上在个人工作站上使用加密。这些用户没有超级用户权限。
答案1
如果您不想删除该ecryptfs-utils
软件包,那么最简单的方法就是删除 setuid 位/sbin/mount.ecryptfs_private
。
您应该使用 dpkg 状态覆盖来使此设置持久,如下所示:
dpkg-statoverride --add root root 0700 /sbin/mount.ecryptfs_private
这将确保非 root 用户会因 EPERM 错误ecryptfs-setup-private
而失败。ecryptfs-mount-private
如果这成为一个普遍的要求,我们可以轻松地将其作为 debconf 问题/选项添加到包中。