1 votos

P i avatar

¿Cómo es que no puedo ver /Users/foo/ desde un segundo usuario administrador, pero PUEDO verlos desde MacOS en otra partición?

Preguntado el 2 de Diciembre, 2022
Cuando se hizo la pregunta
60 visitas
Cuantas visitas ha tenido la pregunta
1 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

He estado intentando conseguir un MacOS limpio.

El primer esfuerzo fue crear un segundo usuario administrador. Me encontré con que userB no podía ver /Users/userA/*.

El segundo esfuerzo fue crear una segunda partición APFS, e instalar MacOS en ella (desde userA).

Ahora mi máquina arranca en macOS_new, y sorprendentemente puedo ver /Users/userA/* en macOS_orig.

Supongamos que de alguna forma hubiera creado esta nueva partición APFS e instalado MacOS desde fuera de del usuarioA... ¿seguirían siendo visibles para mí los archivos del usuarioA? Si es así, ¡seguramente es un enorme agujero de seguridad! Así que asumo que no.

Si no es así, ¿cuál es la magia que permite a macOS_nuevo ver los archivos de macOS_orig/usuarioA?

MacOS original:

> ls -lde /Volumes/TB/Users/pi/
drwxr-xr-x+ 111 pi  staff  3552  1 Dec 10:52 /Volumes/TB/Users/pi/
 0: group:everyone deny delete

> ls -ldne /Volumes/TB/Users/pi/
drwxr-xr-x+ 111 501  20  3552  1 Dec 10:52 /Volumes/TB/Users/pi/
 0: ABCDEFAB-CDEF-ABCD-EFAB-CDEF0000000C deny delete

Nuevo MacOS:

> ls -lde /Users/pi/
drwxr-x---+ 21 pi  staff  672  1 Dec 15:17 /Users/pi/
 0: group:everyone deny delete

> ls -ldne /Users/pi/
drwxr-x---+ 21 501  20  672  1 Dec 15:17 /Users/pi/
 0: ABCDEFAB-CDEF-ABCD-EFAB-CDEF0000000C deny delete
Preguntado el 2 de Diciembre, 2022 por P i

Respuesta

¿Demasiados anuncios?

2voto

Jose Chavez avatar
Jose Chavez Puntos 645

Tú escribes:

Supongamos que de alguna manera hubiera creado esta nueva partición APFS e instalado MacOS desde fuera del usuarioA... ¿seguirían siendo visibles para mí los archivos del usuarioA?

Y la respuesta es sí, serían visibles para usted, suponiendo que el original no esté cifrado con una clave que no esté a su disposición al arrancar en la otra instalación de MacOS.

Si es así, se trata de un enorme agujero de seguridad.

La respuesta es no, en realidad no es un enorme agujero de seguridad. Así es como funcionan los sistemas de archivos en cualquier sistema operativo de cualquier ordenador.

Si no encripta los datos, estarán disponibles para su lectura cuando tenga acceso físico a ellos.

En términos muy básicos, el sistema operativo MacOS limita lo que los usuarios no administrativos pueden hacer - esto incluye la lectura de archivos que no les pertenecen. Esto se gestiona añadiendo información de propiedad a cada archivo almacenado en el sistema de archivos, y comparándola con el usuario actual cuando se solicita la lectura de un archivo.

En muchos sistemas operativos, la propiedad de los usuarios no se almacena por nombres de usuario, sino por identificadores de usuario. El identificador de usuario suele ser un número asignado cuando se crea el usuario. En MacOS, al primer usuario creado se le suele asignar el número 501, al segundo usuario el número 502, y así sucesivamente.

Cuando monte el sistema de archivos creado por la antigua instalación de macOS en su nueva instalación de macOS, el sistema operativo intentará imponer las mismas restricciones. Sin embargo, la propiedad del archivo de, por ejemplo, "501" podría significar ahora un usuario completamente diferente, o podría, como en tu caso, pasar a ser un usuario llamado igual. Eso depende totalmente del orden en que hayas creado los usuarios.

Todo esto es muy "no sorprendente", y de ninguna manera indica que hay un agujero de seguridad en el sistema operativo, un error o algo por el estilo. Así es como los sistemas de archivos han funcionado durante décadas en muchos sistemas operativos diferentes.

Si quieres evitarlo, deberás encriptar tus datos.

Nota: Puede "saltarse" las restricciones impuestas simplemente accediendo a los archivos con un superusuario (un usuario admin). Usando el Terminal, podrías intentar ver el contenido de un archivo como este:

less /Volumes/TB/Users/pi/secret.txt

y se le denegará el acceso al archivo debido a la propiedad y los permisos del mismo. Sin embargo, si inicia sesión como un usuario con derechos de administrador, puede simplemente añadir en sudo al comando, así:

sudo less /Volumes/TB/Users/pi/secret.txt

A continuación, se te pedirá tu (propia) contraseña y podrás leer el archivo. No necesitas la contraseña de ese "otro usuario" para leer el archivo.

Respondido el 3 de Diciembre, 2022 por Jose Chavez (645 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X