Домашня папка має дозволи "для всіх" лише для читання

11

Я щойно зрозумів, що в моїй домашній папці ( / HD / Користувачі / Боб ) усі корективи "ReadOnly" встановлені на кореневому рівні.

Якщо я переглядаю цю папку з іншого облікового запису, я можу переглядати папки, але мені заборонено відкривати стандартні папки OS X (Робочий стіл, Документи, Музика, Фільми тощо). Однак я створив декілька папок на кореневому рівні моєї домашньої папки, і ті ARE доступні для цього іншого користувача. Вони можуть відкривати папки та відкривати деякі документи з доступом до ReadOnly.

Хтось ще бачить це? Це стандартна конфігурація чи мій Mac накручений? Це здається безпечним отвором, що дозволяє користувачам отримувати доступ до файлів інших користувачів у системі.

Я використовую досить чисту збірку Yosemite 10.10.1 - це було встановлено близько місяця тому. Я відновив свої старі файли з жорсткого диска. Вони не були відновлені за допомогою Time Machine

macos  finder  yosemite  security  permission 
slimac07
джерело

Відповіді:

2

Це стандартна конфігурація дозволів. Корінь вашої домашньої папки - це глобальне зчитування, але стандартні папки OS X у таких робочих столах та Документах повинні бути глобальними без доступу. Не соромтеся встановлювати дозволи інших папок, які ви створюєте в корені домашньої папки, щоб відповідати дозволам для стандартних папок.

Якщо ви хочете, щоб нові папки за замовчуванням не мали глобального доступу, змінити дозволи в корені домашньої папки, розповсюджувати дозволи рекурсивно та налаштовувати ACL для спадкування дозволів для нових папок, однак я не впевнений у будь-яких ефектах цього може мати.

грг
джерело
1
Це так цікаво .. будь-яка ідея, чому це так? це здається дивним налаштуванням.
slidmac07
Отже, перш ніж публікувати тут, я змінив доступ на рівні коренів і розповсюдив його. Це безумовно накрутило мій комп'ютер, і я б порадив людям НЕ змінювати ACL тут. Після відновлення з резервної копії я вирішив перенести будь-які каталоги, які не є
яблукоми,
@ slimac07 Якщо ви абсолютно не впевнені, що знаєте, що робите, рекурсивна зміна / поширення дозволів може бути небезпечною, як ви з’ясували.
douggro
1
@ganbustein: у звичайному UNIX-попередньому ACL каталог, виконаний лише для виконання, може бути "прохідним", але не читабельним; біт для читання необхідний для фактичного переліку файлів у каталозі. // Так, поганий хлопець міг би досліджувати всі можливі імена, але будь-яка пристойна система виявлення вторгнень виявить таку схему доступу і занадто довго викрикує. // Належна практика безпеки може зробити ваш домашній каталог ~ прохідним (лише для виконання) (в ідеалі лише для ~ / загальнодоступних тощо), ~ / загальнодоступним для читання всіма, а всі інші файли під ~ за замовчуванням не читаються чи не можуть бути перероблені всіма. , включаючи нові файли.
Krazy Glew
1
Якщо вся справа робить ~ / загальнодоступною, я б скоріше мав Public dir поза моїм користувачем dir, наприклад mkdir / Users / Shared / <username> для кожного користувача.
amdyes
5

Якщо ви хочете, щоб нові папки на верхньому рівні вашої домашньої папки за замовчуванням не читали хтось, крім вас, додайте наступні два ACL до вашої домашньої папки. НЕ ПРОДАЖУЙТЕ дозволів. Перший ACL робить усі нові папки нечитабельними, непридатними для використання та не доступними для всіх. Другий ACL робить виняток для вас. Обов’язково введіть їх у такому порядку, щоб другий запис змістився на передню частину.

chown +a "group:everyone deny list,add_file,search,add_subdirectory,delete_child,directory_inherit,limit_inherit,only_inherit" ~
chown +a# 0 "user:$USER allow list,add_file,search,add_subdirectory,delete_child,directory_inherit,limit_inherit,only_inherit" ~

Правду кажучи, простіше просто виправити дозволи на будь-яких папках, створених безпосередньо під домашньою папкою. Я маю на увазі, це не так, як ти будеш робити це часто, правда?

І крім того, хто скаже, що ви хочете, щоб ці нові папки читали лише ви? Що робити, якщо ви хочете, щоб папка, яка читається для групи, але не читається у всьому світі? Ці успадковані списки ACL якраз і стануть вам на шляху.

Створення папки верхньої домашньої папки має бути рідкісною подією. Спеціальні рішення найкращі для рідкісних подій.

ганбуштайн
джерело
2
Однак деякі з них прийшли до MacOS з UNIX та / або Linux, де створення верхньої частини папки домашньої папки або файлу для цього питання є звичайною подією. Ці дозволи на Mac за замовчуванням нас викручують, якщо ми продовжуємо працювати так, ніби ми перебуваємо у звичайній системі UNIX.
Krazy Glew
1

Ух, я був дуже шокований, коли зрозумів це.

Ще одне рішення - заблокувати домашній каталог для всіх інших:

chmod 700 ~

ManuelSchneid3r
джерело
Що, як уже було сказано роком раніше, зводить брехуна з назви ~ / Public
WGroleau
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.