как ограничить root-доступ к папкам на aix?

Я хочу ограничить доступ к определенной папке на aix.

даже пользователю root должен быть ограничен доступ к определенным папкам. например, у меня есть пользователь - aixuser и root на сервере aix 5.3, и у меня есть папка - myfolder.

я хочу, чтобы только aixuser имел доступ к этой папке, а не root.

Как я могу это сделать?


aix
person Community    schedule 15.05.2009    source источник


Ответы (4)


Нет, этого делать нельзя. Вся концепция пользователя root основана на неограниченном доступе. Вы можете довольно легко защитить свои файлы от других обычных пользователей, используя либо парадигму пользователя/группы/другого, либо списки контроля доступа, но, как только кто-то получит полномочия суперпользователя, вы не сможете их вообще ограничить.

Для этого есть веская причина — если вы каким-то образом потеряли доступ к своим файлам, как вы ожидаете, что администраторы восстановят их для вас?

Способ решения ваших проблем — либо ограничить количество людей с root-доступом, либо каким-то образом зашифровать ваши файлы. Но даже это последнее предложение не остановит решительного пользователя root, который может заглянуть в адресное пространство вашего процесса или перехватить ваш входной поток, чтобы получить ваши пароли, если это необходимо.

Единственная работоспособная защита будет иметь вашу собственную коробку, и только у вас будут права суперпользователя. Затем вы можете рассматривать пользователя root на другом компьютере как обычного пользователя на вашем.

person paxdiablo    schedule 15.05.2009
comment
RBAC может позволить пользователям без полномочий root выполнять некоторые задачи, которые обычно разрешены только пользователям с полномочиями root, но он никоим образом не ограничивает (и не должен) пользователя root. - person paxdiablo; 15.05.2009

Вы не можете исключить корневой доступ к любому файлу в любой локальной файловой системе.

person ojblass    schedule 15.05.2009

как говорит paxdiablo, привилегия пользователя root - это самое главное в AIX (фактически на любой машине UNIX/Linux). В RBAC установка разрешений роли на aix (в команде mkrole) даст вам разрешения делать все, что может делать пользователь root, но не более того, чем пользователь root.

Имея UID=0, GID=0 предоставляет root весь необходимый ему доступ к машине.

person zapstar    schedule 20.11.2012

На самом деле я считаю, что вы можете сделать это с зашифрованной файловой системой. Я этого не сделал. Извините за расплывчатый ответ. Но я считаю, что у EFS есть два режима. Один из них — доверять root, а другой — не доверять root.

Из https://www.ibm.com/developerworks/aix/library/au-efs/index.html

AIX® EFS encryption is at the file system level. Each file is protected with a unique file key, and protection is created against malicious root.

Если вы действительно думаете об этом, шифрование — единственный выбор, который у вас есть. Root может открыть жесткий диск и скопировать его на другой диск, а затем заняться самой файловой системой и делать то, что ей заблагорассудится. Единственный способ защититься от рута — это шифрование.

person pedz    schedule 03.09.2017