Proteggi i file da altri account amministratore

2

Al lavoro, quindi, esiste un server "condiviso" su cui le persone possono eseguire operazioni che richiedono molto tempo. Uso abbastanza questa macchina fino al punto in cui ho effettuato il mio login per separare i miei file utente.

  1. L'account che sto usando è un amministratore.
  2. L'altro account utilizzato da tutti gli altri è anche un amministratore.

Nei miei file utente sono presenti alcune chiavi SSH private per cose come Github e Amazon Web Services con cui gli altri utenti potrebbero fare cose significative se fossero così propensi. Non penso che lo farebbero, ma sarebbe bello non pensarci.

  1. È possibile aggiungere una protezione a questi file senza modificare il livello di autorizzazione dell'altro accesso?

  2. È possibile per altri amministratori accedere alle credenziali del portachiavi salvate di un altro amministratore?

  3. Se dovessi "farlo nel modo giusto", come consiglieresti di configurare questa macchina in modo tale che possa essere ragionevolmente condivisa da persone che devono svolgere compiti amministrativi, ma non essere un incubo per la sicurezza.

macos  security  encryption 
Eric
fonte
Benvenuti a chiedere diverso. in generale è meglio porre una domanda per domanda. Se ottieni una buona risposta singola a ciascuno di essi, non c'è nulla che ti impedisca di porre una domanda su come combinare le risposte contrastanti se ciò si verifica.
bmike

Risposte:

3

Risposta semplice - no. L'accesso amministrativo è troppo potente per più utenti su un singolo computer. Anche se ti fidi di tutti questi utenti implicitamente, ci sarà sempre la possibilità di un uso improprio accidentale e di una potenziale perdita di dati.

  • Se sei un amministratore, puoi leggere qualsiasi file sul Mac
  • Se sei un amministratore, puoi eliminare e modificare qualsiasi file sul Mac

L'unica eccezione è SIP - dove anche root non può modificare alcuni file che Apple ha contrassegnato come limitati.

La procedura operativa standard determina gli account utente standard per tutti gli utenti su un Mac multiutente, con un account amministratore per la manutenzione, ecc.

Puoi creare un DMG crittografato per archiviare cose che non puoi consentire a un altro utente del computer di vedere. Potrebbero copiare i file e provare a forzare la password, ma Finder fa un buon lavoro nel richiedere e montare tali filesystem quando si fa riferimento ad un alias per il file.

Il portachiavi è una versione specializzata di un negozio crittografato. Potresti essere in grado di memorizzare le tue chiavi lì e sarebbero al sicuro da altri utenti in modo simile.

IconDaemon
fonte
Quello che voglio fare è condividere una macchina in un modo in cui non ho bisogno di fidarmi di nessuno e non ho bisogno che le persone si fidino di me. Anche se ho reso tutti gli utenti degli account ... c'è ancora un account amministratore, e quindi qualcuno deve fidarsi di qualcuno. Sembra che se i file di ciascun utente fossero crittografati con chiavi private separate (e possibilmente quelle chiavi non memorizzate sulla macchina, o archiviate in un modo che era al di sopra persino di un amministratore), ciò sarebbe possibile. Sto davvero chiedendo alla gente di pensare fuori dagli schemi di "utente" e "amministratore".
Eric
1
@Eric Ho apportato alcune modifiche per spiegare perché la risposta "no" è corretta. In poche parole - se fai parte del gruppo admin - puoi leggere / manomettere / scrivere / cancellare / copiare qualsiasi file a livello di utente su OS X. Fortunatamente, puoi usare la crittografia per proteggere i tuoi dati da manomissioni ed essere decifrati.
bmike
Grazie per le tue modifiche, @bmike. Migliora la mia risposta a ossa nude.
IconDaemon,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.