O melhor pedaço da Maçã.

Segurança no mundo Apple: protegendo a pasta do usuário

Pasta Home do usuário

Sabemos que nem todos os usuários possuem conhecimentos e interesse em assuntos técnicos, e foi essa a grande sacada de Steve Jobs: facilitar o dia-a-dia das pessoas fazendo com que tecnologias complexas se tornem funcionais e de simples manuseio. Produtos da Apple implementam com maestria soluções que aumentam o nível de segurança do sistema e, consequentemente, a segurança do usuário. Entretanto, existem assuntos relacionados a segurança que envolvem diretamente o manuseio da ferramenta, e essas boas práticas estão sendo apresentadas nesta série de artigos.

Publicidade

Camadas de segurança minimizam os riscos de vulnerabilidade do sistema, sejam eles gerados por ataques externos ou falta de conhecimento no manuseio da ferramenta. A equipe de desenvolvimento da Apple trabalha para minimizar estes problemas, entretanto, por questões culturais e pelos diferentes níveis de usuários e necessidades, a Apple não restringe por completo as permissões do usuário administrador do OS X, embora na minha opinião muitas vezes essa atitude possa ser a melhor solução — dependendo do cenário.

Um bom exemplo sobre restrições é o iOS, que, por ser um equipamento de consumo com foco no dia-a-dia do proprietário, existem restrições de acesso e manuseio da ferramenta, tornando-o um sistema seguro e livre de malwares (exceto casos onde o usuário opta por jailbreak). Ninguém quer ter dificuldades no seu celular no momento de uma emergência, ou ser surpreendido ao ver que sua lista de contatos vazou do dispositivo.

No OS X, restrições são controladas pelo nível de privilégio que um usuário possui sobre um objeto (diretório ou arquivo). Cada usuário do sistema possui uma pasta chamada Home, onde são armazenados arquivos e informações (perfil) relacionados ao usuário proprietário da pasta. O caminho padrão para armazenamento das pastas dos usuários é /Users. O ~ (til) representa o caminho completo da pasta Home do usuário logado naquele momento; vamos supor que meu usuário se chama João e eu esteja logado, o ~ representará então o caminho /Users/joao/.

Pasta Home do usuário

Por padrão a raiz da pasta Home possui permissão de leitura para todos do sistema (grupo e todos os outros). Essa permissão existe para que alguns sub-diretórios possam desempenhar as suas funcionalidades:

Publicidade
  • ~/Public — Utilizado para compartilhar arquivos entre usuários locais e compartilhamento de rede (grupo e todos: somente leitura);
  • ~/Public/Drop Box — Utilizado para receber arquivos postados por usuários locais e compartilhamento de rede (grupo e todos: somente gravação);
  • ~/Sites — Utilizado para armazenar arquivos que são publicados através do Compartilhamento Web, no Lion este diretório será criado ao habilitar o serviço.

Demais pastas — como por exemplo ~/Documents, ~/Library, ~/Desktop, etc — são restritas ao proprietário da pasta Home e cabe a ele conceder acesso aos demais.

Publicidade

O problema ocorre quando alguns usuários, por falta de conhecimento, gravam arquivos, sejam eles confidenciais ou não, na raiz da sua pasta Home. E como ela, por padrão, possui permissão de leitura, todos os usuários locais do sistema conseguem visualizar e copiar os arquivos até então desprotegidos.

Sabemos que todos os usuários criados no sistema participam de um grupo chamado “staff” e que os serviços (daemons) de Compartilhamento de Arquivos e Compartilhamento Web não estão dentro de tal grupo.

Desta forma, se você não pretende usar a funcionalidade do diretório ~/Public e ~/Public/Drop Box para usuários locais (uma alternativa seria o diretório /Users/Shared), recomenda-se remover os privilégios do grupo “staff”. E se você não for utilizar o serviço de Compartilhamento de Arquivos e Compartilhamento Web, recomenda-se remover os privilégios de todos os outros (everyone).

Publicidade

No Terminal digite:

[code lang=”cpp”]chmod g-rx ~[/code]

…para remover as permissões do grupo staff.

[code lang=”cpp”]chmod o-rx ~[/code]

…para remover as permissões de todos os outros.

[code lang=”cpp”]chmod go+rx ~[/code]

…caso você queira retornar com as permissões padrão.

·   ·   ·

Bem pessoal, lembre-se: nunca salvar arquivos na raiz da pasta Home. Espero ter ajudado!

Ver comentários do post

Compartilhe este artigo
URL compartilhável
Post Ant.

Pobre RIM: já está perdendo para a Apple até no Canadá, sua terra natal

Próx. Post

Já são hoje mais de 220 modelos de tablets no mercado, mas Apple deverá continuar liderando por um bom tempo

Posts Relacionados