¿Es seguro eliminar los permisos de lectura, escritura y ejecución para 'otros' recursivamente en el directorio principal?

3

Me gustaría recibir consejos sobre si sería seguro bloquear a los usuarios que no están en el grupo apropiado para que no accedan a mi directorio de inicio. Tengo algunos servidores que se ejecutan en mi Mac (10.9) con una cuenta diferente, y deseo disminuir las consecuencias de que un pirata informático explote uno de ellos impidiendo que esta cuenta acceda a cualquiera de mis archivos personales.

Tengo la intención de usar permisos de archivo para esto, pero me preocupa que esto pueda romper algo, al impedir que los procesos del sistema hagan lo que necesitan. Idealmente, me gustaría bloquear a todos menos a la raíz y mi cuenta principal para que no acceda al directorio principal de mi cuenta principal, con chmod -R o-rwx ~ .

¿Alguien sabe si esto causaría algún problema, y también si sería efectivo para evitar que otras cuentas (que no son sudo, y no son administradores en las Preferencias del Sistema, pueden ser lo mismo, no estoy seguro) de acceder a estas archivos, excluyendo una vulnerabilidad EoP?

    
pregunta Serverus 13.12.2014 - 20:28

4 respuestas

1

Eso depende de lo que se ejecuta en el servidor. Si tiene un servidor web ejecutando y sirviendo el contenido de otros usuarios desde sus directorios de inicio, el servidor web no podrá leer esos archivos.

Al tomar esta decisión, el grupo al que pertenecen los usuarios también es importante. Si todos los usuarios son miembros del grupo de personal, por ejemplo, y si los directorios principales tienen permisos de lectura y ejecución para ese grupo, otros usuarios aún podrán acceder a esos directorios.

Sin embargo, en general, debería ser seguro y probablemente incluso el método preferido.

    
respondido por el Mehmet 13.12.2014 - 21:25
0

Nunca cambiaría los permisos de forma recursiva en un directorio de usuarios. Esto puede romper demasiadas cosas, especialmente en la carpeta ~/Library .

La estructura de permisos de OS X es bastante robusta y solo permite a usuarios privilegiados o procesos acceder a directorios / archivos. Los usuarios administradores siempre pueden sudo para afectar los cambios (como miembros de la lista sudoers ), pero normalmente se les impide el acceso a los directorios personales de otros usuarios que no sean la carpeta pública o cualquier carpeta compartida a través del uso compartido de archivos.

El firewall frente a su sistema será un método más seguro para bloquear el acceso a los piratas informáticos.

    
respondido por el douggro 13.12.2014 - 22:46
0

A menos que lo haya cambiado (o habilitado el uso compartido), solo los usuarios de su grupo deberían tener acceso de lectura, pero no veo ningún daño en la eliminación de permisos para others

    
respondido por el Milliways 13.12.2014 - 22:56
0

Su enfoque es perfectamente seguro y se utiliza como una regla básica para proteger cualquier sistema de archivos Unix. Este enfoque lo protegerá de cualquier acceso de cuenta que no sea administrador y lo protegerá para que no se convierta en un área de depósito para el crapware que proviene de otras cuentas. El directorio uniq que es relevante para obtener un derecho de acceso other es:

Public/Drop Box

Por eso te aconsejo que evites un básico:

chmod -R o-rwx

y prefiera:

cd
find . \( -path "./Public/Drop Box" -prune \) -o \( -perm +0007 -ls \)

para comprobar lo que modificará y luego:

cd
find . \( -path "./Public/Drop Box" -prune \) -o \( -perm +0007 -exec chmod o-rwx {} \}

Si algún software puede romperse, entonces este software es un problema de seguridad o un crapware. Es una buena idea detectar estas debilidades lo antes posible.

Observe umask shell builin para evitar la aparición de archivos con cualquier tipo de acceso other .

    
respondido por el daniel Azuelos 14.12.2014 - 00:14

Lea otras preguntas en las etiquetas