Bảo vệ tệp khỏi tài khoản quản trị viên khác

2

Vì vậy, tại nơi làm việc có một máy chủ "dùng chung" mà mọi người có thể chạy mọi thứ trên đó mất nhiều thời gian. Tôi sử dụng khá nhiều máy này đến mức tôi tự đăng nhập để tách các tệp người dùng của mình.

  1. Tài khoản tôi đang sử dụng là quản trị viên.
  2. Tài khoản khác mà mọi người khác sử dụng cũng là quản trị viên.

Trong tệp người dùng của tôi có một số khóa SSH riêng cho những thứ như Github và Amazon Web Services mà những người dùng khác có thể làm những việc có ý nghĩa nếu chúng quá nghiêng. Tôi không nghĩ họ sẽ làm thế, nhưng thật tuyệt khi không phải nghĩ về điều đó.

  1. Có cách nào để tôi có thể thêm một số bảo vệ cho các tệp này mà không thay đổi mức cấp phép của thông tin đăng nhập khác không?

  2. Có thể cho các quản trị viên khác truy cập thông tin đăng nhập đã lưu của quản trị viên khác không?

  3. Nếu bạn đã "làm đúng", bạn sẽ khuyên bạn nên thiết lập máy này như thế nào để nó có thể được chia sẻ hợp lý bởi những người cần thực hiện các nhiệm vụ hành chính, nhưng không phải là cơn ác mộng bảo mật.

macos  security  encryption 
Eric
nguồn
Chào mừng bạn đến hỏi khác nhau. nói chung hỏi một câu hỏi cho mỗi câu hỏi là tốt nhất. Nếu bạn nhận được một câu trả lời duy nhất cho mỗi câu trả lời - không có gì ngăn bạn đặt câu hỏi về cách kết hợp các câu trả lời mâu thuẫn nếu điều đó kết thúc như vậy.
bmike

Câu trả lời:

3

Câu trả lời đơn giản - không. Truy cập quản trị quá mạnh đối với nhiều người dùng trên một máy. Ngay cả khi bạn hoàn toàn tin tưởng vào một trong những người dùng này, sẽ luôn có khả năng lạm dụng ngẫu nhiên và mất dữ liệu tiềm năng.

  • Nếu bạn là quản trị viên - bạn có thể đọc bất kỳ tệp nào trên máy Mac
  • Nếu bạn là quản trị viên - bạn có thể xóa và sửa đổi bất kỳ tệp nào trên máy Mac

Ngoại lệ duy nhất là SIP - nơi thậm chí root không thể sửa đổi một số tệp mà Apple đã đánh dấu là bị hạn chế.

Quy trình vận hành tiêu chuẩn quy định tài khoản người dùng chuẩn cho tất cả người dùng trên máy Mac nhiều người dùng, với tài khoản của quản trị viên để bảo trì, v.v.

Bạn có thể tạo DMG được mã hóa để lưu trữ những thứ mà bạn không thể cho phép người dùng khác của máy tính nhìn thấy. Họ có thể sao chép các tệp và cố gắng ép buộc mật khẩu - nhưng Finder thực hiện tốt việc yêu cầu và gắn các hệ thống tệp đó khi bạn tham chiếu bí danh cho tệp.

Móc khóa là phiên bản chuyên dụng của một cửa hàng được mã hóa. Bạn có thể lưu trữ chìa khóa của mình ở đó và chúng sẽ an toàn với những người dùng khác theo cách tương tự.

IconDaemon
nguồn
Những gì tôi muốn làm là chia sẻ một cỗ máy theo cách mà tôi không cần phải tin tưởng bất cứ ai và tôi không cần mọi người tin tưởng tôi. Ngay cả khi tôi đã tạo tất cả người dùng tài khoản ... vẫn có tài khoản quản trị viên và do đó ai đó cần phải tin tưởng ai đó. Có vẻ như nếu mỗi tệp người dùng được mã hóa bằng các khóa riêng biệt (và có thể các khóa đó không được lưu trữ trên máy hoặc được lưu trữ theo cách cao hơn cả quản trị viên) thì điều này là có thể. Tôi thực sự yêu cầu mọi người suy nghĩ bên ngoài hộp "người dùng" và "quản trị viên".
Eric
1
@Eric Tôi đã thực hiện một số chỉnh sửa để giải thích tại sao câu trả lời "không" là chính xác. Tóm lại - nếu bạn là thành viên của nhóm quản trị - bạn có thể đọc / giả mạo / ghi / xóa / sao chép bất kỳ tệp cấp độ người dùng nào trên OS X. May mắn thay, bạn có thể sử dụng mã hóa để giữ an toàn cho dữ liệu của mình khỏi bị giả mạo và bị giải mã.
bmike
Cảm ơn bạn đã chỉnh sửa, @bmike. Nó tăng cường câu trả lời của tôi.
IconDaemon
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.