È possibile creare un utente con tutti i diritti di amministratore * eccetto * la possibilità di interrompere un particolare processo e accedere ad una particolare cartella?

2

Su Windows, non è davvero fattibile. È possibile su linux con controllo di accesso obbligatorio (ad esempio). Così puoi avere un filtro web in esecuzione, ma il sudoer non sarebbe in grado di interferire con esso (almeno non senza un grande sforzo, potenzialmente rendendo il sistema inutilizzabile). Allo stesso tempo un sudoer può modificare praticamente tutto il resto.

Quali opzioni avrei su OS X per fare questo?

    
posta user27636 27.07.2018 - 00:54
fonte

1 risposta

1

Non riesco a vedere in alcun modo che tu possa realizzare ciò senza riscrivere il sistema operativo e i modelli di sicurezza.

  • L'accesso a una cartella specifica verrà gestito banalmente quando si crittografa il contenuto di una cartella o di un file e non si condivide la chiave per sbloccare i dati su APFS. Poiché non puoi impedire all'utente root di leggere un file o una cartella e l'utente admin può diventare root (questa è la definizione di utente Admin su macOS) quindi qualsiasi cosa un utente amministratore può impostare, un'altra può annullare.
  • La prevenzione della capacità di qualsiasi utente amministratore di inviare SIGKILL (o qualsiasi altro comando IPC interessante) a qualsiasi processo in corso sarà problematico tecnicamente senza modificare il sistema operativo stesso.

Il meglio che puoi fare è provare a fare affidamento su Gatekeeper e prevenire sudo dal tuo utente amministratore per questa eccellente domanda:

Non riesco a vedere un caso in cui non si dovrebbe semplicemente rendere l'utente non un amministratore e ritagliarsi un modo in cui possono fare qualsiasi cosa admin si desideri che facciano concedendo un accesso aggiuntivo e semplicemente non concedere lo stato di amministratore al utenti di cui non ti fidi.

    
risposta data 28.07.2018 - 22:04
fonte

Leggi altre domande sui tag