是否有 Linux 发行版可以阻止 root 用户修改/删除其他用户主目录中的文件/目录?我遇到了允许加密主目录的工具。但我希望其他用户能够读取文件但不能修改或删除它们。
如果这在 Linux 中不可能实现,那么你们有人知道有其他操作系统可以实现这种功能吗?
答案1
如果你想要的答案不是“不“- 不能阻止 root 执行任何事物(包括更改权限,但是*deity*是否可以将权限设置得如此严格以至于它无法绕过它们?)。
您可能想要的是能够向用户授予一些管理权限(安装程序等),但不让他们在系统上拥有无限权限。为此,您可以使用例如sudo
在用户/组级别上有所限制。
答案2
根用户可以修改任何用户主目录中的任何内容,这是设计使然。
要让用户能够读取但不能修改文件,您必须使用组并授予文件只读组权限。可从以下网址获取一个示例来说明您的用例:这里:
答案3
如果您将 /home 目录改为 NFS 挂载,则可以使用 root_squash 选项让本地机器上的 root 用户映射到 NFS 服务器上的匿名用户。这将阻止机器上的 root 修改 /home 中的文件。
但是,虽然 root 永远无法修改 NFS 服务器上其他用户的文件,但请注意 root 仍可能执行恶意操作。例如,root 可以卸载 /home 并将其替换为看似重复的 /home,以便可以对其进行写入。它还可以在另一个用户的主目录顶部安装一个伪文件系统,也可以对其进行写入。虽然原始文件在 NFS 服务器上仍然安全且未受任何影响,但您的用户不知道如何查找这种诡计,您可能会遇到您试图避免的任何问题。