Ich habe ein paar externe Festplatten und habe festgestellt, dass die Berechtigungen auf ihnen unterschiedlich sind, was mich dazu gebracht hat, mich zu fragen, wie einige Dinge funktionieren.
Auf der Festplatte, die normal zu sein scheint, hat sie die folgenden Berechtigungen auf Maschine 1 (wie im Infobereich zu sehen):
myuser1 (Me) - Read & Write
staff - Read & Write
everyone - Read only
Wenn ich es jetzt an meinen zweiten Computer anschließe, hat der Benutzer, mit dem ich angemeldet bin, immer noch Schreibrechte. Beim erneuten Anzeigen der Berechtigungen sehe ich:
myuser2 (Me) - Read & Write
staff - Read & Write
everyone - Read only
1) Ich habe den Grund, dass dieser zweite Computer R&W-Berechtigungen hat, weil er myuser2
auch Mitglied von ist staff
?
2) Wenn ja, wie wird staff
festgestellt, dass die Gruppe auf einer Maschine logisch dieselbe ist wie eine Gruppe, die staff
auf einer anderen Maschine benannt ist? Dh sicherheitstechnisch, wie ist das sicher?
Wie wird in den Berechtigungen der Datei auf Benutzer und Gruppen verwiesen, auf eine Weise, die "sicher" ist, aber irgendwie auf zwei völlig separaten Computern funktioniert? Wird es namentlich gemacht? Flüssigkeit? gid (für Gruppen)? Da dies keine UUIDs sind, wie kann dies in jedem Fall als sicher eingestuft werden? Man könnte einfach sicherstellen, dass ein erstellter Benutzer dieselbe UID hat, die erforderlich ist, um eine Datei anzuzeigen, die er nicht sehen soll, und er hat Zugriff!
Zuerst einige wichtige Befehle, die Sie kennen sollten:
ls -laO
zeigt viel:
drwxrwxr-x+ 19 myuser1 staff 714 2 Feb 10:31 My Passport
ls -elaO
enthält ACLs:
drwxrwxr-x+ 19 myuser1 staff 714 2 Feb 10:31 My Passport
0: user:_spotlight inherited allow list,search,file_inherit,directory_inherit
Der folgende Befehl zeigt alle Mitglieder einer Gruppe an (die Beispielgruppe hier ist staff):
members () { dscl . -list /Users | while read user; do printf "$user "; dsmemberutil checkmembership -U "$user" -G "$*"; done | grep "is a member" | cut -d " " -f 1; }; members staff
Der folgende Befehl zeigt die UID, die GID und die Gruppenmitgliedschaften von user_name
id user_name
Bitte überprüfen Sie Ihre verschiedenen Benutzer/Gruppen mit den letzten beiden Befehlen, um sich einen Überblick zu verschaffen.
Standardberechtigungen im Dateisystem werden angewendet, indem UID und GID anstelle von Namen verwendet werden. So
drwxrwxr-x+ 19 myuser1 staff 714 2 Feb 10:31 My Passport
sollte wie folgt gelesen werden (unter der Annahme, dass die UID von myuser1 = 501 ist):
drwxrwxr-x+ 19 UID=501 GID=20 714 2 Feb 10:31 My Passport
| | |
| | |Others (Members of GID=12 (Everyone)?) can read and execute
| |Members of GID=20 can read, write and execute
|UID=501 can read, write and execute (owner)
Beim Anhängen von My Passport an einen anderen Mac (Mac2) – die UID/GID wird nicht geändert – wird Folgendes angezeigt:
Falls UID=501 und GID=20 von myuser2 (GID=20 (Staff) ist eine Standardgruppe auf jedem Mac und jeder (Standard- oder Admin-)Benutzer, der mit den Systemeinstellungen erstellt wurde, ist Mitglied davon)
drwxrwxr-x+ 19 UID=501 GID=20 714 2 Feb 10:31 My Passport
was rückübersetzt zu:
drwxrwxr-x+ 19 myuser2 staff 714 2 Feb 10:31 My Passport
und myuser2 auf Mac2 hat die gleichen Rechte wie myuser1 auf Mac1
Falls die UID von myuser2 = 502 und die UID von myuser3 = 501 und beide Mitarbeiter sind :
drwxrwxr-x+ 19 myuser3 staff 714 2 Feb 10:31 My Passport
myuser2 als Mitarbeiter ist nicht mehr Eigentümer, kann aber immer noch rwx.
Falls myuser2 UID=502 und Mitarbeiter ist und myuser3 mit UID=501 gelöscht wurde :
drwxrwxr-x+ 19 (unknown user) staff 714 2 Feb 10:31 My Passport
myuser2 als Mitarbeiter ist nicht mehr Eigentümer, kann aber immer noch rwx.
Falls myuser2 die UID=503 hat und kein Mitarbeiter ist und die UID=501 gelöscht wird
drwxrwxr-x+ 19 (unknown user) staff 714 2 Feb 10:31 My Passport
myuser2 wie andere (Mitglied von every ?) rx können.
Um Ihre Fragen zu beantworten: Der Grund, warum myuser2 auf Mac2 die gleichen Rechte wie myuser1 auf Mac1 hat, sind die gleichen UID- und GID-/Gruppenmitgliedschaften von beiden auf ihrem jeweiligen Host. Staff ist eine Standardgruppe auf jedem Mac.
In Ihrer aktuellen Umgebung (einzelne Computer/Administratorrechte für den/die Hauptbenutzer) ist die Verwendung externer Laufwerke nicht „sicher/sicher“ – nur die Verwendung von Berechtigungen zur Bestimmung des Zugriffs. Und es sollte nie sein.
In einer Organisationseinheit (der gemeinsame Benutzer einer Workstation ist kein Admin) mit einer zentralen Benutzerverwaltung (OD etc.) können Sie angelegte Einhängepunkte verwenden und spezielle Gruppen kümmern sich um externe Laufwerke:
Spezieller Eigentümer und eine neue Gruppe für das Laufwerk/den Einhängepunkt:
drwxrwx--- 19 UID=501 GID=512 714 2 Feb 10:31 My Passport
oder
drwxrwx--- 19 UID=501 GID=512 714 2 Feb 10:31 My Passport/share_folder
und alle Nicht-Admin-Benutzer, die Zugriff auf das/die externe(n) Laufwerk(e) benötigen, sind Mitglied von GID=512 ("External Drive Users")
Wenn das externe Laufwerk verloren geht, kann jedoch jeder darauf zugreifen. Um es sicher zu machen, müssen Sie den Inhalt der externen Festplatten verschlüsseln.
owner
und eine group
Klassifizierung. Everyone
ist gleichbedeutend mit Others, was bedeutet, dass der Benutzer weder der Eigentümer ist noch der Gruppenklassifikation der Datei angehört.group
Klassifizierung immer dieselbe Gruppe wie die owner
Gruppe von ist, oder können sie unterschiedlich sein?Sie fragen nach vielen Informationen zum Unix-Sicherheitsmodell, von denen ich vermute, dass sie hier zu viel für eine Antwort sind.
Die Informationen, nach denen Sie suchen, sind Benutzer-IDs (UID) und Gruppen-IDs (GID). Dies sind numerische Werte, die Benutzer- und Gruppennamen entsprechen.
Sie können sehen, was sie sind, zB id <username>
auf meinem Computer
~/D/c/TV $ id mark
uid=502(mark) gid=20(staff) groups=20(staff),12(everyone),61(localaccounts),79(_appserverusr),80(admin),81(_appserveradm),98(_lpadmin),399(com.apple.access_ssh),33(_appstore),100(_lpoperator),204(_developer),395(com.apple.access_ftp),398(com.apple.access_screensharing)
Dies zeigt, dass meine Benutzer-ID 502 ist, meine Hauptgruppe ist staff*20( und listet die anderen Gruppen auf, in denen ich bin.
Auf allen Computern sind Benutzer und Gruppe gleich, wenn sie dieselbe Nummer haben, was die Antwort auf 2 ist. Sie haben irgendwie Recht, es ist nicht so sicher, aber in einem verwalteten Netzwerk werden die Anmeldungen zentral gesteuert, sodass sich nur autorisierte Benutzer auf diese Weise verbinden können .
Wie bei 3) wird das Volume in einem Verzeichnis auf dem Client-Computer gemountet und die angezeigten Berechtigungen gelten für diesen Link. Wie bei einem symbolischen Link können sich die Informationen über den Namen, den Sie für den Zugriff auf das andere Ding verwenden, von der Berechtigung für die Quelle unterscheiden.
Für 4) gehört jede Datei/jedes Verzeichnis einem Benutzer und hat Berechtigungen für eine Gruppe und auch für alle Benutzer
/Volumes/My Passport
Bereitstellungspunkt nicht korrekt ist?
kein Hang
Sencha
Sencha
klanomath
kein Hang
Sencha
kein Hang
kein Hang
Sencha
No
in den Informationen zum Festplattendienstprogramm auf eingestellt. Sollte es seinYes
? Wenn ich es mir ansehe, ist das hier besprochene Kontrollkästchen für mich seltsamerweise nicht sichtbar. Also nicht sicher, was dort passiert.kein Hang