Quelles sont les implications pour la sécurité de “chmod a + rx ~ / Documents”?

Pour que Apache sous Mac OS X Lion fonctionne avec des liens symboliques, je devais suivre les instructions de cette page: https://discussions.apple.com/thread/1771399?threadID=1771399

Une des choses que je dois faire est d'exécuter

chmod a+rx ~/Documents

La permission résultante de mon dossier Documents ressemble à ceci:

drwxr-xr-x+ 27 enchilada  staff    918 13 apr 11:36 Documents

Cela fonctionne bien. Maintenant, Apache peut bien suivre les liens symboliques. Cependant, ma question est la suivante: cela pose-t-il des risques graves pour la sécurité que je devrais connaître?

— Enchilada
source

Cela permettra à n'importe quel compte utilisateur de votre système d'entrer dans le répertoire indiqué et d'en lister le contenu, y compris les autres utilisateurs de votre Mac, y compris le compte Invité, s'il est activé.

Cela n'affectera pas vos fichiers lors de la modification ou de la destruction des données, et ne donne pas en soi l'autorisation de lire les fichiers. Mais comme les autorisations d'accès aux fichiers par défaut permettent de tout lire et d'entrer dans des répertoires pour tous les utilisateurs, à moins que vous ne l'empêchiez expressément, vous pouvez les lire et les copier. (Il est également bon de savoir que les nouveaux répertoires de niveau supérieur ~sont accessibles par défaut à tout le monde sur OS X!)

Certains programmes utilisent des comptes d'utilisateurs spéciaux sans privilège comme mesure de sécurité. En faisant cela, vous allez probablement contourner la protection inhérente à cela.

À moins que vous ne trouviez un logiciel buggé (qui pour les ordinateurs de bureau et les ordinateurs portables est beaucoup plus susceptible de fonctionner sous un utilisateur) ou que vous partagez une grande partie de votre répertoire de départ ou de votre système de fichiers par d'autres moyens, ce ne sera pas un problème réel.

En ce qui concerne ces instructions, elles sont probablement trop permissives.

Il devrait suffire de rendre tous les répertoires du chemin, par exemple, ~/Documents/testexécutables. C'est pourquoi vous pouvez entrer dans les répertoires personnels des autres utilisateurs. sinon vous n'iriez pas ~/Sitesou ~/Public.

Il suffit de lancer chmod a+x ~/Documents(n'importe quel utilisateur peut entrer dans le répertoire) et chmod a+rx ~/Documents/test(tous les autres utilisateurs peuvent entrer et lire le répertoire que vous voulez rendre accessible via Apache) et voir si cela fonctionne.

— Daniel Beck
source

En réalité, changer l'utilisateur ou le groupe pour celui utilisé par le processus de serveur Apache et attribuer les droits appropriés en résulterait. En outre, IIRC, a+rxsur un répertoire tout utilisateur doit donner le droit de modifier dans ce répertoire (x) , pas les subdirs, et de lire la liste des fichiers (r) de ce répertoire, pas le contenu des fichiers qu'il contient. (Que les fichiers aient des droits de lecture définis et que leur lecture pourrait être empêchée en ne définissant pas x dans le

— répertoire

@ zpea Oui, j'ai vu un -Rendroit où il n'y en avait pas. Va ajuster ma réponse. Merci!

— Daniel Beck

@ Enchilada Essayez d'utiliser les ACL. Exécuter sudo -u _www ls /Users/username/Documentspour voir un message d'erreur, car _wwwn'est pas autorisé à lister /Users/username/Documents. Courez chmod +a "_www allow list,search" ~/Documentset essayez à nouveau. Répétez au besoin. ls -emontrera ces ACL, man chmodcontient une explication plus détaillée et des exemples.

— Daniel Beck

@Enchilada Ces publications font du _wwwcompte système interne le propriétaire des fichiers et des dossiers en question. Si vous le faisiez, vous ne pourriez plus accéder ni écrire dans votre dossier Documents. Mon conseil vous conserve le propriétaire et ajoute simplement une règle supplémentaire _wwwau dossier. Vérifiez en utilisant ls -l ~/Documents.

— Daniel Beck

@Enchilada Cela empêchera simplement les autres utilisateurs de la machine d'accéder par exemple à un staffgroupe. Le propriétaire et le groupe sont indépendants. Le meilleur match s'applique. Vous pouvez même interdire l'accès au groupe "propriétaire" mais autoriser les "autres", mais cela n'est utile que si l'appartenance à un groupe ne peut être réaffectée que par les administrateurs.

— Daniel Beck