¿Por qué está bien que OS X omita ignorar la propiedad en volúmenes externos?

Navega tus respuestas
0

Acabo de descubrir este hecho esta noche y me quedé impresionado por ello. ¿No es eso un defecto de seguridad enorme? Me doy cuenta de que una unidad externa es menos segura en virtud del hecho de que alguien podría simplemente tomar la unidad y trasladarla a una máquina diferente. Al ver esto un poco diferente, es posible cambiar el comportamiento predeterminado de OS X, pero este cambio se observa en realidad en la unidad interna (de arranque), no en la unidad externa. Por lo tanto, cualquiera podría llevar la unidad de una máquina, que tiene esto habilitada, a otra máquina, que en cambio tiene el valor predeterminado para esta unidad, y omitir por completo los permisos. Esto se agrava por el hecho de que, incluso si la unidad está cifrada con FileVault, el problema persiste, porque la contraseña para el volumen podría estar en el llavero del sistema en el otro dispositivo. (Después de todo, es posible que otro usuario necesite y tenga un derecho legítimo para acceder a los archivos. ¡Pero ahora el sistema operativo está permitiendo que el usuario realice una ejecución final alrededor de eso!) Ah, y aparentemente cambiar el comportamiento predeterminado ni siquiera está protegido, ¡por lo tanto, un usuario que no sea administrador puede simplemente revertir a los permisos predeterminados y omitidos en la misma máquina!

Al leer un poco más tratando de comprender lo que estaba pasando aquí, encontré un artículo que hace la afirmación" Las unidades que almacenan datos no usan permisos y propiedad. De hecho, no deberían usar permisos ". ¡Esto me pareció bastante extraño! ¿Por qué no deberían las unidades que almacenan datos usar permisos? ¿Cuáles son los permisos para, si no, proteger los datos de usuarios no autorizados? Incluso si no hay una intención maliciosa, todavía existe la verdadera preocupación de un daño accidental.

Todavía estoy tratando de comprender todo esto, ya que parece ir en contra de todos los principios de seguridad de la información que tomé como un hecho. Estoy buscando una explicación de por qué lo que está haciendo OS X está bien, o si no, ¿qué puedo hacer en OS X para mitigar esta amenaza potencial?

    
pregunta Michael 06.11.2014 - 05:00
fuente

1 respuesta

1

El problema es que la propiedad de un archivo se expresa mediante el UID del usuario propietario (y el GID del grupo).

El UID generalmente se genera localmente cuando se crea una cuenta de usuario. Si tiene cuentas en máquinas diferentes, en muchos casos tendrá UID diferentes. (A menos que tenga un registro central de usuarios para todas las máquinas en cuestión)

Por lo tanto, si crea un archivo en una máquina y adjunta la unidad a otra en la que tiene una cuenta con el mismo nombre, en muchos casos no le "pertenecerá".

Incluso si OS X gestionara la propiedad basada en el nombre de usuario en lugar de UID, ¿cómo puede saber que el usuario "tom" en una máquina es la misma persona que "tom" en otra?

Es cierto que ignorar la propiedad es tomar una salida cobarde, pero hacerlo correctamente no es nada fácil, especialmente si, como usted dice, otros pueden tener un derecho legítimo de acceder a los datos.

    
respondido por el Thomas Stets 06.11.2014 - 07:44
fuente

Lea otras preguntas en las etiquetas

¿Debería preocuparse uno por usar una versión obsoleta de Firefox? [duplicar] ¿Está openVZ parcheado contra todas las vulnerabilidades para su versión actual del kernel?