Viktor Vislobokov пишет:
нужно защищать информацию, а не средства ее обработки. Ценность
представляют
файлы данных, а не программы для работы с ними.
Я согласен с этим, если цель - именно защита данных, а не запуск
программ. Тогда chroot - это наилучшее решение проблем.
1. Запрет запуска cp ничего не ограничит; копировать файл можно и
текстовым редактором (open/save as).
Сумеете блокировать все нетрадиционные способы копирования?
Есть возможность копировать файлы - есть возможность устанавливать
программы.
2. IMHO программы полезны только для тем, что их могут запускать
пользователи (можно еще продавать,
но это не по теме). Почему вообще нужно ограничивать пользователя в
возможности запускать программы?
Если боитесь "format C:", то защищать нужно не "format", а "C:".
3. chroot - не лучшее, а последнее решение, которое может сработать,
если все другие ограничения
уже проломлены. Абсолютно верить в непробиваемость chroot тоже не стоит.
Да, делали его
непробиваемым, но получилось ли? Наличие брешей доказать можно,
отсутствие - нет.
Дмитрий Федосеев.
