¿Es posible crear un usuario con todos los derechos de administrador *excepto* la capacidad de interrumpir un proceso en particular y acceder a una carpeta en particular?

En Windows, no es realmente factible. Es posible en Linux con control de acceso obligatorio (por ejemplo). Por lo tanto, puede tener un filtro web ejecutándose, pero el sudoer no podría interferir con él (al menos no sin mucho esfuerzo, lo que podría hacer que el sistema no funcione). Al mismo tiempo, un sudoer puede modificar prácticamente todo lo demás.

¿Qué opciones tendría en OS X para hacer esto?

Esta publicación puede ser útil: apple.stackexchange.com/questions/313373/…
He editado la parte en la que ni siquiera tiene una Mac; esto hará que le resulte más difícil juzgar qué respuesta funciona y también hace que esta sea más una pregunta teórica que algo práctico, pero es una gran pregunta y quizás algunos día tendrás macOS para jugar y podrás responder incluso mejor que nosotros. Es bastante amplio, pero una respuesta general podría ayudar a muchas personas.

Respuestas (1)

No veo ninguna forma de lograr esto sin reescribir el sistema operativo y los modelos de seguridad.

  • El acceso a una carpeta específica se manejará de manera trivial cuando cifres el contenido de una carpeta o archivo y no compartas la clave para desbloquear los datos en APFS. Dado que no puede evitar que el usuario root lea un archivo o carpeta, y el usuario administrador puede convertirse en root (esa es la definición de usuario administrador en macOS), por lo tanto, cualquier cosa que un usuario administrador pueda configurar, otro puede deshacer.
  • La prevención de la capacidad de cualquier usuario administrador para enviar SIGKILL (o cualquier otro comando IPC interesante) a cualquier proceso en ejecución será problemática técnicamente sin modificar el sistema operativo en sí.

Lo mejor que puede hacer es tratar de confiar en Gatekeeper y evitar sudoque su usuario administrador responda a esta excelente pregunta:

No puedo ver un caso en el que no haga que el usuario no sea un administrador y cree una forma en que pueda hacer cualquier cosa administrativa que desee que haga otorgando acceso adicional y simplemente no otorgando el estado de administrador a los usuarios que usted no No confíes.

¿Es posible crear un usuario con todos los derechos de administrador *excepto* la capacidad de interrumpir un proceso en particular y acceder a una carpeta en particular?
RespuestasAquíPolítica de privacidad1y, 0v