Bash 拒绝sudo用户访问特定文件夹
我有一个问题:我是Ubuntu系统的根用户。我想给一个用户(比如用户名是X)执行任何命令的权限,但同时我有一个文件夹,除了我的用户(当然不是X,因为它是Admin)或root之外,我不希望任何人能够访问该文件夹。有什么建议吗?谢谢 如果用户可以像Bash 拒绝sudo用户访问特定文件夹,bash,ubuntu,permissions,sudo,Bash,Ubuntu,Permissions,Sudo,我有一个问题:我是Ubuntu系统的根用户。我想给一个用户(比如用户名是X)执行任何命令的权限,但同时我有一个文件夹,除了我的用户(当然不是X,因为它是Admin)或root之外,我不希望任何人能够访问该文件夹。有什么建议吗?谢谢 如果用户可以像sudo那样执行任何命令,他也可以随时成为root。这就是为什么除非您限制用户可以使用sudo执行的命令列表,否则无法保护目录不被此类用户浏览的原因 一个想法是将文件夹放在一个单独的分区上,分区用密码加密。用户需要先解密分区,然后才能挂载该文件夹。如果用
sudo
那样执行任何命令,他也可以随时成为root
。这就是为什么除非您限制用户可以使用sudo
执行的命令列表,否则无法保护目录不被此类用户浏览的原因
一个想法是将文件夹放在一个单独的分区上,分区用密码加密。用户需要先解密分区,然后才能挂载该文件夹。如果用户可以像
sudo
那样执行任何命令,他也可以随时成为root
。这就是为什么除非您限制用户可以使用sudo
执行的命令列表,否则无法保护目录不被此类用户浏览的原因
一个想法是将文件夹放在一个单独的分区上,分区用密码加密。用户需要先解密分区,然后才能挂载该文件夹。如果用户可以像
sudo
那样执行任何命令,他也可以随时成为root
。这就是为什么除非您限制用户可以使用sudo
执行的命令列表,否则无法保护目录不被此类用户浏览的原因
一个想法是将文件夹放在一个单独的分区上,分区用密码加密。用户需要先解密分区,然后才能挂载该文件夹。如果用户可以像
sudo
那样执行任何命令,他也可以随时成为root
。这就是为什么除非您限制用户可以使用sudo
执行的命令列表,否则无法保护目录不被此类用户浏览的原因
一个想法是将文件夹放在一个单独的分区上,分区用密码加密。用户需要先解密分区,然后才能装载该文件夹。因此,我得到的最接近答案是拒绝权限,不让用户运行chmod和chown。但用户可以很容易地变得聪明,并通过其他10种方式来实现。有什么建议吗?嗯,很有趣。我希望这是最后的选择。看来事情已经到了这个地步!谢谢如果没有人有更好的解决方案,你会接受你的意见:)你可以找到工具。不过,所有这些工具都处理加密。@A2B您建议进行编辑,您提到的SELinux功能可以在其中使用。该编辑被社区拒绝,而不是我。我基本上对基于SEL的解决方案持开放态度,但是我们应该更具体,而不是仅仅提及它。您是否考虑了某种基于SEL的解决方案?如果是,那么让我们创建一个例子。所以,我得到的最接近答案是拒绝许可,不让用户运行chmod和chown。但用户可以很容易地变得聪明,并通过其他10种方式来实现。有什么建议吗?嗯,很有趣。我希望这是最后的选择。看来事情已经到了这个地步!谢谢如果没有人有更好的解决方案,你会接受你的意见:)你可以找到工具。不过,所有这些工具都处理加密。@A2B您建议进行编辑,您提到的SELinux功能可以在其中使用。该编辑被社区拒绝,而不是我。我基本上对基于SEL的解决方案持开放态度,但是我们应该更具体,而不是仅仅提及它。您是否考虑了某种基于SEL的解决方案?如果是,那么让我们创建一个例子。所以,我得到的最接近答案是拒绝许可,不让用户运行chmod和chown。但用户可以很容易地变得聪明,并通过其他10种方式来实现。有什么建议吗?嗯,很有趣。我希望这是最后的选择。看来事情已经到了这个地步!谢谢如果没有人有更好的解决方案,你会接受你的意见:)你可以找到工具。不过,所有这些工具都处理加密。@A2B您建议进行编辑,您提到的SELinux功能可以在其中使用。该编辑被社区拒绝,而不是我。我基本上对基于SEL的解决方案持开放态度,但是我们应该更具体,而不是仅仅提及它。您是否考虑了某种基于SEL的解决方案?如果是,那么让我们创建一个例子。所以,我得到的最接近答案是拒绝许可,不让用户运行chmod和chown。但用户可以很容易地变得聪明,并通过其他10种方式来实现。有什么建议吗?嗯,很有趣。我希望这是最后的选择。看来事情已经到了这个地步!谢谢如果没有人有更好的解决方案,你会接受你的意见:)你可以找到工具。不过,所有这些工具都处理加密。@A2B您建议进行编辑,您提到的SELinux功能可以在其中使用。该编辑被社区拒绝,而不是我。我基本上对基于SEL的解决方案持开放态度,但是我们应该更具体,而不是仅仅提及它。您是否考虑了某种基于SEL的解决方案?如果是,那么让我们创建一个示例;普通的unix权限模型无法满足这种需求。有没有可能限制用户可以运行的命令列表?@A2B如果你只是将一些他可以自己编译的可执行文件列入黑名单。如果这个盒子上没有编译器,他可以在另一个具有相同体系结构的系统上编译;普通的unix权限模型无法满足这种需求。有没有可能限制用户可以运行的命令列表?@A2B如果你只是将一些他可以自己编译的可执行文件列入黑名单。如果这个盒子上没有编译器,他可以在另一个具有相同体系结构的系统上编译;普通的unix权限模型不支持ac