Что происходит, когда файл имеет ограниченные разрешения, а владелец недоступен?

430
Gary

Мне любопытно, что случится с файлом, если, скажем, его разрешения позволяют владельцу только читать и писать, а у группы и у всех нет доступа вообще. (700 или RWX ------).

Допустим, файл находится на внешнем диске, поэтому возможно, что владелец больше не доступен, потому что мы отключили диск и подключили его к другому компьютеру. Как я могу получить доступ к файлам в этом случае? Могу ли я получить к ним доступ, войдя в систему как суперпользователь?

С одной стороны, было бы неплохо иметь возможность войти в систему с правами суперпользователя на любом компьютере для доступа к файлу, потому что, по крайней мере, существует план резервного копирования на случай смерти оригинального компьютера и т. Д. С другой стороны, это выглядит как из соображений безопасности любой может технически получить доступ к данным на внешнем или даже внутреннем диске, объявив себя суперпользователем.

2
В системах с более продвинутым управлением правами (например, в большинстве версий Unix и Windows NT) администратор не может получить прямой доступ к файлу, но сначала должен получить право собственности и не может вернуть его обратно. Этот шаг может быть помещен в журналы аудита, которые администратор также не может изменить. Таким образом, безопасность может быть нарушена, но она оставляет постоянные следы. MSalters 11 лет назад 0

1 ответ на вопрос

5
Chikitulfo

The superuser will always be able to read any file. And will be able to change owner or permissions of any file, regardless of the original owner.

So yes, you could access those files using the superuser, and you could change permissions or owner to be able to acces them with your own regular user.

This is indeed very useful, for example, to make backups, root can make a backup of the whole drive regardless of any permission, and you will be thankful for that later if you happen to lose anything.

Regarding your security concern, anyone who has physical access to any drive, will be able one way or the other to access the data in it. If you really are worried about this, you coul encrypt the data, so even if the superuser can access it, there won't be anything useful if he doesn't know the key.

Отличное спасибо, это все имеет смысл. Итак, я полагаю, что права доступа к файлам больше предназначены для «прямого трафика» на компьютере, чем для защиты каких-либо данных? Gary 11 лет назад 0
@Gary Он защищает данные, но не может защитить данные от суперпользователей. Если у вас многопользовательская система и эти пользователи не являются суперпользователями, данные в безопасности. (Я, в том числе, не могу загрузиться с компакт-диска knoppix и войти в систему как пользователь root с правами «не суперпользователь», в основном ситуации, когда права доступа к файлам могут быть «доверенными», - это сценарии, когда у пользователя нет физического доступа к компьютеру ( веб / файловые / терминальные серверы например)) Scott Chamberlain 11 лет назад 0
Да, удаленные серверы - это очень хороший момент, и, конечно, это один из лучших примеров того, где права доступа к файлам работают хорошо (например, когда я подключаюсь к FTP-серверу моего сайта). Я чувствую, как на персональном компьютере, тогда преимущество в безопасности не так сильно. На самом деле, причина, по которой меня это интересует, заключается в том, что в последнее время я заметил, что некоторые файлы на моем Mac имеют разрешение 700, и я подумал, что это проблема, но этого не должно быть, если я могу просто действовать как суперпользователь при необходимости доступа к ним (с других компьютеров). Gary 11 лет назад 0
@ В случае персонального компьютера у меня часто бывает один пользователь, так что на самом деле меньше проблем с безопасностью. Однако многие службы работают как специальные учетные записи и имеют право доступа только к своим файлам. Это хороший способ предотвратить дыры в безопасности и вирусы и т.д ... Levans 11 лет назад 0
Да, так что в этом смысле я и назвал это «направлением трафика». Это больше для защиты файлов от сервисов, потому что на моем Mac я замечаю множество специальных имен пользователей и групп (персонал, колесо и т. Д.) Gary 11 лет назад 0

Похожие вопросы