我可以創建一個 super 超級使用者,以便我實際上可以擁有一個可以拒絕 root 權限的使用者嗎?
我在想擁有一個權限高於 root 使用者的使用者可能是有利的。
你看,我想保留所有的活動和幾乎所有現有的 root 使用者權限,就像現在一樣。
但是,我希望能夠在非常孤立的情況下拒絕root權限。
這樣做的好處之一是我可以防止在更新期間安裝某些不需要的文件。這只是一個可能的優勢的範例。
因為 apt-get 更新由 root 或使用 sudo 權限執行,所以 apt-get 能夠在更新期間替換某些不需要的文件。
如果我可以拒絕這些單獨的特定文件的這些權限,我可以將它們設置為 simlink
/dev/null或可能有一個空白佔位符文件,該文件可能具有拒絕在更新期間替換文件的權限。此外,我不禁想起在接受一位 Ubuntu 創作者的採訪時所說的一句話,當時他說使用者如何更好地信任“我們”(指 Ubuntu 開發人員)“因為我們有 root " 這是對如何使用 root 權限執行系統更新的參考。
簡單地改變安裝過程來解決這個問題絕對不是我感興趣的。既然我的腦海中對有權拒絕 root 訪問的想法有所了解,我想找出一種方法來實現這一點,只是為了做到這一點。
我只是想到了這一點,到目前為止還沒有花任何時間在這個想法上,我相當有信心可以解決這個問題。但是,我很想知道這是否已經完成,或者這可能不是一個新的想法或概念。
基本上,似乎應該有某種方法來擁有一個超級超級使用者,該超級使用者的權限僅比系統權限高一級。
注意:雖然我覺得接受的答案最符合標準,但我真的很喜歡@CR 的答案。還。
我想在樹上創建一個更高的實際使用者(我),但我想我只需要坐下來有一天我有時間弄清楚。
此外,我不想在這裡選擇 Ubuntu。如果我對此感到消極,我不會將它用作我的主要發行版。
您想要的“使用者”稱為 LSM:Linux 安全模組。最著名的是 SELinux 和 AppArmor。
通過這種方式,您可以防止某些二進製文件(及其子程序)執行某些操作(即使它們的 UID 是
root)。但是您可以允許這些操作getty及其子程序,以便您可以手動執行。
你誤解了
root使用者的概念。用簡單的英語來說,
root是在“樹的頂端”。如果你決定有一天擁有一個“超級超級使用者”,然後下個月,一個“超級超級超級使用者”(!)。你想把樹“向上”多遠?您將如何調整所有權限和層次結構以使其發揮作用?誰永遠處於領先地位?必須有人在頂部,而且是
root。故事結局。這裡給出的解決方案——包括 AppArmor 和 SELinux——並沒有真正改變這一點。
root它們只是允許對權限和流程進行更精細的控制。在我看來,您的更新過程不適合預期的結果。但這根本不是
root使用者的錯。與其把事情複雜化,root不如把它想像成最高級別的權限使用者,然後是其他一切,你必須向下工作。我知道有些人會對此進行標記,但使用者層次結構中沒有更高的級別,所有其他解決方案只是對
root權限的工作方式進行了稍微不同的控制。但他們不會創建具有更高權限的新使用者。您不能讓使用者擁有“更多權限”,
root因為root它代表了可能的最高權限級別。使用“比 root 擁有更多控制權”這樣的片語是矛盾的——root擁有完全控制權和所有可能的權限,因此在它之上沒有什麼可以做的。