Como isolar os dados do sistema de arquivos de outra raiz do sistema?

1

Eu tenho uma máquina linux (kubuntu 13.04)
Um amigo meu pediu-me que lhe desse uma conta com a possibilidade de usar sudo . Então, eu fiz uma conta para ele e coloquei a conta em /etc/group para ele usar sudo
Eu não me importo se ele instala ou gerencia qualquer programa, mas não quer que ele acesse minha pasta pessoal /home/myaccount e suas subpastas. Como posso fazer isso?

    
por Benjamin 30.06.2013 / 09:38

1 resposta

2

Provavelmente, você não pode. Se ele tem "privilégios totais de root" (e o conhecimento necessário), ele pode contornar qualquer limitação que você possa impor a ele.

Tente reverter sua abordagem: ele precisa de privilégios de root completos ? Por quê? Mesmo? Conceda a ele sudo privileges apenas ao conjunto mínimo necessário de comandos. Por exemplo. Para instalar um aplicativo pelo gerenciamento de pacotes, ele precisa executar apenas rpm (ou yum ou apt-get ) como raiz, não como qualquer programa.

Como afirmado por @ Evan-Teitelman, mesmo isso pode ser perigoso. No arquivo sudoers você pode definir até mesmo quais parâmetros de comando um usuário pode usar, então você pode deixá-lo usar apenas uma interface de linha de comando de alto nível do gerenciador de pacotes (como apt-get ou zipper ) e deixá-lo instalar o software apenas de repositórios oficiais.

P.S. Em qualquer caso, se ele reinicializar a máquina usando um live-cd, ele poderá ler qualquer coisa, a menos que você criptografe o sistema de arquivos inicial.

    
por 30.06.2013 / 12:08