読者です 読者をやめる 読者になる 読者になる

イメージに染まるまで……

Mac,iOSなどAppleの製品についての記事や、セキュリティだったりGTDの記事を書いています。

さらに気になる監視先 〜ClamXavで監視させたいものを考えてみる

Mac Security

以前、監視させるディレクトリについて書きましたが、本当は、もう少し気をつけるべきフォルダがあります。

nya-0.hatenablog.com

それは、個人的に/Libraryフォルダです。

~のホームディレクトリ以外の部分は、本当に一部に過ぎません。例えば、~はホームディレクトリだけなので、複数のユーザーがいるMacなどでは、/Users/の設定で全てのユーザーのディレクトリが保護されます。ちなみに~UNIX的にユーザーのディレクトリを指します。

例えば、複数のユーザーA,B,Cがいた場合、A,B,C各々のユーザーに割り振られたフォルダa,b,cができます。そのうちAさんがログインして、書類なりのファイルを保存している領域がa、Bさんがログインしている領域がb……となります。

もし、Aさんが管理者権限(UNIX的にはルート権限)を持っている場合、Bさん、Cさんの二人は/Applicationsなど、自分の持っているフォルダb,cよりも上の階層のファイルにアクセスできません。

というのも、~マークは略であって、実際のところはBさんがいる領域は/Users/b/の領域なのです。

これをターミナルなどのコマンドで打ち込むのが面倒なので、~と略しているわけです。Bさんがログインして~を打ち込めば、それは/Users/b/を指し、Cさんがログインして~を打ち込めば/Users/c/を意味しているのです。よって、ルート/から直接ぶら下がっている/Applicationsには触れることが、権限によって制限されているのです

Windowsで言えば、\C:/のような感じです。日本語環境だと、日本円のマークで表示されますが、実際はバックスラッシュ\です。……そもそもこの記事の表示もどうなっているか怖いですけれど。

また、AさんもUNIXの制限で、管理者権限(ルート権限)が必要な状態になった時に、管理者権限のパスワードを入力しなければなりません。また、標準では5分でタイムアウトします*1

ここまで面倒臭くUNIX的にと書いてきましたけれど、OSXUNIXをベースにしたOSなので、ディレクトリ(ファイル)の構造などの説明を使うのが一番手っ取り早いからです。Linuxを使っている方なら親しみがある話になりますよね。


長くなった話を戻しましょう。ホームユーザーの領域は、実際は内蔵されているディスク全てではないということでした。

だからといって、内蔵されているディスク全てを、ルートディレクトリを監視するとなると、結構な負担になります。UNIX的には/で表されるこれをClamXav Sentryの監視するフォルダに突っ込むということは、私は試したことがありません。

そうした制限を考えた時に、どうしても絞らなければならなかったのです。その中で、とりあえずのものが以前の設定です。

さて、最初に書いたように気になるのが/Library領域です。ここには管理者権限でインストールしたアプリケーションの設定などが入ることがあります。

ここも監視させることで、危険なファイルの書き込みを防ぐことができるかもしれません。

OSXは仕組み上、システム環境設定>ユーザーとグループ>ログイン項目以外に、ユーザー領域の中にある~/LaunchAgents/からもログインした時に様々なものが読み込まれます。また、/Library/以下にもある/Library/LaunchAgents//Library/LaunchDeamon/からも読み込まれます。この中に、起動してからずっと居座るものがあるので、気にする必要があると思います。

そういう意味で、すでに以前の記事の設定では含まれている~以下とは別に、安全策として/Library/があるとさらに良いと考えています。

もし、リソースがあるようでしたら、試してみてください。特に動きに問題がなければ監視を続けても良いでしょう。重くなったら外せばいいわけですから。

*1:ここがWindowsと違うところで、Windowsで管理者権限のユーザーとしてログインしていると、管理者権限のパスワードを打ち込まなくてもどんどん書き込めてしまいます。そこが、Windowsでは特に管理者ユーザーとは別に、作業用、普段使い用のアカウントを作ったほうが良いというアドバイスが出る理由です。特に許可をしていないのに、管理者権限で書き込まれたら怖いですからね。