我正在寻找一种方法来保护某些文件夹免受任何操作和写入尝试(也来自 root 用户,就像 macOS 一样)。我已经在寻找选项,但没有找到任何有用的东西。 root 用户可以使用chattr -i.创建一个以只读方式安装的单独分区不适合我的用例,因为我只想保护文件系统中的某些文件夹(如 /bin)以及 /etc/httpd/conf/httpd.conf 等文件。
答案1
您无法保护自己免受流氓 root 用户的侵害。根据定义,它具有对系统的完全访问权限,包括加载/卸载内核模块、修改内核内存等的能力。
如果您正在寻找一种方法来保护系统免受自身侵害,我不知道,我不确定这是否可能。
如果你想保护系统安全,请确保除了你之外没有人可以访问 root,仅此而已。
答案2
虽然在传统的 Unix 权限模型(自主访问控制DAC)中root,用户是全能的,不能限制对某些文件的访问,但您仍然可以root通过实施SELinux强制访问控制来限制用户MAC。有关实际实施,请参阅 Sven Vermeulen 的博客文章甚至限制 root 对文件夹的访问。