我想限制对aix上某些文件夹的访问。
甚至root用户也应该被限制访问某些文件夹。 对于e..g我有用户 - aixuser和root在aix 5.3服务器上 我有一个文件夹 - myfolder。
我只希望aixuser可以访问此文件夹而不是root。
我该怎么做?
答案 0 :(得分:2)
不,这不可能。 root用户的整个概念依赖于不受限制的访问。您可以使用用户/组/其他范例或访问控制列表轻松保护您的文件免受其他常规用户的侵害,但是,一旦有人拥有root权限,您就无法限制它们。
这是有充分理由的 - 如果您以某种方式失去对文件的访问权限,您希望管理员为您恢复这些文件?
处理您的问题的方法是限制具有root访问权限的人数或以某种方式加密您的文件。但即使 后一个建议也不会阻止确定的root用户,他们可以查看您的进程地址空间或拦截您的输入流以获取密码(如果需要)。
唯一可行的安全措施是拥有自己的盒子,只有你拥有根权力。然后,您可以将其他框上的root用户视为您的常规用户。
答案 1 :(得分:0)
您无法排除对任何本地文件系统上任何文件的root访问权限。
答案 2 :(得分:0)
正如paxdiablo所说,root用户权限是AIX中的终极事物(事实上任何UNIX / Linux机器)。在RBAC中,将角色权限设置为aix(在mkrole命令中)将赋予您执行root用户可以执行的所有操作的权限,但仅限于root用户。
当UID = 0时,GID = 0会为 root 提供计算机上所需的所有访问权限。
答案 3 :(得分:0)
实际上我相信你可以用加密文件系统来做。我还没有这样做。对不起,回复含糊。但我相信EFS有两种模式。一个是信任root,另一个是不信任root。
来自https://www.ibm.com/developerworks/aix/library/au-efs/index.html
AIX® EFS encryption is at the file system level. Each file is protected with a unique file key, and protection is created against malicious root.
如果你真的想到它,加密是你唯一的选择。 Root可以打开硬盘并将其复制到另一个驱动器,然后使用文件系统自己做猴子做它喜欢的事情。防止root的唯一方法是通过加密。