ルートに加えて、誰が私のディレクトリの内容を見ることができますか? CAP_DAC_OVERRIDEとは何ですか?システム管理者は特定のユーザーに自分のコンテンツに対するこの権限を付与できますか?
私が理解したところによれば、CAP_DAC_OVERRIDE権限を持つ人は、権限がに設定されていても、すべてのディレクトリに入って内容を見ることができますchmod 600。もしそうなら、誰かが私のディレクトリに対する適切な権限を持っているかどうかを知る方法はありますか?
私の上司は私を誓うために本当に一生懸命働いており、最近はシステム管理者が自分に好意を与えるように説得したようです。今、彼は私がやっていることと私のディレクトリにあるいくつかのファイルについて非常によく知っているようです。隠すことが一つもなく、監視されるのが怖かっただけです。
CAP_DAC_OVERRIDEを介していない場合、ルート以外に誰かが私のディレクトリの内容を見ることができますか?
ベストアンサー1
CAP_DAC_OVERRIDEはプロセス能力、特定のファイルに添付されません。読み取り/書き込み/実行(DAC)権限チェックは、有効な機能セットにこの権限があるプロセスに対して完全にバイパスされます。これは、ルートがDAC権限検証をバイパスする方法と似ています。
この機能を使用してファイルへの共有アクセスを許可するのはスキップするため、非常に困難です(オン/オフ)。みんなDACアクセス制御すべて。この能力を持つことは本質的にルートになるのと同じです。[1]。責任を持って有能なシステム管理者は、不要な人に自分が管理しているコンピュータへのルートアクセスを許可しません。
次のように細かい構成を可能にする他のアクセス制御メカニズムがあります。POSIXアクセス制御リスト(ACL)。一般的なDACアクセスによってブロックされるユーザー/グループアクセスを許可するようにファイル/ディレクトリごとに設定できます。
自分が管理していないシステムを使用している場合、システム管理者が設定したポリシーをバイパスするためにできることはほとんどありません。クライアントで追加のファイル暗号化を使用すると、データを非公開にすることができます。
職場であなたの上司があなたを覗くことは、実際には技術的な問題ではなく、社会的な問題です。技術的な解決策は問題を解決しません。