Làm thế nào người dùng root có thể tạo tập tin / thư mục không thể đọc được cho chính nó?

8

Người dùng bình thường có thể chmodtập tin để làm cho chúng không thể truy cập như

evgeniy@ubuntu:~$ touch test
evgeniy@ubuntu:~$ chmod 444 test
evgeniy@ubuntu:~$ echo 'test' > test
bash: test: Permission denied

Một cái gì đó như thế này có thể được mô phỏng cho người dùng root?

linux permissions filesystems

— cá heo
nguồn

Tôi hy vọng không, hoặc tôi chắc chắn để làm điều đó.

— Mark Allen

Hãy tiếp tục và kiểm tra câu trả lời của @ danlefree;)

— dolzenko

13

chattr +i *sẽ ngăn chặn ngay cả tài khoản root thực hiện thay đổi các tệp trong thư mục (cho đến khi chattr -i *được chạy).

Theo nhận xét của Slartibartfast, một số điều bạn nên biết về chattr và thuộc tính bất biến:

Các bất biến bit sẽ ngăn chặn một tập tin bị xóa, đổi tên, liên quan đến, hoặc ghi vào; sử dụng lsattrđể hiển thị các thuộc tính theo cùng một cách lshiển thị quyền sở hữu và quyền
Bạn có thể ngăn bit không thay đổi (thậm chí bằng root) bằng cách thay đổi CAP_LINUX_IMMUTABLEcờ - để làm như vậy bạn sẽ muốn cài đặt libcap , nhưng chỉ cảnh báo công bằng rằng các khả năng được ghi lại kém (tốt nhất)

— danlefree
nguồn

Điều đáng nói là với mục đích giúp mọi người tìm thấy câu trả lời này mà chattr + i làm cho tệp không thay đổi.

— Slartibartfast

5

SELinux có thể được sử dụng để đánh dấu một tệp là không thể nhận biết bởi root trong miền hiện tại và vai trò người dùng.

— Ignacio Vazquez-Abrams
nguồn

Cung cấp một ví dụ sẽ rất tuyệt

— Jonathan