È sicuro rimuovere le autorizzazioni di lettura, scrittura ed esecuzione per gli "altri" in modo ricorsivo sulla home directory?

3

Vorrei chiedere se sarebbe sicuro impedire agli utenti non appartenenti al gruppo appropriato di accedere alla mia home directory. Ho alcuni server in esecuzione sul mio Mac (10.9) con un altro account e desidero ridurre le conseguenze di un hacker che ne sfrutta uno impedendo a questo account di accedere ai miei file personali.

Ho intenzione di utilizzare i permessi dei file per questo, ma sono preoccupato che questo possa violare qualcosa, bloccando i processi di sistema dal fare ciò di cui hanno bisogno. Preferirei bloccare tutti, tranne root e il mio account principale, dall'accesso alla home directory del mio account principale, con chmod -R o-rwx ~ .

Qualcuno sa se questo potrebbe causare problemi, e anche se sarebbe efficace nell'impedire altri account (che potrebbero non essere sudo e non essere amministratore in Preferenze di Sistema, questi potrebbero essere gli stessi, non sono sicuro) dall'accesso a questi account file, esclusa una vulnerabilità EoP?

    
posta Serverus 13.12.2014 - 20:28
fonte

4 risposte

1

Dipende da cosa è in esecuzione sul server. Se si dispone di un server Web in esecuzione e che serve il contenuto di altri utenti dalle proprie directory home, il server Web non sarebbe in grado di leggere tali file.

Quando si prende questa decisione è importante anche il gruppo a cui appartengono gli utenti. Se tutti gli utenti sono membri del gruppo staff per esempio e se le directory home hanno permesso di lettura ed esecuzione per quel gruppo, gli altri utenti saranno comunque in grado di accedere a tali directory.

Comunque in generale dovrebbe essere sicuro e probabilmente anche il metodo preferito.

    
risposta data 13.12.2014 - 21:25
fonte
0

Non cambierei le autorizzazioni in modo ricorsivo su una directory utente, mai. Questa possibilità di rompere troppe cose, in particolare nella cartella ~/Library .

La struttura delle autorizzazioni di OS X è abbastanza solida e consente solo agli utenti privilegiati o ai processi di accedere a directory / file. Gli utenti amministratori possono sempre sudo per influire sulle modifiche (come membri della lista sudoers ) ma sono normalmente bloccati dall'accesso alle directory Home degli altri utenti diverse dalla cartella Pubblica o da qualsiasi cartella condivisa tramite Condivisione file.

Firewalling di fronte al tuo sistema sarà un metodo più sicuro per bloccare l'accesso agli hacker.

    
risposta data 13.12.2014 - 22:46
fonte
0

Se non lo hai modificato (o abilitato la condivisione) solo gli utenti del tuo gruppo dovrebbero avere accesso in lettura, ma non vedo alcun danno nella rimozione delle autorizzazioni per others

    
risposta data 13.12.2014 - 22:56
fonte
0

Il tuo approccio è perfettamente sicuro e utilizzato come regola base per la sicurezza di qualsiasi filesystem Unix. Questo approccio ti proteggerà da qualsiasi accesso di account non amministratore e ti proteggerà dal diventare un'area di deposito per crapware proveniente da altri account. La directory uniq che è rilevante per ottenere un diritto di accesso other è:

Public/Drop Box

Quindi ti consiglio di evitare una base:

chmod -R o-rwx

e preferisci:

cd
find . \( -path "./Public/Drop Box" -prune \) -o \( -perm +0007 -ls \)

per verificare cosa modifichi, quindi:

cd
find . \( -path "./Public/Drop Box" -prune \) -o \( -perm +0007 -exec chmod o-rwx {} \}

Se qualche software si rompe, questo software è un problema di sicurezza o un crapware. È una buona idea rilevare questi punti deboli il prima possibile.

Guarda umask shell builin per evitare l'apparizione di file con qualsiasi tipo di accesso other .

    
risposta data 14.12.2014 - 00:14
fonte

Leggi altre domande sui tag