大部分员工使用OSX作为主要操作系统。 问题是,最近我们遭到了一些奇怪的恶意软件的攻击:用户通过邮件获得zip文件,当他们打开这个zip文件时,他们执行一个二进制键盘logging恶意软件,这是在这个压缩文件。 (一次点击就够了)。
我们有一些非技术性的限制,由于这个限制,我们不能configuration用户的邮件服务器。 但实际上,我们有物理访问他们的笔记本电脑。
据我所知,有可能在Linux和* BSD中没有“x”(执行)权限的情况下挂载用户的主目录。 所以用户不能在主目录下运行一些二进制文件。
是否可以configurationOS X,以便用户不能执行/ Users /内的文件?
如果/Users位于单独的文件系统上,则可以使用noexec选项挂载该文件系统。 否则,可以通过运行诸如chmod -R ax,u+X /Users类的东西来删除x许可权。 您需要u+X重新应用目录上的x权限,否则用户将无法cd到它们中。
请注意,我不build议这样做(至less不是没有广泛的testing)。 我认为它可能会打破你的用户的东西,它可能不会阻止攻击无论如何(例如,如果文件被解压到/tmp而不是用户的主目录)。
如果你想对某些攻击采取措施,首先必须先了解攻击是如何进行的。 你不能霰弹枪这样的问题没有重大的附带损害。