Làm thế nào để ngăn người dùng thay đổi quyền thư mục chính của mình?

7

Nếu thư mục chính của người dùng smithcó các quyền sau:

$ ls -l /home/staff
drwxr-x---   51 smith    staff       4096 Sep 18 09:08 smith/

bằng cách nào đó, có thể ngăn anh ta thay đổi sự cho phép của thư mục nhà của anh ta thành 755 không?

permissions  home 
Fuji San
nguồn
Xóa một cuộc tranh luận về việc có hay không điều này là cần thiết; vui lòng tranh luận về vấn đề này trong trò chuyện, nhưng câu hỏi là về cách làm điều gì đó
Michael Mrozek

Câu trả lời:

10

Một cách là sử dụng các nhóm trên mỗi người dùng (tức là một nhóm cho mỗi người dùng) và sau đó đặt quyền truy cập thư mục gốc thành root: smith, mode 0770.

Một cách khác (hacky) là kịch bản này: Tạo một kịch bản kiểm tra tất cả các thư mục chính (lấy chúng thông qua setpwent () / getpwent ()) nằm dưới / home (ví dụ: không / root) và làm cho nó cảnh báo khi có sự khác biệt hoặc thay đổi các quyền tại chỗ.

Trước đây tôi đã từng làm điều đó trong một môi trường nhiều người dùng và làm việc trong nhiều năm như một cơ duyên.

V13
nguồn
Kịch bản sẽ phải kiểm tra từng giây để thay đổi quyền truy cập thư mục trong thư mục / home / staff.
Fuji San
3
Bạn có thể có thể nhận được thông báo để kiểm tra các thay đổi ngay lập tức , mặc dù vẫn còn một cửa sổ hẹp trước khi thay đổi lại.
pjc50
@FujiSan tất cả phụ thuộc vào những gì bạn đang cố gắng để đạt được. Nếu bạn đang cố gắng ngăn điều này xảy ra thì thậm chí cứ sau 1 giây là không đủ thường xuyên. Nếu bạn chỉ cố gắng bảo vệ người dùng của mình khỏi những sai lầm / thiếu hiểu biết thì một phút một lần sẽ là quá đủ, đặc biệt nếu bạn kèm theo điều này với một email giáo dục.
V13
3

Mong muốn của bạn chỉ khả thi nếu HĐH và hệ thống tập tin nghi vấn hỗ trợ tiêu chuẩn ACL được sử dụng bởi NTFS và ZFS và được NFSv4 chuẩn hóa.

Vì vậy, việc bạn có thể làm những gì bạn thích hay không phụ thuộc vào hệ điều hành và hệ thống tập tin.

Các quy tắc UNIX truyền thống là quyền sở hữu của người dùng đối với một thư mục cũng cho phép thay đổi chế độ truy cập. Với ACL, bạn có thể từ chối người dùng thay đổi ACL trên thư mục của riêng mình.

thông minh
nguồn
HĐH là Linux (Fedora). Tôi đoán bạn đang nói về setfacl. Bạn làm điều đó như thế nào?
Fuji San
4
"Các quy tắc UNIX truyền thống là các quyền ghi vào thư mục cũng cho phép thay đổi chế độ truy cập." - Đo không phải sự thật. Bạn phải sở hữu nó, không chỉ có quyền truy cập viết.
Random832
@Fuji San - Không, tôi không nói về setfacltiêu chuẩn ACL. setfacl là một đề xuất của Sun và những người khác từ năm 1993 đã bị rút lại vào năm 1997 vì nó không đáp ứng được mong muốn của khách hàng. Tiêu chuẩn ACL được triển khai trong NTFS và ZFS và ACL có thể được sửa đổi bởi chmod, xem schillix.sourceforge.net/man/man1/chmod.1.html
schily
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.