Problemas de permissão do usuário no OS X

Navegue suas respostas
2

[OS X 10.9.4] Três perguntas, mas na verdade são todas parte da mesma coisa.

A máquina tem um usuário administrativo e um usuário limitado (além de raiz interna e usuário convidado). Eu sou realmente o único usuário, mas, por motivos de segurança, prefiro usar um login com privilégios limitados. Isso levanta vários problemas quando tento trabalhar sob o capô.

  1. Se eu sudo Administrator do login do usuário limitado, um pw é solicitado. Mas o pw do Admin é rejeitado. Eu não consigo descobrir por que ou o que fazer sobre isso.

  2. Quando eu faço login como administrador e tento atualizar um aplicativo (do Terminal) que foi instalado a partir do login admin para usr / local / bin / ..., a operação é negada porque eu (Administrador) don não tem permissões de gravação para os diretórios necessários. Mas eles são usr / locais / diretórios, e eu já instalei lá, então como eu poderia não ter privilégios suficientes?

  3. Eu não quero colocar o usuário limitado na lista de sudoers, porque isso comprometeria a estrutura de segurança, mas eu gostaria de fazer algumas coisas administrativas a partir do login do usuário limitado. No Windows, o UAC permite isso; e no KDE / Fedora, eu posso fazer isso (muito parecido com o Windows). Não consigo encontrar nada comparável no OS X. Existe?

por Joseph_N 24.09.2014 / 20:49

1 resposta

1

Parte 1

Suponho que você esteja fazendo algo como sudo -u admin_user some_command... (executar some_command as admin_user ). Você mencionou que não colocou o usuário limitado na lista de sudoers; portanto, o usuário limitado não poderá invocar sudo em todos os . Pedir a senha é apenas uma formalidade e ela rejeitará a tentativa, não importa o que você digita. Eu não sei porque foi projetado dessa maneira, mas é assim que funciona. Você precisa adicionar uma entrada sudoers permitindo que o usuário limitado invoque sudo como usuário administrativo. Ou use apenas su , que não deve exigir nenhuma configuração desse tipo.

Esta é uma linha de /etc/sudoers que você pode usar: 

# From left to right: allow limited_user, from any host, to
# sudo as admin_user and run any command.
limited_user ALL=(admin_user) ALL

Observe, no entanto, que sudo solicitará a senha de limited_user , não admin_user . Por outro lado, su solicitará a senha de admin_user .

Veja man 5 sudoers para mais informações sobre /etc/sudoers . Esteja avisado: as descrições da sintaxe são muito complicadas.

Parte 2

No que diz respeito à parte Unix / BSD do OS X, os administradores não são diferentes de qualquer outro usuário. Se /usr/local/bin for de propriedade da raiz e tiver as habituais permissões rwxr-xr-x, você precisará ser root (ou seja, tornar-se root via sudo ) para gravar nele, independentemente dos privilégios que o System Preferences tenha. Você não disse o que você instalou ou como você o instalou, mas se ele pedisse uma senha, então sudo provavelmente era usado.

Parte 3

A maneira usual do Unix de permitir acesso limitado a usuários não-root a certas partes do sistema de arquivos é usar grupos. Não tenho certeza de qual sistema semelhante ao UAC você está se referindo no Fedora / KDE, mas se não é o SELinux ou ACLs, então é o gerenciamento de usuários e grupos. Eu não posso falar como funciona o controle de acesso do Windows.

Por exemplo, se você quiser conceder acesso de admin_user e limited_user a /usr/local/bin , crie um grupo installation em Preferências do sistema (Usuários e contas), adicione admin_user e limited_user para ele e, em seguida, chown root:installation /usr/local/bin; chmod ug+rwx /usr/local/bin . /usr/local/bin terá, então, as permissões rwxrwxr-x (leitura / escrita / lista do proprietário, leitura / gravação / lista do grupo, outros somente leitura / lista).

Pode haver uma maneira mais específica do Mac de fazer o que acabei de descrever. Minha experiência é limitada a sistemas mais tradicionais * nix.

    
por 25.09.2014 / 08:55

Tags

Usando apenas 3.3GB, mas tenho 8GB de RAM, mesmo no Ubuntu 14.04 64bit rsync dir-merge afetado por filtros em local e remoto