Folder domowy ma uprawnienia „tylko do odczytu” dla wszystkich

11

Właśnie zdałem sobie sprawę, że mój folder domowy ( / HD / Users / Bob ) ma uprawnienia Wszyscy „Tylko do odczytu” ustawione na poziomie głównym.

Jeśli przeglądam ten folder z innego konta, mogę przeglądać foldery, ale nie mogę otwierać standardowych folderów OS X (Pulpit, Dokumenty, Muzyka, Filmy itp.). Jednak ja stworzyliśmy kilka folderów na poziomie głównym katalogu domowym, a te dostępne do tego innego użytkownika. Mogą otwierać foldery i otwierać niektóre dokumenty z dostępem tylko do odczytu.

Czy ktoś jeszcze to widzi? Czy to standardowa konfiguracja, czy też mój komputer Mac jest zepsuty? Wydaje się to luką w zabezpieczeniach, która umożliwia użytkownikom dostęp do plików innych użytkowników w systemie.

Korzystam z dość czystej wersji Yosemite 10.10.1 - została ona zainstalowana około miesiąc temu. Przywróciłem moje stare pliki z dysku twardego. Nie zostały przywrócone przez Wehikuł Czasu

macos finder yosemite security permission slidmac07
źródło

Odpowiedzi:

2

Jest to standardowa konfiguracja uprawnień. Katalog główny twojego folderu domowego to odczyt globalny, ale standardowe foldery w systemie OS X, takie jak Pulpit i Dokumenty, powinny mieć globalny dostęp bez dostępu. Ustaw uprawnienia innych folderów tworzonych w katalogu głównym folderu domowego, aby pasowały do ​​uprawnień w folderach standardowych.

Jeśli chcesz, aby nowe foldery były domyślnie globalnie niedostępne, zmień uprawnienia w katalogu głównym folderu domowego, propaguj rekurencyjnie uprawnienia i skonfiguruj listy ACL, aby dziedziczyły uprawnienia dla nowych folderów, ale nie jestem pewien, czy to wpłynie na to może mieć.

grg
źródło
1
To takie interesujące ... jakiś pomysł, dlaczego tak jest? wygląda na dziwną konfigurację.
slidmac07
Więc zanim opublikowałem tutaj, zmieniłem dostęp na poziomie głównym i propagowałem go w dół. To zdecydowanie spieprzyło mój komputer i radziłbym ludziom NIE zmieniać tutaj list ACL. Po przywróceniu z kopii zapasowej postanowiłem przenieść katalogi inne niż Apple do folderów określonych przez Apple
slidmac07
@ slidmac07 Jeśli nie masz absolutnej pewności, że wiesz, co robisz, rekurencyjne zmienianie / propagowanie uprawnień może być niebezpieczne, jak się dowiedziałeś.
douggro
1
@ganbustein: na zwykłej liście ACL pre-ACL katalog wykonywalny jest „możliwy do przejścia”, ale nie można go odczytać; bit odczytu jest wymagany, aby faktycznie wyświetlić listę plików w katalogu. // Tak, złoczyńca może zbadać wszystkie możliwe nazwiska, ale każdy porządny system wykrywania włamań wykryje taki wzór dostępu i płacze faul zbyt długo. // Dobra praktyka bezpieczeństwa może sprawić, że Twój katalog domowy ~ będzie dostępny (tylko do wykonania) (najlepiej tylko do ~ / Publiczny itp.), ~ / Publiczny do odczytu dla wszystkich, a wszystkie inne pliki w ~ nie będą domyślnie do odczytu lub do przejścia dla wszystkich , w tym nowe pliki.
Krazy Glew
1
Jeśli cały punkt sprawia, że ​​~ / Public jest dostępny, wolałbym mieć katalog Public poza katalogiem użytkownika, np. Mkdir / Users / Shared / <nazwa użytkownika> dla każdego użytkownika.
amdyes,
5

Jeśli chcesz, aby nowe foldery na najwyższym poziomie folderu domowego były domyślnie nieczytelne dla nikogo poza tobą, dodaj następujące dwa listy ACL do folderu domowego. NIE PROPAGUJĄ ZEZWOLEŃ. Pierwsza lista ACL sprawia, że ​​wszystkie nowe foldery są nieczytelne, nieodkryte i nie można ich przeszukiwać przez wszystkich. Druga lista ACL stanowi dla ciebie wyjątek. Pamiętaj, aby wprowadzić je w tej kolejności, aby drugi wpis mógł przesunąć się na przód.

chown +a "group:everyone deny list,add_file,search,add_subdirectory,delete_child,directory_inherit,limit_inherit,only_inherit" ~
chown +a# 0 "user:$USER allow list,add_file,search,add_subdirectory,delete_child,directory_inherit,limit_inherit,only_inherit" ~

Ale prawdę mówiąc, łatwiej jest po prostu naprawić uprawnienia do dowolnych podfolderów tworzonych bezpośrednio w folderze domowym. Mam na myśli, że to nie tak, że będziesz to robić często, prawda?

A poza tym, kto powiedziałby, że chcesz, aby te nowe foldery były czytelne tylko dla Ciebie? Co zrobić, jeśli chcesz folder, który jest możliwy do odczytu przez grupę, ale nie do odczytu przez świat? Te odziedziczone listy ACL staną ci na drodze.

Tworzenie folderu na górze katalogu domowego powinno być rzadkim wydarzeniem. Rozwiązania ad hoc są najlepsze w przypadku rzadkich wydarzeń.

ganbustein
źródło
2
Jednak część z nich pojawiła się w systemie MacOS w systemach UNIX i / lub Linux, gdzie tworzenie folderu folderu domowego lub pliku w tym zakresie jest częstym wydarzeniem. Te domyślne uprawnienia dla komputerów Mac psują nas, jeśli będziemy kontynuować pracę tak, jakbyśmy pracowali w normalnym systemie UNIX.
Krazy Glew
1

Wow, byłem zszokowany, kiedy to zrozumiałem.

Innym rozwiązaniem jest zablokowanie katalogu domowego dla wszystkich innych osób:

chmod 700 ~

ManuelSchneid3r
źródło
Co, jak już wspomniano rok wcześniej, czyni kłamcę z nazwy ~ / Public
WGroleau