Thư mục nhà có quyền 'Chỉ đọc' của mọi người

11

Tôi mới nhận ra rằng thư mục nhà của tôi ( / HD / Người dùng / Bob ) có quyền của mọi người 'ReadOnly' được đặt ở cấp gốc.

Nếu tôi duyệt thư mục này từ một tài khoản khác, tôi có thể xem các thư mục, nhưng tôi không được phép mở các thư mục OS X tiêu chuẩn (Máy tính để bàn, Tài liệu, Âm nhạc, Phim, v.v.). Tuy nhiên, tôi đã tạo ra một vài thư mục trên cấp độ gốc của thư mục nhà của tôi, và những tiếp cận với người dùng khác này. Họ có thể mở các thư mục và mở một số tài liệu với quyền truy cập ReadOnly.

Có ai khác nhìn thấy điều này? Đây có phải là một cấu hình tiêu chuẩn hay máy Mac của tôi bị hỏng? Đây dường như là một lỗ hổng bảo mật để cho phép người dùng truy cập các tệp của người dùng khác trên hệ thống.

Tôi đang chạy một bản dựng khá sạch của Yosemite 10.10.1 - cái này đã được cài đặt khoảng một tháng trước. Tôi đã khôi phục các tập tin cũ của tôi từ một ổ đĩa cứng. Chúng không được khôi phục qua Time Machine

macos  finder  yosemite  security  permission 
slidmac07
nguồn

Câu trả lời:

2

Đây là cấu hình quyền tiêu chuẩn. Thư mục gốc của thư mục chính của bạn là đọc toàn cầu, nhưng các thư mục OS X tiêu chuẩn trong như Desktop và Documents sẽ không có quyền truy cập toàn cầu. Vui lòng đặt quyền của các thư mục khác mà bạn tạo trong thư mục gốc của thư mục nhà để khớp với các quyền trên các thư mục chuẩn.

Theo mặc định, nếu bạn muốn các thư mục mới không có quyền truy cập, hãy thay đổi quyền trên thư mục gốc của bạn, truyền bá các quyền theo cách đệ quy và thiết lập ACL để kế thừa quyền cho các thư mục mới, tuy nhiên tôi không chắc chắn về bất kỳ tác động nào có thể có.

GRG
nguồn
1
Điều đó thật thú vị .. có ý tưởng nào tại sao nó lại như vậy không? có vẻ như một thiết lập lạ
slidmac07
Vì vậy, trước khi tôi đăng ở đây, tôi đã thay đổi quyền truy cập ở cấp gốc và truyền nó xuống. Nó chắc chắn đã làm hỏng máy tính của tôi và tôi sẽ khuyên mọi người KHÔNG nên thay đổi ACL ở đây. Sau khi khôi phục từ bản sao lưu, tôi quyết định chuyển bất kỳ thư mục không phải táo nào vào các thư mục cụ thể của Apple
slidmac07
@ slidmac07 Trừ khi bạn hoàn toàn chắc chắn rằng bạn biết những gì bạn đang làm, việc thay đổi / tuyên truyền cấp phép có thể nguy hiểm, như bạn đã tìm ra.
douggro
1
@ganbustein: trên UNIX tiền ACL bình thường, một thư mục chỉ thực thi là "traverse", nhưng không thể đọc được; bit đọc được yêu cầu để thực sự liệt kê các tệp trong một thư mục. // Có, một kẻ xấu có thể thăm dò tất cả các tên có thể, nhưng bất kỳ hệ thống phát hiện xâm nhập đàng hoàng nào cũng sẽ phát hiện ra một kiểu truy cập như vậy và khóc hôi trước khi quá lâu. // Thực hành bảo mật tốt có thể làm cho thư mục chính của bạn ~ di chuyển được (chỉ thực thi) (lý tưởng là chỉ ~ / Công khai, v.v.), ~ / Mọi người đều có thể đọc được và tất cả các tệp khác trong ~ không thể đọc hoặc duyệt qua , bao gồm các tập tin mới.
Krazy Glew
1
Nếu toàn bộ vấn đề đang làm cho ~ / Công khai có thể truy cập được, tôi muốn có thư mục Công khai bên ngoài thư mục người dùng của mình, ví dụ: mkdir / Users / Shared / <username> cho mỗi người dùng.
amdyes
5

Nếu bạn muốn các thư mục mới ở cấp cao nhất của thư mục nhà của bạn theo mặc định không thể đọc được bởi bất kỳ ai trừ bạn, hãy thêm hai ACL sau vào thư mục nhà của bạn. KHÔNG ĐƯỢC CHẤP NHẬN GIẤY PHÉP. ACL đầu tiên làm cho tất cả các thư mục mới không thể đọc được, không thể đọc được và không thể tìm kiếm được bởi mọi người. ACL thứ hai làm cho một ngoại lệ cho bạn. Hãy chắc chắn nhập chúng theo thứ tự này, vì vậy mục thứ hai có thể tự đẩy ra phía trước.

chown +a "group:everyone deny list,add_file,search,add_subdirectory,delete_child,directory_inherit,limit_inherit,only_inherit" ~
chown +a# 0 "user:$USER allow list,add_file,search,add_subdirectory,delete_child,directory_inherit,limit_inherit,only_inherit" ~

Nhưng sự thật là, việc sửa các quyền trên bất kỳ thư mục con nào bạn tạo trực tiếp trong thư mục nhà của bạn sẽ dễ dàng hơn. Ý tôi là, nó không giống như bạn sẽ làm điều đó thường xuyên, phải không?

Và bên cạnh đó, ai sẽ nói bạn muốn những thư mục mới này chỉ có thể đọc được? Điều gì nếu bạn muốn một thư mục có thể đọc được theo nhóm cho một số nhóm nhưng không thể đọc được trên thế giới? Những ACL được kế thừa này sẽ cản trở bạn.

Tạo một thư mục thư mục hàng đầu sẽ là một sự kiện hiếm. Giải pháp ad hoc là tốt nhất cho các sự kiện hiếm.

ganbustein
nguồn
2
Tuy nhiên, một số người đã đến MacOS từ UNIX và / hoặc Linux, trong đó việc tạo một thư mục thư mục gốc hoặc tệp cho vấn đề đó, là một sự kiện phổ biến. Các quyền Mac mặc định này làm chúng tôi khó chịu, nếu chúng tôi tiếp tục làm việc như thể chúng tôi đang ở trên một hệ thống UNIX bình thường.
Krazy Glew
1

Wow tôi đã khá sốc khi nhận ra điều này.

Một giải pháp khác là khóa thư mục nhà cho những người khác:

chmod 700 ~

ManuelSchneid3r
nguồn
Mà, như đã nêu một năm trước, làm cho một kẻ nói dối ra khỏi tên ~ / Công khai
WGroleau
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.