Я хотел бы знать, могу ли я запретить пользователю root удалять файл. Является ли это возможным?
Я хотел бы знать, могу ли я запретить пользователю root удалять файл. Является ли это возможным?
Ответы:
Нет, это невозможно Вы можете установить атрибут immutable с помощью chattr +i
, который по крайней мере сделает это раздражающим и неочевидным, что нужно сделать, чтобы разрешить запись в файл, но они могут просто сбросить его снова. Кроме того, ваша файловая система должна поддерживать это и иметь включенную функциональность.
SELinux также может делать некоторые ограничения, но, опять же, его можно отключить.
Лучшее решение состоит в том, чтобы должным образом контролировать пользователей и программы, ограничивая их доступ и не позволяя им запускаться от имени root, если в этом нет крайней необходимости.
Как уже говорили другие, идея root заключается в том, что пользователю разрешено заставлять машину делать все, что может сделать машина. Таким образом, нет простого флага, который может предотвратить намеренное удаление пользователем root ( chattr +i
может предотвратить случайное удаление).
Но, несмотря на это, есть несколько решений:
Нет.
Любой пользователь с привилегиями "sudo" или пользователь root может видеть и удалять все.
Однако в идеальной системе вам не придется беспокоиться об этом, потому что только один пользователь имеет супер-привилегии, и он будет использовать только тогда, когда это необходимо и всегда быстро.
Это возможно при очень определенных обстоятельствах:
Вы можете отключить USB-накопитель, на котором произошли изменения, или отсоединить кабель Ethernet между компьютером и NAS. Но есть вероятность, что файл будет поврежден или останется недоступным, или и то, и другое.
Помимо аппаратных действий, вы можете восстановить файл из предыдущей резервной копии.