Como a visibilidade de uma montagem de sistema de arquivos é limitada?

Navegue suas respostas
3

Se um usuário monta um sistema de arquivos criptografados, é possível limitar a visibilidade desse sistema de arquivos de tal forma que outros usuários não possam visualizá-lo ou mesmo ver que o sistema de arquivos está montado?

    
por Safayet Ahmed 26.01.2015 / 21:15

2 respostas

1

Eu não posso te dizer como fazer isso, mas namespaces é o caminho a percorrer. Estes são novos-ish. o kernel Linux suporta-os, e acho que ouvi dizer que eles estão em outros kernels.

en.wikipedia.org/wiki/Cgroups#Namespace_isolation no kernel do Linux existem namespaces, você pode ocultar montagens e outros recursos. É frequentemente usado com cgroups para criar máquinas virtuais leves (Então todos os sistemas operacionais usam o mesmo kernel). Mas também pode ser usado para o que você está tentando fazer.

Tenha cuidado, quando eu joguei com eles, precisei de privilégios de root para usá-los (isso não é estritamente verdadeiro, veja os recursos - privilégios refinados, para fazer o que tradicionalmente requer root). Portanto, qualquer ferramenta que você criar deve eliminar esses privilégios / capacidades quando tiver configurado o namespace.

    
por 28.01.2015 / 22:34
2

is it possible to limit the visibility of that file system such that other users are not able to view it

As mesmas regras se aplicam como se não estivessem em um sistema criptografado. A criptografia apenas altera a forma como as estruturas no disco são finalmente armazenadas.

Isso significa que os controles normais da ACL ainda estarão em vigor, apenas passando por uma camada adicionada em que algo precisa descriptografar o sistema de arquivos. Se os usuários tiverem permissões de leitura / execução para os diretórios do sistema de arquivos, eles poderão acessá-lo normalmente.

As etapas exatas a serem implementadas variam entre os sistemas de arquivos que você pode optar por criptografar. Em sistemas de arquivos ext3 / ext4, por exemplo, você pode remover o mundo read / execute do ponto de montagem e apenas setfacl conforme apropriado para fornecer aos usuários o nível desejado de acesso àquela árvore de diretórios específica.

or even see that the file system is mounted?

Eles poderão ver que o sistema de arquivos está montado. Por exemplo, posso executar df como um usuário não privilegiado: 

[jxd87@xxx ~]$ df -hP
Filesystem                                                                        Size  Used Avail Use% Mounted on
/dev/mapper/VG00-LV00                                                             1.5G  438M  966M  32% /
tmpfs                                                                              64G     0   64G   0% /dev/shm
/dev/sda1                                                                         194M   93M   92M  51% /boot
/dev/mapper/VG00-LV02                                                             1.9G  252M  1.6G  15% /opt
/dev/mapper/VG00-tmp                                                              740M  451M  252M  65% /tmp
/dev/mapper/VG00-LV04                                                             1.5G  826M  578M  59% /usr
/dev/mapper/VG00-LV01                                                             1.5G  1.1G  307M  79% /var
/dev/mapper/VG00-log                                                              740M  107M  595M  16% /var/log
/dev/mapper/VG00-audit                                                            740M   31M  671M   5% /var/log/audit
xxx:/ifs/rc170  200G  135G   66G  68% /home/rc170
xxx:/ifs/dco    200G  135G   66G  68% /home/dco
xxx:/ifs/jad87  200G  135G   66G  68% /home/jxd87
    
por 26.01.2015 / 21:35

Tags

O comando grep que localiza / exclui toda a linha em que um caractere separador aparece um certo número de vezes? Expansão do nome de arquivo a partir de intervalos de datas