アカウント名:
パスワード:
パーミッションで実行権限を付与しても ACL で実行権限が落とされていると、普段のクセで ls -l して確認後に ./foo.sh とかやっても実行できなくて悩むとか、そういうオチでしょうか。
管理の都合上 default deny に倒した後で、LDAP の登録情報に従ってグループで ACL を利用して読み込み権限を付与するようなやり方を行うと -r に失敗してくれたりするのですよね。当然話を -x にしても同じです。
DAC (パーミッション)、MAC (SELinux)、ACL と既存機能の間で全く整合性が取れていないのです。こういう点は非合理的じゃないですか?
なお、Windows で NTFS であれば、ダウンロード先フォルダやマイドキュメントなどから読み取りと実行の権限を外したり、実行の拒否を設定して子孫継承させておくだけで、結構簡単に安全にできるように思います。.exe は実行されないけれど、.doc ダブルクリックなどは通用しますので。
単純に読み取りと実行を拒否にしようとすると読み取りまで拒否されるので、詳細設定の方から実行権限だけ拒否ですね。
失礼。確かにフォルダだと実行だけではなく閲覧まで禁止されますね。まさにディレクトリの実行ビットを落とした扱いで……。 orz
フォルダではなくファイルで確認していました。ファイルだと実行権限のみ落とせるのですが。
で、別のやり方としては、ローカルセキュリティポリシーのソフトウェアの制限ポリシーに以下のような設定を入れるといけます。基本はデフォルトの規則のまま、通常通りアプリケーションが実行できる状態にしておきます。その上で、追加の規則で以下のような設定を入れます。
これらに加えてデスクトップやダウンロードファイルの保存先などに制限しないポリシーを必要に応じて追加する形でしょうか。
My Documents 単位で止めずにユーザプロファイルフォルダ単位で止めることで、「とりあえず実行してみる」パターンを抑えつつ、デスクトップ等を許容することで必要に応じて実行できるようにできます。
家庭向け製品だと適用できませんが、ビジネス向けなら有効な手段だと思います。ビジネス向けの場合はグループポリシーの同じ項目から、でしょうか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
ファイル名の表示なんて見ない (スコア:2, 興味深い)
ファイル名表記で確認するなんて、「○○.txt .exe」で懲りてないのか、なんて思ったり。
Re:ファイル名の表示なんて見ない (スコア:2, すばらしい洞察)
何10年経っても変わらないんだうけど。
Re:ファイル名の表示なんて見ない (スコア:0, 余計なもの)
ここ以降 [srad.jp]にあるUNIX系のは非合理的の極みだし、旧Macのファイルタイプ&クリエイター方式は分かりやすいけど運用がめんどくさい。
実際にはそれほどの手間じゃないけどクリエイターを一元管理するためにAppleに登録する必要があったしね。
分かりやすさと合理性と運用面の落としどころで、今以上の構想があるなら特許でも取れば?
Re:ファイル名の表示なんて見ない (スコア:1)
どこがどう非合理的なんだか。
拡張子みてどうこうするより、はるかに合理的
Re:ファイル名の表示なんて見ない (スコア:1)
パーミッションで実行権限を付与しても ACL で実行権限が落とされていると、普段のクセで ls -l して確認後に ./foo.sh とかやっても実行できなくて悩むとか、そういうオチでしょうか。
管理の都合上 default deny に倒した後で、LDAP の登録情報に従ってグループで ACL を利用して読み込み権限を付与するようなやり方を行うと -r に失敗してくれたりするのですよね。当然話を -x にしても同じです。
DAC (パーミッション)、MAC (SELinux)、ACL と既存機能の間で全く整合性が取れていないのです。こういう点は非合理的じゃないですか?
なお、Windows で NTFS であれば、ダウンロード先フォルダやマイドキュメントなどから読み取りと実行の権限を外したり、実行の拒否を設定して子孫継承させておくだけで、結構簡単に安全にできるように思います。.exe は実行されないけれど、.doc ダブルクリックなどは通用しますので。
Re:ファイル名の表示なんて見ない (スコア:1)
単純に読み取りと実行を拒否にしようとすると読み取りまで拒否されるので、詳細設定の方から実行権限だけ拒否ですね。
Re:ファイル名の表示なんて見ない (スコア:0)
Re:ファイル名の表示なんて見ない (スコア:1)
失礼。確かにフォルダだと実行だけではなく閲覧まで禁止されますね。まさにディレクトリの実行ビットを落とした扱いで……。 orz
フォルダではなくファイルで確認していました。ファイルだと実行権限のみ落とせるのですが。
で、別のやり方としては、ローカルセキュリティポリシーのソフトウェアの制限ポリシーに以下のような設定を入れるといけます。基本はデフォルトの規則のまま、通常通りアプリケーションが実行できる状態にしておきます。その上で、追加の規則で以下のような設定を入れます。
これらに加えてデスクトップやダウンロードファイルの保存先などに制限しないポリシーを必要に応じて追加する形でしょうか。
My Documents 単位で止めずにユーザプロファイルフォルダ単位で止めることで、「とりあえず実行してみる」パターンを抑えつつ、デスクトップ等を許容することで必要に応じて実行できるようにできます。
家庭向け製品だと適用できませんが、ビジネス向けなら有効な手段だと思います。ビジネス向けの場合はグループポリシーの同じ項目から、でしょうか。