Co się stanie, gdy plik ma restrykcyjne uprawnienia i właściciel jest niedostępny?

2

Ciekawi mnie, co stanie się z plikiem, jeśli powiedzmy, że jego uprawnienia pozwalają tylko właścicielowi na odczyt i zapis, a grupa i wszyscy nie mają w ogóle dostępu. (700 lub rwx ------).

Załóżmy, że plik znajduje się na dysku zewnętrznym, więc możliwe jest, że właściciel nie jest już dostępny, ponieważ odłączyliśmy dysk i podłączyliśmy go do innego komputera. Jak mogę uzyskać dostęp do plików w tym przypadku? Czy nadal mogę uzyskać do nich dostęp, logując się jako administrator?

Z jednej strony byłoby miło móc zalogować się do superużytkownika na dowolnym komputerze, aby uzyskać dostęp do pliku, ponieważ przynajmniej istnieje plan tworzenia kopii zapasowych, jeśli oryginalny komputer kiedykolwiek umrze itp. Z drugiej strony wygląda to jak obawy związane z bezpieczeństwem, że każdy może technicznie uzyskać dostęp do danych na dysku zewnętrznym, a może nawet na dysku wewnętrznym, deklarując się jako administrator.

linux permissions external-hard-drive file-permissions read-write Gary
źródło
W systemach z bardziej zaawansowanym zarządzaniem prawami (np. Większość wersji Unix i Windows NT) administrator nie może uzyskać dostępu do pliku bezpośrednio, ale najpierw musi przejąć własność i nie może jej przywrócić. Ten krok można umieścić w dziennikach kontroli, których administrator nie może zmienić. W ten sposób bezpieczeństwo może zostać naruszone, ale pozostawia trwałe ślady.
MSalters

Odpowiedzi:

5

Administrator zawsze będzie mógł odczytać dowolny plik. I będzie mógł zmienić właściciela lub uprawnienia dowolnego pliku, niezależnie od pierwotnego właściciela.

Tak, więc możesz uzyskać dostęp do tych plików za pomocą administratora i możesz zmienić uprawnienia lub właściciela, aby móc uzyskać do nich dostęp ze swoim zwykłym użytkownikiem.

Jest to rzeczywiście bardzo przydatne, na przykład do tworzenia kopii zapasowych, root może wykonać kopię zapasową całego dysku bez względu na jakiekolwiek pozwolenie, i będziesz wdzięczny za to później, jeśli cokolwiek stracisz.

Jeśli chodzi o obawy związane z bezpieczeństwem, każdy, kto ma fizyczny dostęp do dowolnego dysku, będzie mógł w ten czy inny sposób uzyskać dostęp do danych w nim zawartych. Jeśli naprawdę się o to martwisz, możesz zaszyfrować dane, więc nawet jeśli superużytkownik może uzyskać do nich dostęp, nic nie będzie przydatne, jeśli nie zna klucza.

Chikitulfo
źródło
Doskonałe dzięki, że wszystko ma sens. Sądzę więc, że uprawnienia do plików mają raczej na celu „bezpośredni ruch” na komputerze, a nie ochronę danych?
Gary,
@Gary Chroni dane, ale nie może chronić danych przed superużytkownikami. Jeśli masz system dla wielu użytkowników, a ci użytkownicy nie są superużytkownikami, dane są bezpieczne. (Mam również na myśli to, że nie mogę uruchomić dysku CD Knoppix i zalogować się jako root jako „nie superużytkownik”, głównie sytuacje, w których uprawnienia do plików można „zaufać” to scenariusze, w których użytkownik nie ma fizycznego dostępu do komputera ( na przykład serwery WWW / plików / terminali))
Scott Chamberlain,
Racja, zdalne serwery to bardzo dobry punkt i oczywiście jest to jeden z najlepszych przykładów, gdzie uprawnienia do plików działają dobrze (tak jak podczas łączenia się z serwerem FTP mojej witryny). Czuję się jak na komputerze osobistym, przewaga bezpieczeństwa nie jest wtedy tak silna. Właściwie to mnie ciekawi, ponieważ ostatnio zauważyłem, że niektóre pliki na moim Macu mają pozwolenie 700, i pomyślałem, że to problem, ale nie powinno tak być, jeśli mogę działać jako superużytkownik, gdy jest to konieczne, aby uzyskać do nich dostęp (z innych komputerów).
Gary,
@Gary I w przypadku komputera osobistego, często jest jeden użytkownik, więc w rzeczywistości istnieje mniej obaw dotyczących bezpieczeństwa. Jednak wiele usług działa jako konta specjalne i mają prawo dostępu tylko do swoich plików. To dobry sposób na zapobieganie lukom w zabezpieczeniach i wirusom itp.
Levans,
Tak, w tym sensie dlatego nazwałem to „kierowaniem ruchem”. Chodzi bardziej o ochronę plików przed usługami, ponieważ na moim komputerze Mac zauważam wiele specjalnych nazw użytkowników i grup (personel, koło itp.)
Gary