특정 사용자가 홈 디렉토리를 chmod하더라도 홈 트리에서 정보가 유출되는 것을 방지하고 싶습니다. 즉, 사용자 alice와 bob이 있고, alice가 bob(또는 루트를 제외한 다른 사람)이 자신의 홈 트리에 있는 데이터를 읽는 것을 허용하지 못하도록 하고 싶습니다. 그 반대.
처음에는 이것이 selinux 작업인 줄 알았습니다. 하지만 꼭 필요한 경우가 아니면 모험을 하고 싶지 않습니다.
대신에 나는 다음과 같은 홈 디렉토리 구성표를 생각해 냈고 그것이 실제로 내가 원하는 것을 수행하는지 궁금합니다.
기본 디렉터리인 /home/alice 및 /home/bob 대신 중간 디렉터리를 추가했습니다. 이 트리는 다음과 같습니다.
/home root:root drwxr-xr-x (as usual)
/home/alice0 root:alice drwxr-x---
/home/alice0/alice alice:alice drwxrwxrwx (alice's home dir)
/home/bob0 root:bob drwxr-x---
/home/bob0/bob bob:bob drwxrwxrwx (bob's home dir)
Alice와 Bob은 평소와 같이 각자의 그룹의 유일한 구성원입니다. alice의 홈 디렉터리는 /home/alice0/alice이고, bob의 홈 디렉터리도 유사하므로 평소와 약간 다릅니다. homedir alice(bob)를 제외하고 중간 디렉터리 alice0(bob0)에는 아무것도 없습니다. Alice와 Bob은 여전히 홈 디렉토리를 갖고 있지만 홈 디렉토리에 대한 액세스는 더 이상 중요하지 않으며 이것이 핵심입니다. 그 목적은 중간 "user0" 디렉토리 계층을 루트가 소유하고 각 사용자는 제한된 "rx" 그룹 액세스만 가지도록 하여 각 사용자가 자신의 홈 디렉토리에 액세스할 수 있는지 여부에 관계없이 각 사용자 그룹 외부로의 유출을 방지하는 것입니다. 홈 디렉터리에서 수행되는 작업은 무엇입니까?
/home/alice가 항상 alice의 homedir이라고 가정하는 애플리케이션의 경우 bob의 경우와 유사하게 /home: /home/alice -> /home/alice0/alice에 심볼릭 링크를 추가할 수 있습니다.
모든 경우에 작동합니까? 질문이 있나요?
답변1
왜 이런 짓을 하는지 이해가 안 돼요
/home/alice0/alice alice:alice drwxrwxrwx (alice's home dir)
그리고
/home/bob0/bob bob:bob drwxrwxrwx (bob's home dir)
내 말은: 왜 다른 모든 사용자가 alice폴더를 읽고, 쓰고, 실행할 수 있도록 허용하는지입니다 bob.
"다른 사용자"에 대한 rwx를 사용하면 alice가 bob의 디렉터리 내용(파일 권한에 따라 파일 내용이 아니더라도)을 읽을 수 있으며 그 반대의 경우도 마찬가지입니다. bob은 alice의 디렉터리 목록을 읽을 수 있습니다. Bob은 Alice의 폴더에 파일을 만들 수도 있고 그 반대의 경우도 마찬가지입니다.
표준 권한과 표준 홈 폴더가 있는 Bob은 Alice의 홈 디렉터리를 읽고 변경할 수 없으며 그 반대의 경우도 마찬가지입니다.
표준 설정에서 피하고 싶은 사항의 예를 추가할 수 있습니까?
표준 설정에서 alice와 bob의 홈 디렉터리에 디렉터리 권한이 있는 경우 소유자(및 해당 그룹과 루트)를 제외한 다른 사용자가 디렉터리 내용을 볼 수 없도록 755변경할 수 있습니다.750