Ana klasör 'herkes' Salt Okunur izinlerine sahiptir

11

Sadece ana klasörümün ( / HD / Kullanıcılar / Bob ) kök düzeyinde Herkes 'ReadOnly' izinlerine sahip olduğunu fark ettim .

Bu klasöre başka bir hesaptan göz atarsam, klasörleri görüntüleyebilirim, ancak standart OS X klasörlerini (Masaüstü, Belgeler, Müzik, Filmler vb.) Açmama izin verilmiyor. Ancak, ben benim ev klasörünün kök düzeyinde birkaç klasörleri oluşturduk ve bu OLAN bu diğer kullanıcı için erişilebilir. Klasörleri açabilir ve bazı belgeleri ReadOnly erişimi ile açabilirler.

Bunu gören var mı? Bu standart bir yapılandırma mı, yoksa Mac bilgisayarım berbat mı? Bu, kullanıcıların sistemdeki diğer kullanıcıların dosyalarına erişmesine izin veren bir güvenlik deliği gibi görünüyor.

Yosemite 10.10.1'in oldukça temiz bir yapısını çalıştırıyorum - bu yaklaşık bir ay önce kuruldu. Eski dosyalarımı sabit diskten geri yükledim. Time Machine ile geri yüklenmediler

macos  finder  yosemite  security  permission 
slidmac07
kaynak

Yanıtlar:

2

Bu, standart izin yapılandırmasıdır. Ana klasörünüzün kökü genel olarak okunur, ancak Masaüstü ve Belgeler gibi standart OS X klasörlerinin genel erişim olmaması gerekir. Ana klasörünüzün kökünde oluşturduğunuz diğer klasörlerin izinlerini, standart klasörlerin izinleriyle eşleşecek şekilde ayarlamaktan çekinmeyin.

Yeni klasörlerin varsayılan olarak erişim olmamasını istiyorsanız, ana klasörünüzün kökündeki izinleri değiştirin, izinleri yinelemeli olarak çoğaltın ve yeni klasörlerin izinlerini devralmak için ACL'leri ayarlayın, ancak bunun herhangi bir etkisinden emin değilim olabilir.

grg
kaynak
1
Bu çok ilginç .. neden böyle olduğu hakkında bir fikrin var mı? garip bir kurulum gibi görünüyor.
15:19
Buraya göndermeden önce, erişimi kök düzeyinde değiştirdim ve yaydım. Kesinlikle benim bilgisayar berbat ve ben burada ACLs değiştirmek DEĞIL insanların tavsiye ederim. Bir yedeklemeden geri yükledikten sonra, elma olmayan dizinleri Apple'a özgü klasörlere taşımaya karar verdim
slidmac07
@ slidmac07 Ne yaptığınızı tam olarak bilmediğinizden emin olmadıkça, izinleri tekrar tekrar değiştirmek / çoğaltmak tehlikeli olabilir.
douggro
1
@ganbustein: normal UNIX ön ACL'de, yalnızca yürütme dizini "gezilebilir", ancak okunamaz; bir dizindeki dosyaları listelemek için okuma biti gereklidir. // Evet, kötü bir adam olası tüm isimleri sorgulayabilir, ancak herhangi bir iyi saldırı tespit sistemi böyle bir erişim paternini algılar ve çok uzun zaman önce ağlar. // İyi güvenlik uygulamaları, ana dizininizi ~ taşınabilir (yalnızca yürütme) (ideal olarak yalnızca ~ / Public, vb. İçin), ~ / Herkese açık olarak okunabilir ve ~ altındaki herkes tarafından varsayılan olarak okunamayan veya değiştirilemeyen diğer tüm dosyalar yapabilir , yeni dosyalar dahil.
Krazy Glew
1
Bütün nokta ~ / Public erişimini mümkün kılıyorsa, her kullanıcı için mkdir / Users / Shared / <kullanıcıadı> gibi kullanıcı dizinimin dışındaki Genel dizin olmasını tercih ederim.
amdyes
5

Ana klasörünüzün en üst düzeyindeki yeni klasörlerin varsayılan olarak sizden başkaları tarafından okunamamasını istiyorsanız, aşağıdaki iki ACL'yi ana klasörünüze ekleyin. İZİNLERİ ÜRETMEYİN. İlk EKL, tüm yeni klasörleri okunamaz, yazılamaz ve herkes tarafından erişilemez hale getirir. İkinci EKL sizin için bir istisna oluşturur. Bunları bu sırayla girdiğinizden emin olun, böylece ikinci giriş kendini öne itebilir.

chown +a "group:everyone deny list,add_file,search,add_subdirectory,delete_child,directory_inherit,limit_inherit,only_inherit" ~
chown +a# 0 "user:$USER allow list,add_file,search,add_subdirectory,delete_child,directory_inherit,limit_inherit,only_inherit" ~

Ancak doğrusu, doğrudan ana klasörünüz altında oluşturduğunuz alt klasörlerin izinlerini düzeltmek daha kolaydır. Yani, bunu sık sık yapacağınız gibi değil, değil mi?

Ayrıca, bu yeni klasörlerin yalnızca sizin tarafınızdan okunmasını istediğinizi kim söyleyebilir? Bir grup için grup tarafından okunabilen ancak dünya tarafından okunamayan bir klasör istiyorsanız ne olur? Bu kalıtsal ACL'ler o zaman yolunuza girecek.

Ev klasörü klasörü oluşturmak nadir bir olay olmalıdır. Özel çözümler nadir olaylar için en iyisidir.

ganbustein
kaynak
2
Bununla birlikte, bazıları UNIX ve / veya Linux'tan MacOS'a geldi, burada bir üst klasör klasörü veya dosya oluşturmanın yaygın bir olay olduğu. Bu varsayılan Mac izinleri, normal bir UNIX sistemindeymişiz gibi çalışmaya devam edersek bizi mahveder.
Krazy Glew
1

Wow bunu fark ettiğimde oldukça şok oldum.

Başka bir çözüm, giriş dizinini herkes için kilitlemektir:

chmod 700 ~

ManuelSchneid3r
kaynak
Bu, bir yıl önce belirtildiği gibi, ~ / Public adından bir yalancı yapar
WGroleau
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.