Большинство ваших сотрудников использует OSX в качестве основной операционной системы. Проблема в том, что недавно мы были атакованы каким-то странным вредоносным ПО: пользователи получают zip-файл по почте, и когда они открывают этот zip-файл, они запускают бинарный вредоносный кейлоггер, который находится внутри этого zip-файла. (Достаточно одного клика).
У нас есть некоторые нетехнические ограничения, и из-за этого ограничения мы не можем настраивать почтовые серверы пользователей. Но на самом деле у нас есть физический доступ к их ноутбукам.
Насколько мне известно, в Linux и * BSD можно смонтировать домашний каталог пользователя без разрешения «x» (выполнение). Таким образом, пользователи не могут запускать какой-либо двоичный файл внутри домашнего каталога.
Можно ли настроить OS X так, чтобы пользователь не мог выполнять файлы внутри / Users /?
Если /Users находится в отдельной файловой системе, вы можете смонтировать ее с помощью noexec вариант. В противном случае вы можете удалить x разрешение, запустив что-то вроде chmod -R a-x,u+X /Users. Вам нужен u+X повторно применить x разрешение на каталоги, иначе пользователи не смогут cd в них.
Обратите внимание, что я не рекомендую сделать это (по крайней мере, без обширного тестирования). Я считаю, что это может нарушить работу ваших пользователей, и, возможно, в любом случае это не предотвратило атаку (например, если файлы были извлечены в /tmp а не домашний каталог пользователя).
Если вы хотите применить меры против какой-либо атаки, необходимо сначала понять, как именно атака сработала. Вы не можете решить подобные проблемы с дробовиком без значительного побочного ущерба.