3 votes

Serverus avatar

Est-il sûr de supprimer les droits de lecture, d'écriture et d'exécution pour "others" de manière récursive dans le répertoire personnel ?

Demandé el 13 de Décembre, 2014
Quand la question a-t-elle été
407 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'aimerais savoir s'il est possible de bloquer l'accès à mon répertoire personnel aux utilisateurs qui ne font pas partie du groupe approprié. Certains serveurs tournent sur mon Mac (10.9) sous un autre compte, et je souhaite réduire les conséquences de l'exploitation de l'un d'entre eux par un pirate en empêchant ce compte d'accéder à mes fichiers personnels.

J'ai l'intention d'utiliser les autorisations de fichiers pour cela, mais je crains que cela ne casse quelque chose, en bloquant les processus du système pour qu'ils fassent ce qu'ils doivent faire. Idéalement, j'aimerais bloquer l'accès au répertoire personnel de mon compte principal, à l'exception de Root et de mon compte principal, avec les autorisations suivantes chmod -R o-rwx ~ .

Quelqu'un sait-il si cela poserait des problèmes, et si cela serait efficace pour empêcher d'autres comptes (qui ne peuvent pas sudo, et ne sont pas admin dans les préférences système, ce sont peut-être les mêmes, je n'en suis pas sûr) d'accéder à ces fichiers, à l'exclusion d'une vulnérabilité EoP ?

Demandé el 13 de Décembre, 2014 par Serverus

Réponses

Trop de publicités?

1voto

Mehmet avatar
Mehmet Points 111

Cela dépend de ce qui tourne sur le serveur. Si vous avez un serveur web qui sert le contenu d'autres utilisateurs à partir de leurs répertoires personnels, le serveur web ne sera pas en mesure de lire ces fichiers.

Lors de cette décision, le groupe auquel appartiennent les utilisateurs est également important. Si tous les utilisateurs sont membres du groupe staff, par exemple, et si les répertoires personnels disposent des autorisations de lecture et d'exécution pour ce groupe, les autres utilisateurs pourront toujours accéder à ces répertoires.

Toutefois, en règle générale, cette méthode devrait être sûre et probablement même préférable.

Répondu el 13 de Décembre, 2014 par Mehmet (111 Points )

0voto

Nullpoet avatar
Nullpoet Points 1518

Je ne modifierais jamais les autorisations de manière récursive dans un répertoire d'utilisateurs. Cela risque de casser trop de choses, en particulier dans le système ~/Library dossier.

La structure des permissions d'OS X est assez robuste et ne permet qu'aux utilisateurs ou processus privilégiés d'accéder aux répertoires/fichiers. Les utilisateurs administrateurs peuvent toujours sudo de procéder à des changements (en tant que membres de l sudoers ), mais ils n'ont normalement pas accès aux répertoires personnels des autres utilisateurs, à l'exception du dossier public ou de tout dossier partagé dans le cadre du partage de fichiers.

La mise en place d'un pare-feu devant votre système est une méthode plus sûre pour bloquer l'accès aux pirates.

Répondu el 13 de Décembre, 2014 par Nullpoet (1518 Points )

0voto

evilcandybag avatar
evilcandybag Points 101

À moins que vous ne l'ayez modifié (ou que vous n'ayez activé le partage), seuls les utilisateurs de votre groupe devraient avoir un accès en lecture, mais je ne vois aucun inconvénient à supprimer les autorisations pour les éléments suivants others

Répondu el 13 de Décembre, 2014 par evilcandybag (101 Points )

0voto

Rich avatar
Rich Points 2429

Votre approche est parfaitement sûre, et utilisée comme règle de base pour sécuriser tout système de fichiers Unix. Cette approche vous protégera contre tout accès à un compte non administrateur, et vous empêchera de devenir une zone de dépôt pour les logiciels de merde provenant d'autres comptes. Le répertoire uniq, qui est important pour obtenir un fichier other est le droit d'accès :

Public/Drop Box

Je vous conseille donc d'éviter une base :

chmod -R o-rwx

et préfèrent :

cd
find . \( -path "./Public/Drop Box" -prune \) -o \( -perm +0007 -ls \)

pour vérifier ce que vous allez modifier, et ensuite :

cd
find . \( -path "./Public/Drop Box" -prune \) -o \( -perm +0007 -exec chmod o-rwx {} \}

Si un logiciel risque d'être cassé, il s'agit alors d'un problème de sécurité ou d'un logiciel de merde. Il est bon de détecter ces faiblesses le plus tôt possible.

Regarder umask shell pour éviter l'apparition de fichiers avec n'importe quel type de other l'accès.

Répondu el 14 de Décembre, 2014 par Rich (2429 Points )

Questions en vedette

Top Tags

Dans notre réseau

LesApples.com

LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X