Практика не должна создавать одного пользователя и группу на приложение, но на сервис. Таким образом, программы, которые выполнены локальным пользователем, не должны быть установлены как пользователь кроме корня. Это - демоны, программы, работающие в фоновом режиме и которые выполняют запросы, проникающие через сеть или другие коммуникационные средства, которые должны работать как преданный пользователь.
Демон работает как преданный пользователь так, чтобы, если это неправильно себя ведет (из-за ошибки, вероятно, инициированной взломщиком) повреждение, это могло сделать, ограничен: только файлы данных демона затронуты (если взломщику не удалось найти локальную корневую дыру, которая может произойти). Например, демон базы данных mysqld
выполнения как преданный пользователь и группа mysql:mysql
и файлы данных базы данных (/var/lib/mysql/*
) принадлежите mysql:mysql
.
Обратите внимание, что исполняемый файл демона и другие статические данные и конфигурационные файлы, которые используются, но не должны быть изменены демоном, не должны принадлежать преданному пользователю; они должны принадлежать root:root
, как большая часть программы и конфигурационных файлов. mysqld
процесс не имеет никакой бизнес-перезаписи /usr/sbin/mysqld
или /etc/mysql/my.cnf
, таким образом, эти файлы не должны принадлежать mysql
пользователь или быть перезаписываемым mysql
пользователь или mysql
группа. Если некоторые файлы должны быть читаемыми только демоном и администратором, они должны принадлежать пользовательскому корню и специализированной группе и иметь режим 0640 (rw-r-----
).
Специальная категория исполняемых файлов, которые не могут находящимся в собственности root:root
программы, которые вызываются пользователем, но должны работать с дополнительными полномочиями. Эти исполняемые файлы должны быть корнем setuid, если они должны работать (по крайней мере частично) как корень; затем исполняемый файл должен иметь режим 4755 (rwsr-xr-x
). Если потребности программы с дополнительными полномочиями, но не как корень, то программа должна быть сделана setgid, так, чтобы дополнительные полномочия проникли через группу а не через пользователя. Исполняемый файл затем имеет режим 2755 (rwxr-sr-x
). Причины являются двукратными:
Основная трудность здесь состоит в том, что Mac используют UEFI вместо BIOS. Так, согласно этой странице, следующие шаги должны работать (я не попробовал это сам, поскольку у меня нет Mac):
- Получите Футболиста EFI ISO-2-USB для беты Mac 0.01 и последней версии Ubuntu Desktop Edition 64 бита.
- Отформатируйте Карту памяти для обеспечения единственного раздела FAT32, показывающего MBR.
- Создайте следующие каталоги на своей Карте памяти:/efi и/efi/boot
- Скопируйте bootX64.efi от “Футболиста EFI ISO-2-USB для беты Mac 0.01” в/efi/boot на Вашей Карте памяти.
- Скопируйте изображение Ubuntu в/efi/boot/на Карте памяти, также и переименуйте его к “boot.iso”.
- У Вас должно быть 2 файла на Вашей Карте памяти теперь: bootX64.efi и boot.iso – оба в/efi/boot.
Вы готовы к перезагрузке: Во время запуска Вашего Mac содержат Высокий звук/Опцию. Необходимо видеть “Начальную загрузку EFI”, которая имеет миленький Символ Карты памяти на нем в появляющемся меню начальной загрузки. Загрузитесь от своей Карты памяти путем нажатия на небольшую стрелку ниже его.
Удачи!
Ubuntu должна загружаться теперь …
Вам нужен загрузочный USB-накопитель EFI, независимо от того, какое распространение вы планируете использовать. Например Porteus Распределение предлагает это из коробки. Таким образом, все, что вам нужно сделать следующее:
Это все! Это работает, проверено на MacBook Pro 15 "Retina.