Como faço para impedir que o usuário root exclua um arquivo?

Question

Como faço para impedir que o usuário root exclua um arquivo?

Navegue suas respostas

#1 resposta do (13 votos)
#2 resposta do (6 votos)
#3 resposta do (0 votos)
#4 resposta do (0 votos)

8

Gostaria de saber se posso impedir que o usuário raiz exclua um arquivo. É possível?

root files privileges

por Aniruddha 26.04.2013 / 14:53

4 respostas

Tags root files privileges

Lista links simbólicos no diretório atual? Como posso especificar que o curl (via linha de comando) substitui um arquivo, se já existir?

score 13 · Answer 1

Não, isso não é possível. Você pode definir o atributo imutável com chattr +i , o que, pelo menos, tornará irritante e não óbvio o que deve ser feito para permitir a gravação no arquivo, mas eles podem apenas desconfigurá-lo novamente. Além disso, seu sistema de arquivos deve suportar isso e ter a funcionalidade ativada.

O SELinux também pode fazer algumas restrições, mas, novamente, pode ser desativado.

A melhor solução é controlar adequadamente os usuários e programas, limitando seu acesso e não permitindo que eles sejam executados como root, a menos que seja absolutamente necessário.

score 6 · Answer 2

Como outros já disseram, geralmente, a ideia de root é permitir que um usuário faça a máquina fazer qualquer coisa que a máquina possa fazer. Portanto, não há um sinalizador fácil que impeça o root de intencionalmente excluir um arquivo ( chattr +i pode impedir a exclusão acidental ).

Mas, apesar disso, há algumas soluções:

Coloque o arquivo em um servidor de arquivos e configure o servidor de arquivos para não permitir a exclusão. Isso funciona porque a raiz local não é raiz no servidor de arquivos.
Coloque o arquivo na mídia WORM . Isso funciona porque o hardware não permite uma substituição, portanto, os dados são protegidos. (Sobrescrever não é algo que a máquina possa fazer.) Opções baratas são CD-R e DVD-R. Certifique-se de que sua unidade realmente não possa substituir (destruir) seções já gravadas. Também existem cartões SD WORM.

score 0 · Answer 3

Não.

Qualquer usuário com privilégios "sudo" ou o usuário root pode ver e excluir tudo.

No entanto, em um sistema ideal, você não precisa se preocupar com isso, porque apenas um usuário tem super privilégios, e ele só usará somente quando necessário e sempre de forma responsável.

score 0 · Answer 4

É possível em circunstâncias muito específicas:

Você pode desconectar a unidade USB onde a alteração ocorre ou desconectar o cabo Ethernet entre o computador e o NAS. Mas as chances são de que o arquivo será corrompido ou deixado inacessível ou ambos.

Além da ação baseada em hardware, você pode restaurar o arquivo de um backup anterior.