Я намагаюся обмежити доступ до свого домашнього каталогу, щоб не допустити до нього іншого користувача, навіть іншого, для якого користувач також має sudoдозволи.
Я намагався виконати наступні команди, щоб досягти цього
sudo chmod 0750 /home/user
sudo chmod 0755 /home/user
але якщо інші користувачі мають sudoдозволи, вони можуть легко змінювати дозволи
sudo chmod 0755 /home/user
Чи є інший спосіб цього?
Відповіді:
Ви не можете цього зробити. Якщо ви даєте дозвіл sudo для користувача, він може виконати будь-яку команду або отримати доступ до будь-яких файлів у цій системі. Якщо ви не довіряєте своєму користувачеві, надайте йому обмежувальний доступ до sudo для виконання лише декількох команд, редагуючи файл / etc / sudoers. Створіть нову групуadmins
Додайте лінії до / etc / sudoers
%admins ALL = <Full path to command 1>, <Full path to command 2>
Перш ніж робити щось із цього, слід переконатися, що у вас є резервна копія домашнього каталогу та важливих файлів.
встановіть утиліти шифрування:
Відкрити термінал,
Натисніть Ctrl+ Alt+T
Виконати:
sudo apt-get update
sudo apt-get install ecryptfs-utils cryptsetup
Вам доведеться зашифрувати домашній каталог, поки ви не ввійшли в систему. Вам знадобиться інший обліковий запис користувача з правами адміністратора
Ви створюєте його у User Accountsвікні Ubuntu :
Натисніть your nameна панелі та виберіть User Accounts.
Створіть нове user accountі зробіть його administrator.
Встановіть a password, натиснувши на password box.
Після створення облікового запису користувача log outвашого робочого столу.
Виберіть свій new user accountна екрані входу та log inразом із ним.
Відкрити термінал,
Натисніть Ctrl+ Alt+T
Запустіть його, замінивши userім'я вашого user account:
sudo ecryptfs-migrate-home -u user
Вам потрібно буде вказати пароль свого облікового запису користувача. Після цього ваш домашній каталог буде зашифрований.
Вийдіть із системи та увійдіть знову як свій original user account.
Не перезавантажуйте систему перед входом у систему!
Після входу в систему натисніть Run this action nowкнопку, щоб створити пароль для відновлення.
Зберігайте цю парольну фразу десь у безпеці - вона вам знадобиться, якщо вам доведеться в майбутньому відновити файли вручну.
Ви можете виконати ecryptfs-unwrap-passphraseкоманду для перегляду цієї парольної фрази в будь-який час.
Після перезавантаження системи один раз або два рази і перевірки, що все працює належним чином, ви можете видалити обліковий запис користувача та видалити домашню папку резервного копіювання.
Ви можете легко змінити дозволи для домашнього каталогу, щоб захистити ваші приватні файли. Щоб перевірити дозволи в домашньому каталозі, натисніть Ctrl+ Alt+, Tщоб відкрити вікно терміналу. Введіть наступний рядок у запиті та натисніть Enter. Замініть <username> (aka lori)власним іменем користувача.
ls –ld /home/lori
На початку рядка перераховані дозволи для файлу.
“The r stands for “read,” the w stands for “write,” and the x stands for “execute.” Directories will start with a “d” instead of a “-“. You’ll also notice that there are 10 spaces which hold value. You can ignore the first, and then there are 3 sets of 3. The first set is for the owner, the second set is for the group, and the last set is for the world.”
Отже, домашній каталог, перелічений нижче, читає, записує та виконує дозволи власника, а також читає та виконує дозвіл для групи та світу.
Щоб змінити ці дозволи, введіть наступний рядок у запиті та натисніть Enter.
sudo chmod 0750 /home/lori
Коли з'явиться запит, введіть свій пароль та натисніть Enter.
Двічі натисніть стрілку вгору, щоб ls –ld /home/<username>знову використовувати команду для перевірки дозволів. Зауважте, що в дозволах для світу є всі тире (-). Це означає, що світ не може нічого читати, писати чи виконувати у вашому домашньому каталозі.
Однак користувачі тієї ж групи, що і ви можете читати та виконувати файли та папки у своєму домашньому каталозі. Якщо ви не хочете, щоб хтось, крім вас, мав доступ до домашнього каталогу, введіть 0700як цифри в команді chmod.
Щоб закрити вікно терміналу, введіть exitпідказку та натисніть Enter.
Тепер, коли інші користувачі системи намагаються отримати доступ до вашої домашньої директорії, з'явиться наступне діалогове вікно.
Ви також можете налаштувати Ubuntu для використання конкретних дозволів під час налаштування домашнього каталогу для нового користувача, якого ви створюєте. Для цього вам потрібно відредагувати файл конфігурації adduser. Для цього введіть таку команду в запиті та натисніть Enter.
gksudo gedit /etc/adduser.conf
Введіть свій пароль у вікні редагування пароля у діалоговому вікні, яке відобразиться, і натисніть Enter або натисніть кнопку ОК.
Прокрутіть вниз до DIR_MODEкоманди у adduser.confфайлі. Набір номерів 0755за замовчуванням. Змініть його, щоб відобразити різні типи дозволів (r, w, x), які ви хочете надати різним типам користувачів (власник, група, світ), наприклад, 0750або 0700як було обговорено раніше. Клацніть Зберегти.
Закрийте gedit, вибравши Вийти з меню Файл. Ви також можете натиснути кнопку X у лівому верхньому куті вікна, щоб закрити gedit.
Закрийте вікно терміналу, натиснувши на X у верхньому лівому куті вікна.
Тепер файли у вашому домашньому каталозі залишаться приватними. Просто пам’ятайте, що якщо в тій же групі, як і ви, є інші користувачі, можливо, ви захочете позбавити дозволів як для групи, так і для світу для вашого домашнього каталогу.
Взяті з (де також згадуються інші статті): http://www.howtogeek.com/190084/how-to-prevent-other-users-from-accessing-your-home-directory-in-ubuntu-14.04/
sudo.