Me gustaría recibir consejos sobre si sería seguro bloquear a los usuarios que no están en el grupo apropiado para que no accedan a mi directorio de inicio. Tengo algunos servidores ejecutándose en mi Mac (10.9) con una cuenta diferente y deseo disminuir las consecuencias de que un hacker explote uno de ellos evitando que esta cuenta acceda a mis archivos personales.
Tengo la intención de usar permisos de archivo para esto, pero me preocupa que esto pueda romper algo al bloquear los procesos del sistema para que no hagan lo que necesitan. Idealmente, me gustaría bloquear todo menos el root y mi cuenta principal para que no accedan al directorio de inicio de mi cuenta principal, con chmod -R o-rwx ~.
¿Alguien sabe si esto causaría algún problema, y también si sería efectivo para evitar que otras cuentas (que pueden no sudo, y no son administradores en Preferencias del Sistema, estos pueden ser los mismos, no estoy seguro) accedan a estos archivos, excluyendo una vulnerabilidad EoP?
Eso depende de lo que se esté ejecutando en el servidor. Si tiene un servidor web ejecutándose y sirviendo el contenido de otros usuarios desde sus directorios de inicio, el servidor web no podrá leer esos archivos.
A la hora de tomar esta decisión también es importante el grupo al que pertenecen los usuarios. Si todos los usuarios son miembros del grupo de personal, por ejemplo, y si los directorios de inicio tienen permiso de lectura y ejecución para ese grupo, otros usuarios aún podrán acceder a esos directorios.
Sin embargo, en general debería ser seguro y probablemente incluso el método preferido.
Nunca cambiaría los permisos recursivamente en un directorio de usuarios. Esto puede romper demasiadas cosas, particularmente en la ~/Librarycarpeta.
La estructura de permisos de OS X es bastante robusta y solo permite el acceso de usuarios o procesos privilegiados a directorios/archivos. Los usuarios administradores siempre pueden sudorealizar cambios (como miembros de la sudoerslista), pero normalmente se les bloquea el acceso a los directorios de inicio de otros usuarios que no sean la carpeta Pública o cualquier carpeta compartida a través de Compartir archivos.
Cortafuegos frente a su sistema será un método más seguro para bloquear el acceso a los piratas informáticos.
A menos que lo haya cambiado (o habilitado el uso compartido), solo los usuarios de su grupo deberían tener acceso de lectura, pero no veo ningún daño en eliminar los permisos paraothers
Su enfoque es perfectamente seguro y se utiliza como regla básica para proteger cualquier sistema de archivos Unix. Este enfoque lo protegerá de cualquier acceso a la cuenta que no sea de administrador y lo protegerá de convertirse en un área de depósito para crapware proveniente de otras cuentas. El directorio uniq que es relevante para obtener un otherderecho de acceso es:
Public/Drop Box
Por eso te aconsejo que evites un básico:
chmod -R o-rwx
y prefieren:
cd
find . \( -path "./Public/Drop Box" -prune \) -o \( -perm +0007 -ls \)
para comprobar lo que va a modificar, y luego:
cd
find . \( -path "./Public/Drop Box" -prune \) -o \( -perm +0007 -exec chmod o-rwx {} \}
Si algún software puede romperse, entonces este software es un problema de seguridad o un crapware. Es una buena idea detectar estas debilidades lo antes posible.
Fíjese en umaskla construcción de shell para evitar la aparición de archivos con cualquier tipo de otheracceso.
dan