La carpeta de inicio tiene permisos de 'solo lectura' para todos

11

Me acabo de dar cuenta de que mi carpeta de inicio ( / HD / Users / Bob ) tiene los permisos Todos 'Solo lectura' establecidos en su nivel raíz.

Si busco esta carpeta desde otra cuenta, puedo ver las carpetas, pero no puedo abrir las carpetas estándar de OS X (Escritorio, Documentos, Música, Películas, etc.). Sin embargo, he creado un par de carpetas en el nivel de la raíz de mi carpeta de inicio, y los SON acceder a este otro usuario. Pueden abrir carpetas y abrir algunos de los documentos con acceso de solo lectura.

¿Alguien más está viendo esto? ¿Es esta una configuración estándar o mi Mac está jodida? Esto parece un agujero de seguridad para permitir a los usuarios acceder a los archivos de otros usuarios en el sistema.

Estoy ejecutando una versión bastante limpia de Yosemite 10.10.1, que se instaló hace aproximadamente un mes. Restablecí mis archivos viejos de un disco duro. No fueron restaurados a través de Time Machine

slidmac07
fuente

Respuestas:

2

Esta es la configuración de permisos estándar. La raíz de su carpeta de inicio es de lectura global, pero las carpetas estándar de OS X dentro, como Escritorio y Documentos, no deben tener acceso global. No dude en establecer los permisos de otras carpetas que cree en la raíz de su carpeta de inicio para que coincidan con los permisos de las carpetas estándar.

Si desea que las carpetas nuevas, de forma predeterminada, no tengan acceso global, cambie los permisos en la raíz de su carpeta de inicio, propague los permisos de forma recursiva y configure las ACL para heredar los permisos de las carpetas nuevas, sin embargo, no estoy seguro de los efectos que esto pueda tener. puede tener.

grg
fuente
1
Eso es tan interesante ... alguna idea de por qué es así? Parece una configuración extraña.
slidmac07
Entonces, antes de publicar aquí, cambié el acceso en el nivel raíz y lo propagué hacia abajo. Definitivamente arruinó mi computadora, y recomendaría a las personas que NO cambien las ACL aquí. Después de restaurar desde una copia de seguridad, decidí mover cualquier directorio que no sea de Apple a carpetas específicas de Apple
slidmac07
@ slidmac07 A menos que esté absolutamente seguro de saber lo que está haciendo, cambiar y propagar los permisos recursivamente puede ser peligroso, como descubrió.
douggro
1
@ganbustein: en UNIX pre-ACL normal, un directorio de solo ejecución es "transitable", pero no legible; el bit de lectura es necesario para enumerar los archivos en un directorio // Sí, un tipo malo podría sondear todos los nombres posibles, pero cualquier sistema de detección de intrusiones decente detectará dicho patrón de acceso y gritará dentro de poco. // Las buenas prácticas de seguridad pueden hacer que su directorio de inicio sea ~ transitable (solo ejecución) (idealmente solo para ~ / Public, etc.), ~ / Public legible por todos, y todos los demás archivos bajo ~ no legibles o transitables por defecto , incluidos los nuevos archivos.
Krazy Glew
1
Si todo el punto está haciendo que ~ / Public sea accesible, prefiero tener el directorio Public fuera de mi directorio de usuario, por ejemplo, mkdir / Users / Shared / <username> para cada usuario.
amdyes
5

Si desea que las carpetas nuevas en el nivel superior de su carpeta de inicio no sean legibles por nadie más que usted, agregue las siguientes dos ACL a su carpeta de inicio. NO PROPAGAR PERMISOS. La primera ACL hace que todas las carpetas nuevas sean ilegibles, no se puedan escribir y no puedan ser buscadas por todos. La segunda ACL hace una excepción para usted. Asegúrese de ingresarlos en este orden, para que la segunda entrada pueda empujarse hacia adelante.

chown +a "group:everyone deny list,add_file,search,add_subdirectory,delete_child,directory_inherit,limit_inherit,only_inherit" ~
chown +a# 0 "user:$USER allow list,add_file,search,add_subdirectory,delete_child,directory_inherit,limit_inherit,only_inherit" ~

Pero a decir verdad, es más fácil simplemente arreglar los permisos en cualquier subcarpeta que cree directamente debajo de su carpeta de inicio. Quiero decir, no es que vayas a hacer eso a menudo, ¿verdad?

Y además, ¿quién puede decir que quiere que estas nuevas carpetas sean leídas solo por usted? ¿Qué sucede si desea una carpeta que sea legible en grupo para algún grupo pero no legible en todo el mundo? Estas ACL heredadas solo se interpondrán en su camino.

Crear una carpeta de la parte superior de la carpeta de inicio debe ser un evento raro. Las soluciones ad hoc son mejores para eventos raros.

ganbustein
fuente
2
Sin embargo, algunos han llegado a MacOS desde UNIX y / o Linux, donde la creación de una parte superior de la carpeta de la carpeta de inicio o archivo es un evento común. Estos permisos predeterminados de Mac nos fastidian si seguimos trabajando como si estuviéramos en un sistema UNIX normal.
Krazy Glew
1

Wow, estaba bastante sorprendido cuando me di cuenta de esto.

Otra solución es bloquear el directorio de inicio para todos los demás:

chmod 700 ~

ManuelSchneid3r
fuente
Lo cual, como ya se dijo un año antes, hace que el nombre sea un mentiroso ~ / Public
WGroleau