Отключите Выполнение всех файлов в соответствии с каталогом OS X

Вы можете выполнить это через нюансы прав владельца и группы. Насколько я понимаю, OSX похожа на Linux?

Если вам все равно, могут ли пользователи создавать файлы или папки, вы можете показать все файлы другим пользователям, кроме них, что мешает им получить разрешение на выполнение с помощью chmod. Если файлы имеют вид 664 root: users и пользователь входит в группу пользователей, они могут редактировать файл по своему желанию.

Чтобы предотвратить создание файла пользователем (и, таким образом, владение им, возможность chmod it 7xx), вы можете chown каталогов другому пользователю, скажем chown Staff: каталог пользователей . Для этого нужен «штатный» пользователь. Вы можете chmod 555 (или 551 или 550) каталоги и 664 файлы. Но это не очень удобно ... каталоги должны быть исполняемыми для cd для них, читаемыми для ls их и с возможностью записи для создания или удаления файлов и подпапок. Эта политика несколько драконовская.

Или сделайте chmod и chown так, чтобы обычные пользователи не могли запускать их, чтобы сделать свои собственные файлы исполняемыми. Кто-то из группы «персонал» может использовать его, но не обычные пользователи, что является нормальным компромиссом:

# From:
/bin$ ls -alh ch*
-rwxr-xr-x 1 root root 59K Jan 26  2013 chgrp
-rwxr-xr-x 1 root root 55K Jan 26  2013 chmod
-rwxr-xr-x 1 root root 63K Jan 26  2013 chown

# To:
/bin$ ls -alh ch*
-rwxrwx--- 1 root staff 59K Jan 26  2013 chgrp
-rwxrwx--- 1 root staff 55K Jan 26  2013 chmod
-rwxrwx--- 1 root staff 63K Jan 26  2013 chown

Изучите, используя umask , чтобы узнать, есть ли способ запретить пользователям создавать файл с установленными разрешениями на выполнение. , которые в сочетании с указанными выше правами доступа к файлам могут избавить от глупого владения их каталогами.

Обратите внимание на каскадные эффекты при игре с разрешениями и попытайтесь представить все способы, которыми что-то может пойти не так или быть побежденным. Взломайте себя, чтобы увидеть, что произойдет.

Наилучшая гибкость - это сочетание некоторых из вышеперечисленных с осторожным использованием «липких» битов владельца и группы. Их можно настроить так, чтобы при создании файлов или каталогов пользователи они «держатся» унаследованной собственности. Я делаю это с помощью общего RAID-массива на нашем сервере Samba, чтобы мои сотрудники, работающие с Windows, имели надлежащий опыт.

Команда find - мощный инструмент, помогающий сделать следующее:

Изменить все подкаталоги с 500 до 770 прав (чтобы исправить предыдущую ошибку chmod -R ):

find . -type d -perm 500 -print0 | xargs -0 chmod 770

Измените все файлы ниже (и подкаталоги) с разрешениями с 644 на 664, что дает группе право редактировать файлы: отлично для веб-сервера файлы, отредактированные из Windows на общем ресурсе Samba:

find . -type f -perm 644 -print0 | xargs -0 chmod 664