Existe um comando que irá negar a qualquer outra pessoa que edite o diretório que eu criei? Eles também têm direitos de administrador, mas eu só quero que eles leiam o arquivo não capaz de editá-lo / apagá-lo. Eu sei chmod comandos, mas que fornece a permissão apenas e qualquer pessoa com privilégios de root ainda pode fazer as alterações.
Não. Você não pode fazer nada para impedir que outras pessoas com acesso root na máquina modifiquem seus arquivos ou diretórios. Usuários root têm acesso total por definição, e qualquer permissão ou ACL que você possa definir pode ser facilmente anulada por eles.
Sim, existe uma solução.
Você deve apenas cortar o diretório e colocá-lo em um servidor onde apenas você tenha acesso e privilégios de root. Em seguida, compartilhe esse diretório com todos os outros usuários por meio do NFS a partir desse servidor e restrinja-os a acesso de leitura usando squash raiz.
Referência:
Root squash é uma redução dos direitos de acesso para o superusuário remoto (root) ao usar a autenticação de identidade (o usuário local é o mesmo que o usuário remoto). É principalmente uma característica do NFS, mas também pode estar disponível em outros sistemas.
Esse problema surge quando um sistema de arquivos remoto é compartilhado por vários usuários. Esses usuários pertencem a um ou vários grupos. No Unix, cada arquivo e pasta normalmente tem permissões separadas (leitura, escrita, execução) para o proprietário (normalmente o criador do arquivo), para o grupo ao qual o proprietário pertence e para o "mundo" (todos os outros usuários) . Isso permite a restrição de acesso de leitura e gravação apenas aos usuários autorizados, enquanto, em geral, o servidor NFS também deve ser protegido por firewall.
Um superusuário tem mais direitos do que um usuário comum, sendo capaz de alterar a propriedade do arquivo, definir permissões arbitrárias e acessar todo o conteúdo protegido. Mesmo os usuários que precisam ter acesso root a estações de trabalho individuais podem não ser autorizados para ações semelhantes em um sistema de arquivos compartilhado. A polpa raiz reduz os direitos da raiz remota, tornando a pessoa não mais superusuário. Em sistemas semelhantes ao UNIX, a opção raiz squash pode ser ativada e desativada no arquivo / etc / exports em um lado do servidor.
Após implementar a root squash, o superusuário autorizado executa ações restritas após o login em um servidor NFS diretamente e não apenas pela montagem da pasta NFS exportada.
Sim. Se você criar um novo grupo e depois adicioná-lo somente a esse grupo, só poderá garantir que esse grupo possa editar o arquivo. Veja como: Primeiro use groupadd para fazer um novo grupo
groupadd -g {uniqueid}{newgroupname}
Exemplo:
groupadd -g 1234 newgroup
Agora temos que adicionar o usuário:
sudo usermod -G {newgroupname} {username}
Agora é só adicionar a permissão para esse grupo ao arquivo. Eu costumo usar um gui para isso, então eu não sei como usar o cli. Agora, tudo isso pressupõe que ele tenha os direitos de grupo de rodas (grupo de administradores padrão) ou direitos de administrador e não direitos de root, caso em que é impossível.
Tags linux