루트 외에 누가 내 디렉토리의 내용을 볼 수 있습니까? CAP_DAC_OVERRIDE란 무엇입니까? 시스템 관리자가 특정 사용자에게 내 콘텐츠에 대한 이 권한을 부여할 수 있습니까?
제가 이해한 바에 따르면 CAP_DAC_OVERRIDE 권한이 있는 사람은 권한이 로 설정되어 있어도 모든 디렉터리에 들어가서 내용을 볼 수 있습니다 chmod 600. 그렇다면 누군가가 내 디렉토리에 대해 해당 권한을 가지고 있는지 알 수 있는 방법이 있습니까?
내 상사는 나를 염탐하려고 정말 열심히 노력하고 있으며 최근에는 시스템 관리자가 자신에게 호의를 베풀도록 설득한 것 같습니다. 이제 그는 내가 하고 있는 일과 내 디렉토리에 있는 일부 파일에 대해 매우 잘 알고 있는 것 같습니다. 숨길 게 하나도 없었고, 감시당하는 게 두려웠을 뿐이에요.
CAP_DAC_OVERRIDE를 통하지 않는 경우 루트 외에 다른 사람이 내 디렉터리의 내용을 볼 수 있습니까?
답변1
CAP_DAC_OVERRIDE는공정 능력, 특정 파일에 첨부되지 않습니다. DAC(읽기/쓰기/실행) 권한 검사는 유효 기능 집합에 이 권한이 있는 프로세스에 대해 완전히 우회됩니다. 이는 루트가 DAC 권한 확인을 우회하는 방법과 유사합니다.
이 기능을 사용하여 파일에 대한 공유 액세스 권한을 부여하는 것은 건너뛰기 때문에 매우 어렵습니다(켜기/끄기).모두DAC 액세스 제어모든 것. 이 능력을 갖는 것은 본질적으로 루트가 되는 것과 같습니다.[1]. 책임감 있고 유능한 시스템 관리자는 필요하지 않은 사람에게 자신이 관리하는 컴퓨터에 대한 루트 액세스 권한을 부여하지 않습니다.
다음과 같이 세분화된 구성을 허용하는 다른 액세스 제어 메커니즘이 있습니다.POSIX 액세스 제어 목록(ACL). 일반적인 DAC 액세스에 의해 차단되는 사용자/그룹 액세스를 허용하도록 파일/디렉터리별로 구성할 수 있습니다.
자신이 관리하지 않는 시스템을 사용하는 경우 시스템 관리자가 설정한 정책을 우회하기 위해 할 수 있는 일은 거의 없습니다. 클라이언트에서 추가 파일 암호화를 사용하면 데이터를 비공개로 유지할 수 있습니다.
직장에서 당신의 상사가 당신을 염탐하는 것은 사실 기술적인 문제가 아니라 사회적인 문제입니다. 기술적인 해결책은 문제를 해결하지 못합니다.