Ich hätte gerne eine Beratung, ob es sicher wäre, Benutzern, die nicht in der entsprechenden Gruppe sind, den Zugriff auf mein Home-Verzeichnis zu verweigern. Ich habe einige Server, die auf meinem Mac (10.9) unter einem anderen Konto ausgeführt werden, und möchte die Folgen einer Ausnutzung eines Servers durch einen Hacker verringern, indem verhindert wird, dass dieses Konto auf meine persönlichen Dateien zugreift.
Ich beabsichtige, Dateiberechtigungen dafür zu verwenden, aber ich befürchte, dass dies etwas beschädigen könnte, indem Systemprozesse daran gehindert werden, das zu tun, was sie tun müssen. Ich möchte idealerweise alle außer root und meinem primären Konto daran hindern, auf das Home-Verzeichnis meines primären Kontos zuzugreifen, mit chmod -R o-rwx ~.
Weiß jemand, ob dies zu Problemen führen würde und ob es wirksam verhindern würde, dass andere Konten (die möglicherweise nicht sudo sind und in den Systemeinstellungen nicht admin sind, diese können gleich sein, nicht sicher) auf diese Dateien zugreifen, ausgenommen eine EoP-Schwachstelle?
Das hängt davon ab, was auf dem Server läuft. Wenn Sie einen Webserver haben, auf dem die Inhalte anderer Benutzer aus deren Home-Verzeichnissen ausgeführt werden, kann der Webserver diese Dateien nicht lesen.
Bei dieser Entscheidung ist auch die Gruppe wichtig, der die Benutzer angehören. Wenn beispielsweise alle Benutzer Mitglieder der Mitarbeitergruppe sind und die Home-Verzeichnisse Lese- und Ausführungsberechtigungen für diese Gruppe haben, können andere Benutzer immer noch auf diese Verzeichnisse zugreifen.
Im Allgemeinen sollte es jedoch sicher und wahrscheinlich sogar die bevorzugte Methode sein.
Ich würde niemals Berechtigungen rekursiv für ein Benutzerverzeichnis ändern. Dies kann zu viele Dinge beschädigen, insbesondere im ~/LibraryOrdner.
Die Berechtigungsstruktur von OS X ist ziemlich robust und erlaubt nur privilegierten Benutzern oder Prozessen den Zugriff auf Verzeichnisse/Dateien. Admin-Benutzer können immer sudoÄnderungen vornehmen (als Mitglieder der sudoersListe), sind aber ansonsten normalerweise für den Zugriff auf die Home-Verzeichnisse anderer Benutzer außer dem öffentlichen Ordner oder einem freigegebenen Ordner über die Dateifreigabe gesperrt.
Das Firewalling vor Ihrem System wird eine sicherere Methode sein, um den Zugriff für Hacker zu blockieren.
Sofern Sie es nicht geändert (oder die Freigabe aktiviert) haben, sollten nur Benutzer in Ihrer Gruppe Lesezugriff haben, aber ich kann keinen Schaden darin sehen, Berechtigungen für zu entfernenothers
Ihr Ansatz ist absolut sicher und wird als Grundregel zum Sichern jedes Unix-Dateisystems verwendet. Dieser Ansatz schützt Sie vor jeglichem Zugriff auf Nicht-Admin-Konten und schützt Sie davor, zu einem Hinterlegungsbereich für Crapware zu werden, die von anderen Konten stammt. Das uniq-Verzeichnis, das relevant ist, um ein otherZugriffsrecht zu erhalten, ist:
Public/Drop Box
Daher rate ich Ihnen, eine grundlegende zu vermeiden:
chmod -R o-rwx
und bevorzuge:
cd
find . \( -path "./Public/Drop Box" -prune \) -o \( -perm +0007 -ls \)
um zu überprüfen, was Sie ändern werden, und dann:
cd
find . \( -path "./Public/Drop Box" -prune \) -o \( -perm +0007 -exec chmod o-rwx {} \}
Wenn eine Software kaputt gehen könnte, dann ist diese Software ein Sicherheitsproblem oder eine Crapware. Es ist eine gute Idee, diese Schwachstellen so schnell wie möglich zu erkennen.
Sehen Sie sich Shell Builin an umask, um das Erscheinen von Dateien mit irgendeiner Art von otherZugriff zu vermeiden.
Dan