사용자가 암호화된 파일 시스템을 마운트하는 경우 다른 사용자가 파일 시스템을 보거나 파일 시스템이 마운트된 것을 볼 수 없도록 파일 시스템의 가시성을 제한할 수 있습니까?
답변1
다른 사용자가 볼 수 없도록 이 파일 시스템의 가시성을 제한할 수 있습니까?
암호화된 시스템에 없는 것처럼 동일한 규칙이 적용됩니다. 암호화는 단순히 디스크 구조가 최종적으로 저장되는 방식을 변경합니다.
이는 파일 시스템의 암호를 해독해야 하는 추가 계층을 통해서만 일반 ACL 제어가 여전히 유효하다는 것을 의미합니다. 사용자에게 파일 시스템 디렉터리에 대한 읽기/실행 권한이 있으면 정상적으로 액세스할 수 있습니다.
구현하는 정확한 단계는 암호화하기로 선택한 파일 시스템에 따라 다릅니다. 예를 들어, ext3/ext4 파일 시스템에서는 마운트 지점에서 전역 읽기/실행을 제거하고 setfacl사용자에게 해당 특정 디렉토리 트리에 대해 원하는 수준의 액세스 권한을 적절하게 제공할 수 있습니다.
아니면 마운트된 파일 시스템을 보시나요?
파일 시스템이 마운트된 것을 볼 수 있습니다. 예를 들어, df권한이 없는 사용자로 실행할 수 있습니다.
[jxd87@xxx ~]$ df -hP
Filesystem Size Used Avail Use% Mounted on
/dev/mapper/VG00-LV00 1.5G 438M 966M 32% /
tmpfs 64G 0 64G 0% /dev/shm
/dev/sda1 194M 93M 92M 51% /boot
/dev/mapper/VG00-LV02 1.9G 252M 1.6G 15% /opt
/dev/mapper/VG00-tmp 740M 451M 252M 65% /tmp
/dev/mapper/VG00-LV04 1.5G 826M 578M 59% /usr
/dev/mapper/VG00-LV01 1.5G 1.1G 307M 79% /var
/dev/mapper/VG00-log 740M 107M 595M 16% /var/log
/dev/mapper/VG00-audit 740M 31M 671M 5% /var/log/audit
xxx:/ifs/rc170 200G 135G 66G 68% /home/rc170
xxx:/ifs/dco 200G 135G 66G 68% /home/dco
xxx:/ifs/jad87 200G 135G 66G 68% /home/jxd87
답변2
어떻게 해야 할지 말씀드릴 수는 없지만 네임스페이스가 좋은 방법입니다. 이것들은 모두 새로운 것입니다. Linux 커널은 이를 지원하며 다른 커널에도 있다고 들었습니다.
en.wikipedia.org/wiki/Cgroups#Namespace_isolation Linux 커널에는 마운트 및 기타 리소스를 숨길 수 있는 네임스페이스가 있습니다. 경량 가상 머신을 생성하기 위해 cgroup과 함께 자주 사용됩니다(모든 운영 체제는 동일한 커널을 사용합니다). 하지만 원하는 모든 용도로 사용할 수도 있습니다.
이를 사용할 때 이를 사용하려면 루트 권한이 필요합니다(이는 엄밀히 말하면 실제 기능은 아닙니다. 전통적으로 루트가 필요한 작업을 수행하기 위한 세분화된 권한). 따라서 네임스페이스 설정이 완료되면 귀하가 만드는 모든 도구는 이러한 권한/기능을 포기해야 합니다.