aix上の特定のフォルダへのアクセスを制限したい。aix上のフォルダへのルートアクセスを制限する方法は?
rootユーザーでも特定のフォルダにアクセスするように制限する必要があります。 for e..g私はuser-aixuserとrootをaix 5.3サーバ に持っていて、私にはフォルダ - myfolderがあります。
私はaixuserだけがrootではなくこのフォルダにアクセスしたいと思っています。
どうすればいいですか?
ローカルファイルシステム上の任意のファイルへのルートアクセスを除外することはできません。
いいえ、これはできません。ルートユーザーの全体の概念は自由にアクセスできないことに依存しています。ユーザー/グループ/その他のパラダイムまたはアクセス制御リストを使用して、他の通常のユーザーからファイルを簡単に保護することはできますが、root権限を持つユーザーは一度も制限できません。
これには正当な理由があります。何らかの理由でファイルにアクセスできない場合は、管理者がどのように回復すると思いますか?
あなたの懸念に対処する方法は、ルートアクセス権を持つ人の数を制限するか、何らかの形でファイルを暗号化することです。しかしでも、後者の提案では、プロセスアドレス空間を調べたり、入力ストリームをインターセプトして必要に応じてパスワードを取得したりすることができる決定されたルートユーザーを停止させることはありません。
唯一の実行可能なセキュリティは、ルート権限を持つあなた自身の箱を持つことになります。次に、別のボックスのrootユーザーをあなたの普通のユーザーとして扱うことができます。
paxdiabloが言っているように、rootユーザー特権は、AIX(実際にはUNIX/Linuxマシン)の究極のものです。 RBACでは、役割のアクセス許可をaix(mkroleコマンドで)に設定すると、rootユーザーが行うことができるすべての操作を実行できますが、rootユーザー以外は実行できません。
UID = 0、GID = 0の場合、ルートはマシン上で必要なすべてのアクセス権を与えます。
実際、私はあなたが暗号化されたファイルシステムでそれを行うことができると信じています。私はそれをしていない。あいまいな返事をおかけして申し訳ありません。しかし、私はEFSには2つのモードがあると思います。 1つはルートを信頼し、もう1つはルートを信頼しないことです。
https://www.ibm.com/developerworks/aix/library/au-efs/index.html
AIX® EFS encryption is at the file system level. Each file is protected with a unique file key, and protection is created against malicious root.
から、あなたは本当にそれについて考える場合は、暗号化はあなたが持っている唯一の選択肢です。ルートはハードディスクを開き、別のドライブにコピーしてから、ファイルシステム自体で猿を使って喜んで行けます。ルートから保護する唯一の方法は、暗号化による方法です。
RBAC on aix 6.1これを行うには? IBM docによれば、 と思っているだけです。 –
RBACでは、root以外のユーザーが通常rootユーザーのみが許可するタスクを実行できますが、rootユーザーを制限することはできません。 – paxdiablo