La cartella Home dispone delle autorizzazioni di sola lettura per tutti

11

Mi sono appena reso conto che la mia cartella home ( / HD / Users / Bob ) ha le autorizzazioni "ReadOnly" per tutti impostate al livello principale.

Se sfoglio questa cartella da un altro account, posso visualizzare le cartelle, ma non posso aprire le cartelle OS X standard (Desktop, Documenti, Musica, Film, ecc ...). Tuttavia, ho creato alcune cartelle a livello di root della mia cartella home e quelle SONO accessibili a questo altro utente. Possono aprire cartelle e aprire alcuni dei documenti con accesso ReadOnly.

Qualcun altro sta vedendo questo? È una configurazione standard o il mio Mac è rovinato? Sembra un buco nella sicurezza per consentire agli utenti di accedere ai file di altri utenti sul sistema.

Sto eseguendo una build abbastanza pulita di Yosemite 10.10.1, installata circa un mese fa. Ho ripristinato i miei vecchi file da un disco rigido. Non sono stati ripristinati tramite Time Machine

macos  finder  yosemite  security  permission 
slidmac07
fonte

Risposte:

2

Questa è la configurazione delle autorizzazioni standard. La radice della cartella principale è la lettura globale, ma le cartelle standard di OS X come Desktop e Documenti non dovrebbero avere accesso globale. Sentiti libero di impostare le autorizzazioni di altre cartelle che crei nella cartella principale della tua cartella home in modo che corrispondano alle autorizzazioni sulle cartelle standard.

Se si desidera che le nuove cartelle siano, per impostazione predefinita, non abbiano accesso globale, modificare le autorizzazioni sulla radice della cartella principale, propagare le autorizzazioni in modo ricorsivo e impostare ACL per ereditare le autorizzazioni per le nuove cartelle, tuttavia non sono sicuro di alcun effetto questo potrebbe avere.

grg
fonte
1
È così interessante ... hai idea del perché sia ​​così? sembra una strana configurazione.
slidmac07,
Quindi, prima di pubblicare qui, ho modificato l'accesso a livello di root e l'ho propagato verso il basso. Ha sicuramente rovinato il mio computer e consiglierei alle persone di NON modificare gli ACL qui. Dopo il ripristino da un backup, ho deciso di spostare tutte le directory non Apple in cartelle specifiche di Apple
slidmac07
@ slidmac07 A meno che tu non sia assolutamente sicuro di sapere cosa stai facendo, modificare / propagare le autorizzazioni in modo ricorsivo può essere pericoloso, come hai scoperto.
Douggro,
1
@ganbustein: sul normale pre-ACL UNIX, una directory di sola esecuzione è "attraversabile", ma non leggibile; il bit di lettura è necessario per elencare effettivamente i file in una directory. // Sì, un cattivo potrebbe sondare tutti i possibili nomi, ma qualsiasi sistema di rilevamento delle intrusioni decente rileverà un tale schema di accesso e pianterà fallo prima di troppo tempo. // Le buone pratiche di sicurezza potrebbero rendere la tua home directory ~ attraversabile (solo esecuzione) (idealmente solo per ~ / Public, ecc.), ~ / Public leggibile da tutti e tutti gli altri file in ~ non leggibili o percorribili da tutti per impostazione predefinita , inclusi nuovi file.
Krazy Glew,
1
Se l'intero punto sta rendendo ~ / Pubblico accessibile, preferirei avere la Dir pubblica al di fuori della mia directory utente, ad esempio mkdir / Users / Shared / <nomeutente> per ciascun utente.
Amdyes,
5

Se si desidera che le nuove cartelle al livello superiore della cartella principale non siano leggibili per impostazione predefinita da chiunque tranne te, aggiungere i seguenti due ACL alla cartella principale. NON PROPAGARE LE AUTORIZZAZIONI. Il primo ACL rende tutte le nuove cartelle illeggibili, non scrivibili e non ricercabili da tutti. Il secondo ACL fa un'eccezione per te. Assicurati di inserirli in questo ordine, quindi la seconda voce può spingersi in avanti.

chown +a "group:everyone deny list,add_file,search,add_subdirectory,delete_child,directory_inherit,limit_inherit,only_inherit" ~
chown +a# 0 "user:$USER allow list,add_file,search,add_subdirectory,delete_child,directory_inherit,limit_inherit,only_inherit" ~

A dire il vero, è più semplice correggere le autorizzazioni su tutte le sottocartelle create direttamente nella cartella principale. Voglio dire, non è che lo farai spesso, giusto?

E inoltre, chi può dire che vuoi che queste nuove cartelle siano leggibili solo da te? Cosa succede se si desidera una cartella leggibile in gruppo per alcuni gruppi ma non leggibile in tutto il mondo? Questi ACL ereditati ti ostacoleranno.

La creazione di una cartella per la cartella home dovrebbe essere un evento raro. Le soluzioni ad hoc sono le migliori per eventi rari.

ganbustein
fonte
2
Tuttavia, alcuni di essi sono arrivati ​​a MacOS da UNIX e / o Linux, dove la creazione di una cartella principale o di un file, è un evento comune. Queste autorizzazioni Mac predefinite ci rovinano, se continuiamo a lavorare come se fossimo su un normale sistema UNIX.
Krazy Glew,
1

Wow, sono stato piuttosto scioccato quando me ne sono reso conto.

Un'altra soluzione è bloccare la home directory per tutti gli altri:

chmod 700 ~

ManuelSchneid3r
fonte
Che, come già affermato un anno prima, rende bugiarda il nome ~ / Public
WGroleau,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.