我想限制对 aix 上某些文件夹的访问。
即使是 root 用户也应该被限制访问某些文件夹。对于 e..gi 在 aix 5.3 服务器上有用户 - aixuser 和 root 并且我有一个文件夹 - myfolder。
我只希望 aixuser 可以访问此文件夹而不是 root。
我怎样才能做到这一点?
我想限制对 aix 上某些文件夹的访问。
即使是 root 用户也应该被限制访问某些文件夹。对于 e..gi 在 aix 5.3 服务器上有用户 - aixuser 和 root 并且我有一个文件夹 - myfolder。
我只希望 aixuser 可以访问此文件夹而不是 root。
我怎样才能做到这一点?
不,这是做不到的。root 用户的整个概念依赖于不受限制的访问。您可以使用用户/组/其他范例或访问控制列表很容易地保护您的文件免受其他普通用户的侵害,但是,一旦有人拥有 root 权限,您就根本无法限制它们。
这有一个很好的理由 - 如果您以某种方式失去了对文件的访问权限,您希望管理员如何为您恢复它们?
处理您的问题的方法是限制具有 root 访问权限的人数或以某种方式加密您的文件。但即使是后一种建议也不会阻止确定的根用户,他们可以查看您的进程地址空间或拦截您的输入流以获取您的密码(如果需要)。
唯一可行的安全措施是拥有自己的盒子,只有你拥有根权限。然后,您可以将另一个盒子上的 root 用户视为您的普通用户。
您不能排除对任何本地文件系统上任何文件的 root 访问权限。
正如 paxdiablo 所说,root 用户特权是 AIX 中的终极目标(实际上是任何 UNIX/Linux 机器)。在 RBAC 中,将角色权限设置为 aix(在 mkrole 命令中)将授予您执行 root 用户可以执行的所有操作的权限,但只能执行 root 用户。
如果 UID=0,则 GID=0 为root提供了它在机器上所需的所有访问权限。
实际上,我相信您可以使用加密的文件系统来做到这一点。我还没有这样做。对不起,含糊的答复。但我相信 EFS 有两种模式。一种是信任root,另一种是不信任root。
来自https://www.ibm.com/developerworks/aix/library/au-efs/index.html
AIX® EFS encryption is at the file system level. Each file is protected with a unique file key, and protection is created against malicious root.
如果您真的考虑一下,加密是您唯一的选择。Root 可以打开硬盘并将其复制到另一个驱动器,然后对文件系统本身进行随心所欲的操作。防止root的唯一方法是通过加密。