Як налаштувати Debian так, щоб кілька користувачів могли здійснювати адміністрування, але не бачити особисті файли один одного?


1

Я хочу налаштувати сервер для обміну з групою людей. Машина запустить Debian GNU / Linux, і ми хотіли б дозволити багатьом людям виконувати завдання адміністрації (зокрема, встановлювати, оновлювати та налаштовувати програмне забезпечення), але ми не хотіли б давати всім з цих адміністраторів доступ до домашніх каталогів усіх, тому надання їм певного прямого способу становлення rootне є оптимальним рішенням.

Я припускаю, що для цього може бути добре перевірений спосіб, який, на мою думку, міг би включати правильне використання sudoта налаштування sudoers. Як це зробити?

Відповіді:


2

Одне рішення, яке найкраще забезпечить приватні домашні каталоги - це шифрування домашніх каталогів. Я можу помилитися, але, думаю, було б досить важко отримати потрібну конфігурацію без шифрування. Якщо інші мають фізичний доступ до вашої машини, вони завжди можуть читати ваші файли, якщо вони дійсно хочуть (завантажуйте живу ОС, встановіть накопичувач і прочитайте). Тому я думаю, що шифрування було б найкращим варіантом.

Я не знайомий із кожним методом шифрування жорсткого диска, але, наприклад, Ubuntu дає можливість шифрувати домашній диск під час встановлення за допомогою eCryptfs. Це працює над файловою системою, тому вам не потрібно мати окремих розділів тощо. При вході в систему файлова система розблокована. Тому користувач не може сказати, що його домашній каталог зашифрований, користувач використовує систему так само, як завжди. Шифрування не повинно вам заважати. Я не знайомий з тим, як важко це налаштувати.


Я оновив свою відповідь, щоб адресувати ваш коментар.
kfrance

1

Так, дозвольте цим людям працювати apt-getта dpkgвикористовувати root /etc/sudoers.

Я не впевнений, чи це відкриває можливість поплутатися з каталогами інших користувачів, хоча (скажімо, шляхом створення середовища особливим чином перед запуском цих програм). sudoВи повинні подбати про це, але я б запитав у debian-securityсписку, якщо ви не дуже впевнені.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.