ich benutze Linux auf dem ‚Familien-PC‘. Die saubere Trennung der Benutzerrechte finde ich eine feine Sache. Aber wie schützt sich ein einfacher User vor Dateneinsicht durch den Systemverwalter (root)?
Ich kann meinen Familienmitgliedern zwar versprechen, ihre Privatshäre zu wahren, besser wäre es aber doch allemal, wenn es eine vom System garantierte Sicherheit gäbe, dass root gar nicht an fremde Daten rankommt, oder dass zumindest später erkennbar wäre, dass er sich in einem privaten Verzeichnis aufgehalten hat und welche Files er ‚angefasst‘ hat.
Ich kann meinen Familienmitgliedern zwar versprechen, ihre
Privatshäre zu wahren, besser wäre es aber doch allemal, wenn
es eine vom System garantierte Sicherheit gäbe, dass root gar
nicht an fremde Daten rankommt, oder dass zumindest später
erkennbar wäre, dass er sich in einem privaten Verzeichnis
aufgehalten hat und welche Files er ‚angefasst‘ hat.
Gibt es eine solche Möglichkeit unter Linux?
Verschlüsselung. Ich nutze BestCrypt, ein "virtuelles Laufwerk, was man un sein Homeverzeichnis mounten kann. Wenn Root imn dem Moment auch arbeitet, kann er aber auch hineinschauen. ein „böser“ roor könnte das hereinschauen nach dem Mounten automatisiern…
Aber generell ist dieses Verfahren sehr gut. Gegen einen „bösen“ root hast Du ohnehin nie eine Chance!
„Oberhalb“ von „Root“ gibt es noch den Kernel-Modus (vor dem gibt es keinen Schutz) Dies nutzt z.B. das Modul lids (?), mit dem man
Root (besser gesagt Root sich selbst) systematisch Rechte wegnehmen kann. Um die Rechte umzustellen, muss man einen Neustart von der Console durchfuehren (dient dazu um hackern die
Lust am Root-werden zu nehmen.)
Also: LIDS installieren, den Rechner in einen gesonderten Raum stellen und die Tuer mit einem Siegel versehen, das alle unterschreiben .
Jetzt muessen natuerlich noch alle Familienmitglieder die LIDS-Konfiguration ueberpruefen, gucken, dass Du keine Hintertuer in den Kernel compiliert hast, etc.
Verschluesseln ist natuerich auch schoen, hindert Root aber nicht daran, sich alle 2 sek einen Screenshot zu ziehen .
.