Права доступа в MacOSX (Админ и рут)

Модератор: Модераторы разделов

ghost_u
Сообщения: 4
ОС: Macosx

Права доступа в MacOSX

Сообщение ghost_u »

Вообщем возникла ситуация:


Я как администратор своего компа хочу разделить права доступа админа и рута.

Т.е. у меня есть некий файл например в загрузке например com.default.plist

я хочу чтобы к нему был доступ только у рута, а админ пользователь не имел доступа удалять или модифицировать его, но при это осталась возможность инсталлировать программы из mac app store, а также менять конфигурацию в system settings

в файле sudoers я нашел вот такую вещь

Terminal # cat /etc/sudoers

# User privilege specification
root ALL=(ALL) ALL
%admin ALL=(ALL) ALL


вопрос если я удалю строку admin ALL=(ALL) ALL

произойдут какие то изменения в системе или нет

второй вопрос как решить эту задачу описаную выше.


заранее спасибо.
Спасибо сказали:
Аватара пользователя
Bizdelnick
Модератор
Сообщения: 20999
Статус: nulla salus bello
ОС: Debian GNU/Linux

Re: Права доступа в MacOSX

Сообщение Bizdelnick »

ghost_u писал(а):
19.01.2013 13:47
вопрос если я удалю строку admin ALL=(ALL) ALL

произойдут какие то изменения в системе или нет

Пользователи группы admin лишится прав выполнять какие бы то ни было действия от имени других пользователей, в том числе root. Не знаю, как оно там точно в OS X работает, но скорее всего это равносильно полному лишению административных привилегий кого бы то ни было кроме root. С равным (опять-таки, исходя из общих соображений, если что - макоеды поправят) успехом можно просто выкинуть всех пользователей из группы admin.
Пишите правильно:
в консоли
вку́пе (с чем-либо)
в общем
вообще
в течение (часа)
новичок
нюанс
по умолчанию
приемлемо
проблема
пробовать
трафик
Спасибо сказали:
ghost_u
Сообщения: 4
ОС: Macosx

Re: Права доступа в MacOSX

Сообщение ghost_u »

Bizdelnick писал(а):
19.01.2013 14:37
Пользователи группы admin лишится прав выполнять какие бы то ни было действия от имени других пользователей, в том числе root.



ну да так и получилось, но только это работает в bash. а визуально администратор ни как не повлиял т.е. я также могу удалять системные папки и файлы или модифицировать.

я поставил на папку LaunchDaemons привелегии 440 все ок как надо только ее все равно можно удалить : (

мне надо добиться такого чтоб эту папку можно были читать, но нельзя модифицировать или удалять.


У меня вопрос, а где можно модифицировать привелегии самого пользователя например Васи пупкина или надо модифицировать привелегии группы?
Спасибо сказали: