如何限制对 aix 上文件夹的 root 访问？

Question

我想限制对 aix 上某些文件夹的访问。

即使是 root 用户也应该被限制访问某些文件夹。 例如，我在 aix 5.3 服务器上有用户 - aixuser 和 root 我有一个文件夹 - myfolder。

我只希望 aixuser 可以访问此文件夹，而不是 root。

我该怎么做？

Answer 1

其实我相信你可以用加密文件系统做到这一点。我还没有这样做。对不起，含糊的答复。但我相信 EFS 有两种模式。一种是信任root，一种是不信任root。

来自https://www.ibm.com/developerworks/aix/library/au-efs/index.html

AIX® EFS encryption is at the file system level. Each file is protected with a unique file key, and protection is created against malicious root.

如果您认真考虑，加密是您唯一的选择。 Root 可以打开硬盘并将其复制到另一个驱动器，然后对文件系统本身进行随心所欲的操作。防止root的唯一方法是通过加密。

Answer 2

正如 paxdiablo 所说，root 用户权限是 AIX（实际上是任何 UNIX/Linux 机器）中的终极目标。在 RBAC 中，将角色权限设置为 aix（在 mkrole 命令中）将授予您执行 root 用户可以执行的所有操作的权限，但只能执行 root 用户。

如果 UID=0，则 GID=0 为 root 提供了它在机器上所需的所有访问权限。

Answer 3

不，不能这样做。 root 用户的整个概念依赖于不受限制的访问。您可以使用用户/组/其他范例或访问控制列表很容易地保护您的文件免受其他普通用户的侵害，但是一旦有人拥有 root 权限，您就根本无法限制他们。

这是有充分理由的 - 如果您以某种方式失去了对文件的访问权限，您希望管理员如何为您恢复它们？

解决您的问题的方法是限制具有 root 访问权限的人数或以某种方式加密您的文件。但即使 后一个建议也不会阻止一个坚定的 root 用户，他们可以查看您的进程地址空间或拦截您的输入流以获取您的密码（如果需要）。

唯一可行的安全措施是拥有自己的盒子，只有你拥有根权限。然后，您可以将不同框上的 root 用户视为您的普通用户。

Answer 4

您不能排除对任何本地文件系统上任何文件的 root 访问权限。