Fragen zu Berechtigungen, insbesondere über Computer hinweg

Ich habe ein paar externe Festplatten und habe festgestellt, dass die Berechtigungen auf ihnen unterschiedlich sind, was mich dazu gebracht hat, mich zu fragen, wie einige Dinge funktionieren.

Auf der Festplatte, die normal zu sein scheint, hat sie die folgenden Berechtigungen auf Maschine 1 (wie im Infobereich zu sehen):

myuser1 (Me) - Read & Write
staff        - Read & Write
everyone     - Read only

Wenn ich es jetzt an meinen zweiten Computer anschließe, hat der Benutzer, mit dem ich angemeldet bin, immer noch Schreibrechte. Beim erneuten Anzeigen der Berechtigungen sehe ich:

myuser2 (Me) - Read & Write
staff        - Read & Write
everyone     - Read only

1) Ich habe den Grund, dass dieser zweite Computer R&W-Berechtigungen hat, weil er myuser2auch Mitglied von ist staff?

2) Wenn ja, wie wird stafffestgestellt, dass die Gruppe auf einer Maschine logisch dieselbe ist wie eine Gruppe, die staffauf einer anderen Maschine benannt ist? Dh sicherheitstechnisch, wie ist das sicher?

Wie wird in den Berechtigungen der Datei auf Benutzer und Gruppen verwiesen, auf eine Weise, die "sicher" ist, aber irgendwie auf zwei völlig separaten Computern funktioniert? Wird es namentlich gemacht? Flüssigkeit? gid (für Gruppen)? Da dies keine UUIDs sind, wie kann dies in jedem Fall als sicher eingestuft werden? Man könnte einfach sicherstellen, dass ein erstellter Benutzer dieselbe UID hat, die erforderlich ist, um eine Datei anzuzeigen, die er nicht sehen soll, und er hat Zugriff!

Sie hatten viele Fragen in Ihrem Text, diese Seite funktioniert viel besser, wenn es nur eine Frage pro Beitrag gibt. Ich habe die zusätzlichen Dinge, die Sie gefragt haben, entfernt. Bitte stellen Sie sie bei Bedarf in neuen Fragen.
Tut mir leid, dass ich darüber nicht allzu glücklich bin. Alle Fragen sind alle sehr verwandt. Sollte jemand Schwierigkeiten haben, die gleichen Dinge zu verstehen, wären dies alles hilfreiche und verwandte Informationen.
@patrix Und obwohl es viele "Fragen" gab, waren sie alle sehr eng mit dem Verständnis eines einzigen Konzepts verbunden. Ich habe viele sehr lange und umfassende Antworten auf dieser Seite genossen. Manchmal erfordern umfassende Antworten umfassende Fragen. Vielleicht würde es helfen, einfach meine hilfreichen nummerierten Punkte in jedem der Fragebereiche zu entfernen und stattdessen jemandem zu erlauben, meine Verwirrung zu lesen und dann mit einer einzigen Antwort zu antworten. Außerdem brauchte ich Zeit, um meine Probleme in diesen Fragen zu verdichten. Kannst du deine Bearbeitung bitte noch einmal überdenken?
@Sencha Sie können Ihre ursprüngliche Frage selbst wiederherstellen. Nachdem ich die ursprüngliche Frage gelesen habe, rate ich, alle sieben Fragen auf eine oder zwei zu verdichten
Wie von klanomath erwähnt, können Sie alle an Ihrer Frage vorgenommenen Änderungen jederzeit rückgängig machen. Aufgrund der Erfahrung aus der Vergangenheit führen lange Fragen in der Regel zu schlechten oder unvollständigen Antworten, daher bin ich mir nicht sicher, ob dies in Ihrem Fall wirklich hilfreich ist. Es könnte besser sein, Antworten auf eine abgespeckte Version dessen zu erhalten, was Sie in Bezug auf Berechtigungen nicht vollständig „verstehen“ (das habe ich mit meiner Bearbeitung versucht) und dann Folgefragen zu stellen, sobald Sie die anfänglichen Hindernisse beseitigt haben des Weges. Eine gute Antwort auf die bearbeitete Frage sollte ohnehin bereits einige der zusätzlichen Probleme abdecken.
Okay, ich werde versuchen, meine Fragen in einem kleineren Beitrag zusammenzufassen/herauszukristallisieren. Danke schön!
Oder warte bis morgen. Ich habe eine Idee für eine umfassende Antwort, brauche aber etwas Zeit, um sie zu schreiben :-)
Noch besser, jemand anderes hat es bereits getan. Können Sie auch (im Festplatten-Dienstprogramm) überprüfen, ob die Besitzprüfungen für das externe Laufwerk überhaupt aktiviert sind?
@patrix "Besitzer aktiviert" ist Noin den Informationen zum Festplattendienstprogramm auf eingestellt. Sollte es sein Yes? Wenn ich es mir ansehe, ist das hier besprochene Kontrollkästchen für mich seltsamerweise nicht sichtbar. Also nicht sicher, was dort passiert.
Wenn es auf Nein gesetzt ist, ist die ganze Diskussion "wer besitzt was und kann auf welche Dateien zugreifen" irgendwie sinnlos. OTOH, die Einstellung auf "Nein" löst die meisten Probleme, die der typische Benutzer beim Teilen von USB-Sticks oder externen Festplatten hat. Wenn Sie möchten, dass Ihre Daten auf einem Wechselmedium sicher sind, verwenden Sie die Verschlüsselung.

Antworten (2)

Zuerst einige wichtige Befehle, die Sie kennen sollten:

ls -laOzeigt viel:

drwxrwxr-x+ 19 myuser1  staff   714  2 Feb 10:31 My Passport

ls -elaOenthält ACLs:

drwxrwxr-x+ 19 myuser1  staff   714  2 Feb 10:31 My Passport
  0: user:_spotlight inherited allow list,search,file_inherit,directory_inherit

Der folgende Befehl zeigt alle Mitglieder einer Gruppe an (die Beispielgruppe hier ist staff):

members () { dscl . -list /Users | while read user; do printf "$user "; dsmemberutil checkmembership -U "$user" -G "$*"; done | grep "is a member" | cut -d " " -f 1; }; members staff

Der folgende Befehl zeigt die UID, die GID und die Gruppenmitgliedschaften von user_name

id user_name

Bitte überprüfen Sie Ihre verschiedenen Benutzer/Gruppen mit den letzten beiden Befehlen, um sich einen Überblick zu verschaffen.

Standardberechtigungen im Dateisystem werden angewendet, indem UID und GID anstelle von Namen verwendet werden. So

drwxrwxr-x+ 19 myuser1  staff   714  2 Feb 10:31 My Passport

sollte wie folgt gelesen werden (unter der Annahme, dass die UID von myuser1 = 501 ist):

drwxrwxr-x+ 19 UID=501  GID=20   714  2 Feb 10:31 My Passport
 |  |  |
 |  |  |Others (Members of GID=12 (Everyone)?) can read and execute
 |  |Members of GID=20 can read, write and execute
 |UID=501 can read, write and execute (owner)

Beim Anhängen von My Passport an einen anderen Mac (Mac2) – die UID/GID wird nicht geändert – wird Folgendes angezeigt:

  • Falls UID=501 und GID=20 von myuser2 (GID=20 (Staff) ist eine Standardgruppe auf jedem Mac und jeder (Standard- oder Admin-)Benutzer, der mit den Systemeinstellungen erstellt wurde, ist Mitglied davon)

    drwxrwxr-x+ 19 UID=501  GID=20   714  2 Feb 10:31 My Passport

    was rückübersetzt zu:

    drwxrwxr-x+ 19 myuser2  staff  714  2 Feb 10:31 My Passport

    und myuser2 auf Mac2 hat die gleichen Rechte wie myuser1 auf Mac1

  • Falls die UID von myuser2 = 502 und die UID von myuser3 = 501 und beide Mitarbeiter sind :

    drwxrwxr-x+ 19 myuser3  staff  714  2 Feb 10:31 My Passport

    myuser2 als Mitarbeiter ist nicht mehr Eigentümer, kann aber immer noch rwx.

  • Falls myuser2 UID=502 und Mitarbeiter ist und myuser3 mit UID=501 gelöscht wurde :

    drwxrwxr-x+ 19 (unknown user)  staff  714  2 Feb 10:31 My Passport

    myuser2 als Mitarbeiter ist nicht mehr Eigentümer, kann aber immer noch rwx.

  • Falls myuser2 die UID=503 hat und kein Mitarbeiter ist und die UID=501 gelöscht wird

    drwxrwxr-x+ 19 (unknown user)  staff  714  2 Feb 10:31 My Passport

    myuser2 wie andere (Mitglied von every ?) rx können.

Um Ihre Fragen zu beantworten: Der Grund, warum myuser2 auf Mac2 die gleichen Rechte wie myuser1 auf Mac1 hat, sind die gleichen UID- und GID-/Gruppenmitgliedschaften von beiden auf ihrem jeweiligen Host. Staff ist eine Standardgruppe auf jedem Mac.

In Ihrer aktuellen Umgebung (einzelne Computer/Administratorrechte für den/die Hauptbenutzer) ist die Verwendung externer Laufwerke nicht „sicher/sicher“ – nur die Verwendung von Berechtigungen zur Bestimmung des Zugriffs. Und es sollte nie sein.

In einer Organisationseinheit (der gemeinsame Benutzer einer Workstation ist kein Admin) mit einer zentralen Benutzerverwaltung (OD etc.) können Sie angelegte Einhängepunkte verwenden und spezielle Gruppen kümmern sich um externe Laufwerke:

Spezieller Eigentümer und eine neue Gruppe für das Laufwerk/den Einhängepunkt:

drwxrwx--- 19 UID=501  GID=512   714  2 Feb 10:31 My Passport

oder

drwxrwx--- 19 UID=501  GID=512   714  2 Feb 10:31 My Passport/share_folder

und alle Nicht-Admin-Benutzer, die Zugriff auf das/die externe(n) Laufwerk(e) benötigen, sind Mitglied von GID=512 ("External Drive Users")

Wenn das externe Laufwerk verloren geht, kann jedoch jeder darauf zugreifen. Um es sicher zu machen, müssen Sie den Inhalt der externen Festplatten verschlüsseln.

Im Standard-Unix-Berechtigungsmodell gibt es nur eine ownerund eine groupKlassifizierung. Everyoneist gleichbedeutend mit Others, was bedeutet, dass der Benutzer weder der Eigentümer ist noch der Gruppenklassifikation der Datei angehört.
@fd0 Können Sie in diesem Unix-Modell klären, ob diese groupKlassifizierung immer dieselbe Gruppe wie die ownerGruppe von ist, oder können sie unterschiedlich sein?
@klanomath Vielen Dank für diese ausführliche Antwort. Ich arbeite mich jetzt durch!

Sie fragen nach vielen Informationen zum Unix-Sicherheitsmodell, von denen ich vermute, dass sie hier zu viel für eine Antwort sind.

Die Informationen, nach denen Sie suchen, sind Benutzer-IDs (UID) und Gruppen-IDs (GID). Dies sind numerische Werte, die Benutzer- und Gruppennamen entsprechen.

Sie können sehen, was sie sind, zB id <username>auf meinem Computer

~/D/c/TV $ id mark
uid=502(mark) gid=20(staff) groups=20(staff),12(everyone),61(localaccounts),79(_appserverusr),80(admin),81(_appserveradm),98(_lpadmin),399(com.apple.access_ssh),33(_appstore),100(_lpoperator),204(_developer),395(com.apple.access_ftp),398(com.apple.access_screensharing)

Dies zeigt, dass meine Benutzer-ID 502 ist, meine Hauptgruppe ist staff*20( und listet die anderen Gruppen auf, in denen ich bin.

Auf allen Computern sind Benutzer und Gruppe gleich, wenn sie dieselbe Nummer haben, was die Antwort auf 2 ist. Sie haben irgendwie Recht, es ist nicht so sicher, aber in einem verwalteten Netzwerk werden die Anmeldungen zentral gesteuert, sodass sich nur autorisierte Benutzer auf diese Weise verbinden können .

Wie bei 3) wird das Volume in einem Verzeichnis auf dem Client-Computer gemountet und die angezeigten Berechtigungen gelten für diesen Link. Wie bei einem symbolischen Link können sich die Informationen über den Namen, den Sie für den Zugriff auf das andere Ding verwenden, von der Berechtigung für die Quelle unterscheiden.

Für 4) gehört jede Datei/jedes Verzeichnis einem Benutzer und hat Berechtigungen für eine Gruppe und auch für alle Benutzer

Danke für die Info. Wenn Sie sagen "und hat Berechtigungen für eine Gruppe", können Sie bitte klarstellen, ob diese "Gruppe", von der Sie sprechen, immer die Gruppe des Eigentümerbenutzers ist, oder können Sie eine andere Gruppe festlegen?
Auch @Mark, in Bezug auf Ihre Antwort auf (3), wie kann ich die Berechtigungen des Quellvolumes ordnungsgemäß überprüfen, wenn der Zugriff über den /Volumes/My PassportBereitstellungspunkt nicht korrekt ist?
Fragen zu Berechtigungen, insbesondere über Computer hinweg
AntwortenHierDatenschutz-Bestimmungen1y, 0v