Pregunta:
Ante la noticia de que ahora existe un ransomware para mac , pensé en la seguridad de mis copias de seguridad de la máquina del tiempo.
permisos
Primero, eché un vistazo a los permisos de los archivos que residen en mi timecapsule, que son los siguientes:
Directorio de datos
Usuario (desconocido) Leer y escribir
Grupo (todos) Leer y escribir
Sparsebundles individuales por computadora respaldada dentro de Data Directory
Usuario (desconocido) Leer y escribir
Grupo (personal) Leer y escribir
Grupo (todos) Leer y escribir
Parece que hay margen de mejora aquí. Primero, no entiendo por qué aparece un usuario desconocido. ¿Hay alguna razón para esto o puedo eliminar este elemento? En segundo lugar, ¿hay alguna necesidad de otorgar permisos de lectura y escritura a "todos" y al "personal"?
Si entiendo correctamente, las copias de seguridad de Time Machine son ejecutadas por el proceso de copia de seguridad , que, en mi computadora, se ejecuta como usuario raíz . Por lo tanto, parece que solo el usuario raíz debe tener acceso de lectura y escritura. ¿Es eso correcto? ¿Puedo eliminar los permisos existentes y agregar un usuario "raíz" con permisos de lectura y escritura?
Por último, ¿proporcionaría este cambio una nueva línea de defensa contra el ransomware? Si un ransomware se ejecuta como un usuario normal X y no obtiene la raíz, podría encriptar todos los archivos a los que X tiene acceso de escritura, pero no podría encriptar las copias de seguridad de la máquina del tiempo, porque solo la raíz tiene acceso a ellos. ¿Es correcta esta línea o razonamiento?
Ejecutando OSX El Capitán, 10.11.3.
Respuesta:
Actualización después de la discusión con bmike (ver más abajo)
Durante una copia de seguridad real de Time Machine, la copia de seguridad monta dos recursos compartidos. /Volumes/Whatever y /Volumes/Time Machine Backups. Mientras que el primero no puede ser accedido por un usuario que no sea root, el segundo sí puede. De hecho, es posible borrar las ACL de los archivos y sobrescribirlos posteriormente. Así que el tema de la seguridad está abierto de par en par.
respuesta original
Pensando un poco más en el sistema de montaje subyacente, llegué a la conclusión de que mi pregunta original contenía una suposición equivocada, cuya eliminación quizás haga que la pregunta quede obsoleta. Decidí escribir una respuesta en lugar de eliminar la pregunta en beneficio de los igualmente equivocados.
Cuando verifiqué los permisos de mis archivos sparsebundle, monté manualmente el disco Time Capsule. Debido a que monté el disco como un usuario normal, este usuario se convirtió en el propietario del punto de montaje (verificando en la terminal, puedo ver que mi cuenta de usuario es el propietario del punto de montaje, siendo "personal" el grupo).
Ahora mi suposición (que no era transparente para mí) era que si Time Machine monta el disco durante una sesión de copia de seguridad, estaría presente en el sistema como si lo montara manualmente. Pero esto está mal. Dado que la copia de seguridad se ejecuta como raíz, el punto de montaje pertenece a la raíz (verificando en la terminal, el propietario es "raíz", el grupo es "rueda", el grupo y el mundo no tienen derechos) y por lo tanto un proceso que pertenece a una normal el usuario no podría cifrar archivos en un disco de Time Machine montado por copia de seguridad .
Por lo tanto, en una configuración de Time Capsule no parece haber, por el momento, peligro de un ransomware para cifrar la copia de seguridad. Sin embargo, podría ser diferente con un disco duro externo conectado localmente. Recuerdo vagamente que cuando todavía usaba un disco duro externo, podía ver la partición de Time Machine montada en Finder (algo que no veo ahora) y, por lo tanto, podría estar montada con derechos de usuario. No puedo probar esto, ya que no tengo un disco duro externo de máquina del tiempo, pero tal vez alguien más pueda decir algo al respecto.