Cosa sono 'com.apple.access_ssh' e 'com.apple.access_screensharing'; posso eliminarli?

2

Quando esamino l'elenco di utenti e gruppi sulla mia macchina (OSX 10.9) con id ottengo:

uid=501(Rax)
gid=20(staff)
groups=20(staff)
       103(Rax),
       12(everyone),
       61(localaccounts),
       80(admin),
       98(_lpadmin),
       33(_appstore),
       100(_lpoperator),
       204(_developer),
       398(com.apple.access_screensharing),
       399(com.apple.access_ssh)

Non ho (attualmente) alcuna condivisione abilitata. Quali sono gli ultimi due gruppi e da dove vengono? Posso eliminarli? se sì, come?

Usando sudo dscl . -read /Groups/com.apple.access_ssh ottengo:

AppleMetaNodeLocation: /Local/Default
Comment:
 SSH Service ACL
GeneratedUID: XXX...
NestedGroups: XXX...
Password: *
PrimaryGroupID: 399
RealName:
 SSH Service ACL
RecordName: com.apple.access_ssh
RecordType: dsRecTypeStandard:Groups

E usando sudo dscl . -read /Groups/com.apple.access_screensharing ottengo:

AppleMetaNodeLocation: /Local/Default
Comment:
 Screensharing Service ACL
GeneratedUID: XXX...
NestedGroups: XXX...
Password: *
PrimaryGroupID: 398
RealName:
 Screensharing Service ACL
RecordName: com.apple.access_screensharing
RecordType: dsRecTypeStandard:Groups

(Anche se non sono sicuro di cosa significhi.)

    
posta orome 14.12.2013 - 13:30
fonte

2 risposte

1

Anche l'utente principale amministratore della mia VM 10.9 fa parte di entrambi i gruppi, quindi suppongo sia normale.

Tests-Mac:~ test$ id
uid=501(test) gid=20(staff) groups=20(staff),12(everyone),61(localaccounts),79(_appserverusr),80(admin),81(_appserveradm),98(_lpadmin),401(com.apple.sharepoint.group.1),33(_appstore),100(_lpoperator),204(_developer),398(com.apple.access_screensharing),399(com.apple.access_ssh)

L'appartenenza al gruppo com.apple.access_screensharing sembra corrispondere all'utente (o al gruppo di cui è membro) inclusa in questo elenco:

Quando ho creato un nuovo account standard, non era un membro del gruppo com.apple.access_screensharing per impostazione predefinita, ma dopo aver aggiunto l'account all'elenco precedente, è diventato membro del gruppo.

Allo stesso modo, l'appartenenza al gruppo com.apple.access_ssh sembra corrispondere all'utente incluso nell'elenco nella sezione Accesso remoto.

    
risposta data 14.12.2013 - 14:00
fonte
1

Cercherò di rispondere correttamente alla prima domanda (e non aspettare il ritardo avrei bisogno di fare una risposta corretta alla seconda domanda).

Quali sono i gruppi:

   398(com.apple.access_screensharing),
   399(com.apple.access_ssh)

per

Questi gruppi sono creati per separare i privilegi.

Per essere in grado di gestire l'accesso alle impostazioni di condivisione dello schermo, devi solo essere nel gruppo 398 . Non è necessario essere root , non è necessario essere nel gruppo wheel .

Questa è una buona politica di sicurezza. Questa separazione dei privilegi è reale miglioramento della sicurezza.

    
risposta data 14.12.2013 - 18:48
fonte

Leggi altre domande sui tag