如果我将以下行添加ALL= /usr/bin/truecrypt到 sudoers 文件中,则所有用户都可以在任意安装点安装卷。问题是用户可以创建一个 truecrypt 卷,然后将其安装在/etc/apache2他们/var/www不应该能够篡改的目录中。
如果用户没有 sudo 运行权限,/usr/bin/truecrypt则 truecrypt 在提示输入管理员/用户密码后会失败。
配置系统/truecrypt 以便用户可以以合理/安全的方式安装卷的正确方法是什么?例如,他们只能将卷安装到他们拥有(或具有写入访问权限)的安装点?
答案1
我建议您尝试将安装添加到 fstab 中。/etc/fstab在大多数系统上都可以找到它。
fstab 将允许您限制谁有权访问以及谁可以将哪些设备安装到哪些安装点。您正在寻找的选项很可能是uid。您可以通过检查来确定用户的 UID /etc/passwd。通常,您将使用 uid 1000 作为系统上创建的第一个用户。
sshfs#server.local:/mnt/Mountpoint /mnt/LocalDir fuse comment=sshfs,noauto,users,exec,uid=1000,gid=1000,allow_other,reconnect,transform_symlinks,BatchMode=yes,IdentityFile=/home/me/.ssh/server 0 0
此示例展示了如何使用 sshfs 在本地挂载远程文件系统。我已经对其进行了限制,以便只有我的用户才可以执行此类操作。在这个 sshfs 示例中还有其他选项,您很可能不需要,但我认为如果您看一下,可能会清楚一些。
进一步阅读
太长了;博士
在 fstab 中设置 uid 甚至 guid 以限制某些用户的访问。如果设置正确,这将限制安装/卸载以及文件访问。另外,请调查您是否正在使用 FUSE,因为这可能会导致额外的冲突。