CAP_DAC_OVERRIDE 和其他权限

CAP_DAC_OVERRIDE 和其他权限

除了 root 之外谁可以看到我的目录内容?什么是 CAP_DAC_OVERRIDE?系统管理员可以将我的内容的此权限授予某些用户吗?

我的理解是具有 CAP_DAC_OVERRIDE 权限的人可以进入并查看任何目录的内容,即使权限设置为chmod 600。如果是这样,我有办法知道某人是否对我的目录具有该权限吗?

我的老板非常努力地监视我,最近我觉得他已经说服了系统管理员帮他一些忙。现在他似乎对我正在做的事情以及我目录中的一些文件非常熟悉。我没有什么可隐瞒的,只是因为一直被人监视而感到害怕。

如果不是通过 CAP_DAC_OVERRIDE,除了 root 之外还有其他人可以看到我的目录内容吗?

答案1

CAP_DAC_OVERRIDE是一个制程能力,它不附加到特定文件。对于在其有效能力集中具有该权限的进程,DAC(读/写/执行)权限检查将被完全绕过。这类似于 root 绕过 DAC 权限检查的方式。

使用这种功能授予对文件的共享访问权限非常粗略(开/关),因为它会跳过全部DAC 访问控制一切。拥有该能力本质上与成为 root 相同[1]。任何负责任且称职的系统管理员都不会为不需要的人授予他们管理的计算机的 root 访问权限。

还有其他允许细粒度配置的访问控制机制,例如POSIX 访问控制列表 (ACL)。它们可以按文件/目录进行配置,以允许用户/组进行正常 DAC 访问将阻止的访问。

如果您使用的系统不是由您管理的,那么您几乎无法绕过系统管理员设置的策略。您可以在客户端上使用额外的文件加密,这将使您的数据保密。

你的老板在工作中监视你实际上并不是一个技术问题,而是一个社会问题。技术解决方案并不能解决问题。

相关内容