Как защитить домашнюю директорию :)
oleg_kaa 30 ноября, 2009 - 02:12
Есть рабочая станция с несколькими пользователями, некоторым пользователям для работы нужен root возникла проблема с безопасностью данных ;) В Windows XP есть возможность зашифровать домашний каталог, причем администратор не сможет в неё заглянуть. Как аналогичный функционал можно повторить в Gentoo Linux?
»
- Для комментирования войдите или зарегистрируйтесь
В принципе,
В принципе, http://gentooway.ru/2009/11/ubuntu-shifruem-home-i-swap-v-ubuntu-9-10-karmic#more-45 подойдёт почти полностью. Раньше на немецкой gentoo-wiki была подобная статья относительно специфики gentoo, однако сейчас она не до конца восстановлена.
Шифровать-то можно (man
Шифровать-то можно (man ecryptfs), но я бы разграничение доступа решил
chmod oga-rwx ~в связке с проработкой темы sudo (для тех юзеров, которым нужнен root) вместо безусловного su. Определите круг задач, которые они будут выполнять, выпишите в списочек все команды, требующиеся для этого, иvisudo.:}
SMOKEING
Специфичных задач очень много :( Поэтому отключить su, sudo не имеет особого смысла.
Для шифрования воспользовался encfs без опции allow_root оказалось то что нужно :) Но под рутом можно сделать su или sudo указав пользователя и вся безопасность летит в одно место :))
Working on Gentoo Linux for Asus P535 and Qtopia :-)
в таком случае только
в таком случае только настраивать sudo, единственный вариант.
/
Если каталог зашифрован ключом,
passphraseкоторого вводится пользователем [например вместо пароля, придётся только пошаманить вокруг скриптов в/etc/pam.d/], то смена UID с использованием служебных полномочий не поможет прочитать данных в домашнем каталоге.:wq
--
Live free or die
Имеется в виду, что root
Имеется в виду, что root может свободно получить доступ к данным в смонтированном и, соответственно, расшифрованном пользователем каталоге.
P.S. Только что проверил у себя :(
Я ♥ Gentoo & Funtoo
>Имеется в виду, что root
>Имеется в виду, что root может свободно получить доступ к данным в смонтированном и, соответственно, расшифрованном пользователем каталоге.
В таком случае включаем selinux или активно пользуемся acl...
А вот про это можно по
А вот про это можно по подробней? Потому как с этим дела не имел :)
Подозреваю что ACL будет проще?
Working on Gentoo Linux for Asus P535 and Qtopia :-)
/
Монтирование (с расшифровкой) и размонтирование можно включить в сценарий login/logout.
:wq
--
Live free or die
Это не решает проблему
Это не решает проблему
Working on Gentoo Linux for Asus P535 and Qtopia :-)
root может всё
Это один из принципом *nix.
Так что не пытайтесь его оспорить, просто настройте sudo.
grsecurity в зубы. Тогда и
grsecurity в зубы.
Тогда и рут не рут. И права доступа процессов/пользователей нормально настроить можно. А не только классическим набором acl файловой системы.
http://www.grsecurity.net
emacs — отличная операционка которой не хватает только хорошего текстового редактора.