我有一个脚本,里面有用户名和密码。如何让超级用户 sudo 无法读取/写入该文件。我不是 Linux 团队,因为脚本在普通的 Linux 服务器中。Linux 团队可以访问该文件。无论如何,我们可以使用 LDAP 用户访问该文件,或者任何用户都可以访问该文件并设置某些内容。
答案1
如何使超级用户 sudo 不能读取/写入该文件。
你不能。这就是“超级用户”方法:最高级别的管理员账户,可以执行所有操作并绕过所有安全检查。
如果您不信任您自己的服务器的管理团队,这首先是一个管理问题,而不是技术问题。
答案2
如上所述,知识渊博且专心致志的根管理员可以绕过任何现有机制。不过,我假设您指的是“机会性”访问。
我希望您进行的加密是基于块/文件系统的,这使得管理员在挂载文件系统时可以很容易地查看其中的文件。
您需要单个文件或较小级别的加密 - 不会将加密数据挂载到文件系统。类似于 keepass 数据库或使用 AES 加密在 vi 中编辑的文件。您只会在需要时打开文件。
为了实现这一点,管理员需要在文件位于 RAM 中或显示时转储内存,或者对用于打开它的软件植入木马,这绝对可行,但比单个文件的工作量更大/更不明显。您可以通过创造性地使用不在计算机上的二次加密来进一步挫败管理员的努力,例如,从大脑中应用二次加密/解密翻译,例如,从每个数字中减去 3 位数字,更改字母(如 a_c、b_d 等),反转文本,更改大小写等(但不要高估这种方案的强度)。