Mir ist gerade aufgefallen, dass in meinem Home-Ordner ( /HD/Users/Bob ) auf Root-Ebene die Berechtigung „ReadOnly“ für Jeder festgelegt ist.
Wenn ich diesen Ordner von einem anderen Konto aus durchsuche, kann ich die Ordner anzeigen, aber ich darf die standardmäßigen OS X-Ordner (Desktop, Dokumente, Musik, Filme usw.) nicht öffnen. Ich habe jedoch einige Ordner auf der Stammebene meines Home-Ordners erstellt, und diese SIND für diesen anderen Benutzer zugänglich. Sie können Ordner öffnen und einige der Dokumente mit ReadOnly-Zugriff öffnen.
Sieht das noch jemand? Ist das eine Standardkonfiguration oder ist mein Mac kaputt? Dies scheint eine Sicherheitslücke zu sein, die es Benutzern ermöglicht, auf Dateien anderer Benutzer auf dem System zuzugreifen.
Ich verwende einen ziemlich sauberen Build von Yosemite 10.10.1 - dieser wurde vor etwa einem Monat installiert. Ich habe meine alten Dateien von einer Festplatte wiederhergestellt. Sie wurden nicht über Time Machine wiederhergestellt
Dies ist die Standard-Berechtigungskonfiguration und existiert seit den Beta-Tagen von Mac OS X, als Unix-Untermauerungen für Apples neues Computer-Betriebssystem etabliert wurden.
Das Stammverzeichnis Ihres Benutzerordners ist global lesbar, aber standardmäßige macOS-Ordner wie Desktop und Dokumente sollten global keinen Zugriff haben. Fühlen Sie sich frei, die Berechtigungen anderer Ordner, die Sie im Stammverzeichnis Ihres Benutzerordners erstellen, so einzustellen, dass sie mit den Berechtigungen der Standardordner übereinstimmen.
Wenn Sie möchten, dass neue Ordner standardmäßig global keinen Zugriff haben, ändern Sie die Berechtigungen im Stammverzeichnis Ihres Home-Ordners, geben Sie die Berechtigungen rekursiv weiter und richten Sie ACLs ein, um Berechtigungen für neue Ordner zu erben, aber ich bin mir nicht sicher, ob dies Auswirkungen hat könnte haben.
Wenn Sie möchten, dass neue Ordner auf der obersten Ebene Ihres Home-Ordners standardmäßig von niemandem außer Ihnen gelesen werden können, fügen Sie Ihrem Home-Ordner die folgenden zwei ACLs hinzu. KEINE BERECHTIGUNGEN WEITERGEBEN. Die erste ACL macht alle neuen Ordner für alle unlesbar, unschreibbar und nicht durchsuchbar. Die zweite ACL macht für Sie eine Ausnahme. Achten Sie darauf, sie in dieser Reihenfolge einzugeben, damit sich der zweite Eintrag nach vorne schieben kann.
chown +a "group:everyone deny list,add_file,search,add_subdirectory,delete_child,directory_inherit,limit_inherit,only_inherit" ~
chown +a# 0 "user:$USER allow list,add_file,search,add_subdirectory,delete_child,directory_inherit,limit_inherit,only_inherit" ~
Aber um ehrlich zu sein, ist es einfacher, die Berechtigungen für alle Unterordner zu korrigieren, die Sie direkt unter Ihrem Home-Ordner erstellen. Ich meine, es ist nicht so, dass du das oft machst, oder?
Und außerdem, wer sagt, dass Sie wollen, dass diese neuen Ordner nur von Ihnen gelesen werden können? Was ist, wenn Sie einen Ordner haben möchten, der für eine Gruppe lesbar, aber nicht für die ganze Welt lesbar ist? Diese geerbten ACLs werden Ihnen dann nur im Weg stehen.
Das Erstellen eines Top-of-Home-Ordnerordners sollte ein seltenes Ereignis sein. Ad-hoc-Lösungen eignen sich am besten für seltene Ereignisse.
Wow, ich war ziemlich geschockt, als mir das klar wurde.
Eine andere Lösung besteht darin, das Home-Verzeichnis für alle anderen zu sperren:
chmod 700 ~
Krazy Glew