Benutzer-Sicherheitskonzept von MacOS

[Andi]

...

Hallo Wolfsbein,

Ich werde die umask aendern.

Hmm - wie sieht es dann aus wenn man mal was freigeben muss? Die Rechtevergabe im Finder soll ja nicht so gut funktionieren. Auf Unterobjekte anwenden usw. und wie sieht es dann mit der Ausführbarkeit der Dateien aus usw...

Wenn man die umask ändert, bekommen dann doch auch alle neuen Dateien die Rechte und nicht nur die neuen Ordner oder sehe ich das falsch?

Gruß Andi

 

[waidmanns_heil]

das würde mich auch mal interessieren, mit der rechtvergabe scheints ja grundsätzlich etws zu hapern!

 

[Wolfsbein]

...
Wenn man die umask ändert, bekommen dann doch auch alle neuen Dateien die Rechte und nicht nur die neuen Ordner oder sehe ich das falsch?...

Richtig. Daher muss man fuer die freizugebenden Ordner wieder aendern. Kruecke eben.

 

[maceis]

...
@maceis: Gibt es eine Möglichkeit sich die Rechte als Oktalzahl ausgeben zu lassen, damit man das wieder einfacher mit chmod xxx verwenden kann?
...

Ich hab vor einger Zeit mal eine subroutine in Perl geschrieben, die das erledigen kann.
Wenn Dir das was nützt, kann ich's ja rauskramen.

Genau. Ich werde die umask aendern. Nur der normale Nutzer weiss nicht was das ist. Es muesste eine Standardloesung her.

Das ist ein Grundproblem bei mächtigen Systemen mit einfacher Oberfläche. Der "normale User" soll halt alles seine Dokumente in den Dokumenteordner sichern (dafür ist er ja da), dann kommt der andere "normale User" da auch nicht ran.

Ich schließe mich da an! War doch eine ganz einfache und verständliche Frage von StruppiMac (ich dachte, ich lese nicht richtig!!)
..und nun sind wir in einer Diskussion, die nur noch EDV-Spezies verstehen.
...

Nachdem Stuppi sich verschiedentlich an anderer Stelle ja als Vollblicker geoutet hat, ist das sicher kein Problem (SCNR )

...
Gibt es wirklich keine einfache Lösung?! Ich dachte der Privat Vault Orner wäre gerade dazu da, eben NICHT von anderen gelesen werden zu können!!!!!

Doch:alle Dokumente in den Dokumente Ordner legen (Dafür ist er da).

 

[StruppiMac]

Nachdem Stuppi sich verschiedentlich an anderer Stelle ja als Vollblicker geoutet hat, ist das sicher kein Problem (SCNR )

Das hat hier nichts mit Vollblickertum zu tun - das hat was damit zu tun, dass ich mich in andere Benutzer reinversetzen kann.
Im Übrigen BIN ich ein Vollblicker

 

[maceis]

...
Im Übrigen BIN ich ein Vollblicker

Das hats Du in Deinem Beitrag über die Uhrzeit auf "jedem Computer dieser Welt" ja recht eindrucksvoll bewiesen .

 

[StruppiMac]

Das hats Du in Deinem Beitrag über die Uhrzeit auf "jedem Computer dieser Welt" ja recht eindrucksvoll bewiesen .

Hab ich nicht mehr nachgelesen, was ihr da wieder für nen Stuss abgelassen habt - meine Aussage ist trotzdem richtig... etwas daramatisiert, damit es hier manche auch mal verstehen - aber trotzdem richtig.

 

[Andi]

...

Hallo maceis,

Ich hab vor einger Zeit mal eine subroutine in Perl geschrieben, die das erledigen kann.
Wenn Dir das was nützt, kann ich's ja rauskramen.

Hmm, ja, nein, weiß nicht. Laufen die Perlscripts per default oder muss man Perl erst aktivieren. Kann ich das wie ein shell script in die Ordneraktion einbinden? Wenn es keine Mühe macht, kannst du es ja mal suchen...

Das Problem wäre ganz einfach mit einer Ordneraktion zu lösen.

Ich habe mal ein Beispielskript gemacht.

Das Skript übersetzen lassen und einen Ordner im Finder markieren und dann auf Ausführen klicken. (das lässt sich besser testen als eine Ordneraktion)
Die Rechte des Homeordners werden ausgelesen und bei einem Ordner ohne Rechte für Andere kommt eine Fehlermeldung.
Welche sch... "Striche" liefert mir das shell script bei keinen Rechten, die nicht als character erkannt werden?

User und Gruppe ist ja schnell gesetzt und dann die Rechte als Oktalzahl...
Ob es Ordner oder Datei ist kann ich auch mit AppleScript (sollen ja nur die Ordnerrechte vom übergeordneten Ordner gesetzt werden) abfragen nur eben nicht execute access.

Gruß Andi

 

[maceis]

...
Hmm, ja, nein, weiß nicht. Laufen die Perlscripts per default oder muss man Perl erst aktivieren. Kann ich das wie ein shell script in die Ordneraktion einbinden?
...

Ich denke schon.
Du speicherst das Skript als ausführbare Datei und kannst es dann wie eine Shellskript mit Parametern verwenden.
Ich hab das mal auf die Schnelle ein wenig umgemodelt, damit auch der Oktalwert herauskommt; man kann Permissions nämlich auch mit Dezimalwerten setzen.
Hier das Skript (filemode):

#!/usr/bin/perl

my $letters = shift;
my $octal; 
my $multiplier = 1;
my (@tripples) = $letters =~ /(...)(...)(...)$/g;
while (my $tripple = pop @tripples) {
    my $m   = 0;
    $m+=1 if $tripple =~ /[xsS]/;
    $m+=2 if $tripple =~ /w/; 
    $m+=4 if $tripple =~ /r/; 
    $octal += $m * $multiplier if $m > 0; 
    $multiplier*=8;
}
printf ("%#o\n", $octal);

Benutzt wird es so:

$ ./filemode.pl rwxrw-rw-
0766
$ ./filemode.pl r--rw--wx 
0463
$ ./filemode.pl dr--rw--wx 
0463

Eine besondere Überprüfung, ob der übergebene Parameter einen sinnvollen Permission-Code darstellt findet nicht statt.
Das '\n' in der letzten Zeile kann man weglassen, wenn das Newline-Zeichen stört. Der Dateityp Bezeichner am Anfang der ls -l Ausgabe stört, wie man beim letzten Beipiel sieht, nicht.

HTH
==

Hab ich nicht mehr nachgelesen, was ihr da wieder für nen Stuss abgelassen habt
...

Dann lies' mal schnell nach, wer da Stuss abgelassen hat

 

[Andi]

...

Hallo maceis,

vielen Dank! - dein Skript funktionierte anfangs genausowenig wie meines.
Zwischendurch einen kurzer Dank an Apple für "waste of time"

Dein Skript funktioniert, wenn man den Wert richtig übergibt.(ich konnte mein Problem lösen). Ich habe mich aber jetzt für den Anfang für eine reine Ordneraktion mit AppleScript entschieden...

Folder Action: inherit permissions from parent 0.1 alpha

Das Skript muss als Skript (.scpt) in /Library/Scripts/Folder Actions Scripts/ gespeichert werden. Es ändert die Gruppe und die Rechte ohne Nachfrage nach dem übergeordneten Verzeichnis. (Eigentümer nur mit Kennwort - funktioniert aber noch nicht, also bitte nicht versuchen) Es ist noch etwas auskommentierter Code enthalten - zum Testen einfach "--" entfernen...

Ziel ist es die Aktion sowohl an Home als auch an freigegebene Ordner anzuhängen mit einer entsprechenden Warnung, falls die Zugriffsrechte freier sind als die des übergeordneten Objekts, mit der Auswahl das zu belassen oder zu ändern.

Falls es Jemand ausprobieren möchte und Fehler findet, bitte melden.

Gruß Andi

 

[sgmelin]

Sorry, aber hier hat IMHO Apple geschlafen.
Es ist garantiert nicht im Interesse eines jeden Users, dass ein anderer Benutzer auf Ordner und Dateien aus dem eigenen "Privaten" Bereich hat.
Per Default sollte hier der Zugriff gesperrt sein.

Ich kann ja jetzt nicht jeden Ordner durchgehen und die Rechte setzen

Brauchst Du auch nicht. Einfach das Informationsfenster Deines Homeverzeichnisses öffnen und dort bei "andere" alles verbieten, bzw. "Nur Schreiben (Briefkasten)" nehmen. Dann kann niemand was in Dein Homeverzeichnis schreiben und dort auch nix lesen. Lediglich der Zugriff auf Shared ist erlaubt. Und auch nur schreibend. D.h. man kann auch den Inhalt nicht angucken. Dann noch auf "Auf alle Unterobjekte anwenden..." auswählen, fertig.

 

[design11]

@maceis
@sgmelin

danke für die EINFACHEN Tips!

der Nicht-Volldurchblicker

 

[maceis]

@maceis
danke für die EINFACHEN Tips!
der Nicht-Volldurchblicker

Doch:alle Dokumente in den Dokumente Ordner legen (Dafür ist er da).

Welchen Teil davon empfindest Du als "nicht einfach".

 

[elastico]

mal ganz langsam:
- wo GENAU lagen die Dokumente die gefunden wurden?

Ich fand es beim Mac gerade so toll, dass die User so gut gegeneinander abgeschirmt waren. Habe einer Bekannten ein iBook gezeigt (da lief noch Panther - also nix Spotlight) Sie hat mal ein paar Dokumente erstellt und dann haben wir uns mit einem anderen Benutzer angemeldet (weil der Rechner für die Familie ist). Dann mal nach ihren Dokumenten gesucht und NICHT gefunden!

SO soll das sein! Wenn die gefunden werden sollen, dann muss sie dafür sorgen (z.B. indem sie die in das Verzeichnis für alle Nutzer kopiert oder verschiebt)

Wenn dieses Konzept jetzt durch Spotlight aufgeweicht sein sollte, dann wäre das nicht gut IMHO. Eine Aussage wie: "das ist bei jedem Unix so" macht es IMHO nicht besser.
Mit Panther lief es wie ich mir das gewünscht hatte.

Ich muss das morgen direkt mal am PowerBook testen.

 

[lengsel]

...wo GENAU lagen die Dokumente die gefunden wurden?...

Das habe ich auch schon gefragt, aber leider ist die Antwort bis jetzt offen.
Laut Apple respektiert Spotlight die Privatsphäre der User. Ich denke dazu ist es aber notwendig sich an die gegebene Struktur im Homeverzeichnis zu halten.

Grüße,
Flo

 

[elastico]

Das habe ich auch schon gefragt, aber leider ist die Antwort bis jetzt offen.
Laut Apple respektiert Spotlight die Privatsphäre der User. Ich denke dazu ist es aber notwendig sich an die gegebene Struktur im Homeverzeichnis zu halten.

Grüße,
Flo

Letzteres könnte ich noch verstehen. Ich speichere meine Daten ja auch in "Dokumente / Bilder / Musik /..." oder eben in Verzeichnissen, die ich in eben diesen genannten anlege.

So _richtig_ klasse wäre es natürlich, wenn es egal wäre wo die Daten liegen. Per Default hat eben nur der Admin und der Benutzer der es angelegt hat Zugriff - das wäre mal richtig sauber, gäbe aber Probleme, weil man dann nicht einfach die Datei in "für alle Benutzer" kopieren könnte sondern wirklich immer die Rechte der Datei anfassen müsste (das will kaum ein Laie tun - geschweige denn verstehen )

 

[Andi]

...

Hallo elastico,

die Dateien liegen in Ordnern auf oberster Ebene im Homverzeichnis.
Wird dort neben Dokumenten, Bildern usw. ein neuer Ordner erstellt, bekommt der die Rechte:

Eigentümer: der selbe wie vom Home
Gruppe: staff
Sie dürfen: lesen/schreiben
Gruppe: nur lesen
Andere: nur lesen

Die selben Rechte wie das Homverzeichnis selbst und Web-Sites bzw. Öffentlich.

Wird der Ordner nicht vom User für die Gruppe und Andere gesperrt, werden die enthaltenen Dateien von Anderen durch Spotlight gefunden und können natürlich auch angesehen werden.

Nur die Ordner Dokumente, Bilder, Filme, Musik, Schreibtisch, Library werden nicht indiziert und sind für die Gruppe und Andere gesperrt.

Problematisch ist nur, dass das Häuschen des Home dem User suggeriert, er wäre für sich alleine und die Türe ist abgesperrt. Ist sie aber nicht da Andere Zugriff auf Web-Sites und Öffentlich haben sollen.

Gruß Andi

 

[lengsel]

...die Dateien liegen in Ordnern auf oberster Ebene im Homverzeichnis....

Dann ist es ja auch kein Wunder wenn Spotlight sie anzeigt.

Problematisch ist nur, dass das Häuschen des Home dem User suggeriert, er wäre für sich alleine und die Türe ist abgesperrt. Ist sie aber nicht da Andere Zugriff auf Web-Sites und Öffentlich haben sollen...

Das ist allerdings etwas dessen sich der Durchschnittsuser meist nicht bewusst ist. An dieser Stelle bestünde tatsächlich Aufklärungsbedarf.

Grüße,
Flo

 

[maceis]

Ich verstehe ja einerseit die Kritik und Empörung einiger Benutzer, denen gerade klarwird, wie die rechtevergabe funktioniert.

Auf der anderen Seite kann und darf man IMHO nicht ein seit Jahrzehnten bewärtes Rechtekonzept kippen, "nur" weil eine Reihe von Umsteigern nicht damit klarkommt (bzw. klarkommen _möchte_).
Einer der Vorteile dieses Systems ist, dass es sehr einfach und trotzden sehr vielseitig ist. Gewisse Nachteile, die bis 10.3 vorhandes ist, wurde duch die Einführung von ACL's behoben (das nur mal so als Randbemerkung).

Ich bin außerdem überzeugt, dass der allergrößte Teil der Benutzer, die jetzt "maulen", auch das Rechtekonzept der diversen Windows Systeme nicht annähernd begreift.
.
.
Tatsache ist, dass man sich auf jeden Fall mit dem jeweilgen Konzet beschäftigen muss, wenn man bestimmte Anforderungen hat.

Wer das - aus welchen Gründen auch immer - nicht möchte, erhält von Apple ein sehr gut vorkonfiguriertes System, das aber erfordert, dass man sich an die Vorgabe hinsichtlich Struktur des Benutzerverzeichnisses hält.

Ich finde das voll akzeptabel!

Was das Thema "Aufklärungsbedarf" angeht:
Das ist einerseits schon richtig. Da aber das Lesen von Dokumentationen völlig aus der Mode gekommen ist, habe ich da wenig Hoffnung, dass das angenommen wird.
Gleich losmaulen ist ja auch viel einfacher.

Abgesehen davon bin ich fast überzeugt, dass keiner der Teilnehmer an dieser Diskussion, sich die Mühe gemacht hat, mal nachzulesen, inwieweit dieses Thema tatsächlich dokumentiert ist oder nicht.

 

[lengsel]

...Auf der anderen Seite kann und darf man IMHO nicht ein seit Jahrzehnten bewärtes Rechtekonzept kippen, "nur" weil eine Reihe von Umsteigern nicht damit klarkommt (bzw. klarkommen _möchte_).

Dass wir uns mal so einig sein würden...

Einer der Vorteile dieses Systems ist, dass es sehr einfach und trotzden sehr vielseitig ist. Gewisse Nachteile, die bis 10.3 vorhandes ist, wurde duch die Einführung von ACL's behoben (das nur mal so als Randbemerkung).

ACLs spielen ihre Stärke momentan nur in Umgebungen mit Managed-Clients aus, wenn man schön am Server die ACLs einrichten kann. Für den erwähnten Durchschnittsuser sind die kein Thema weil sie unter OS X (Client) ja (nur) via Terminal erreichbar sind, und also überhaupt keine Rolle spielen.

Tatsache ist, dass man sich auf jeden Fall mit dem jeweilgen Konzet beschäftigen muss, wenn man bestimmte Anforderungen hat.

Wer das - aus welchen Gründen auch immer - nicht möchte, erhält von Apple ein sehr gut vorkonfiguriertes System, das aber erfordert, dass man sich an die Vorgabe hinsichtlich Struktur des Benutzerverzeichnisses hält.

Das ist aber genau der Kasus knaxus, denn der Durchschnittsuser will sich damit nicht beschäftigen, und dennoch alles da hin speichern wo es ihm gefällt. Ich denke daran wird sich nichts ändern, und solange gibt es an dieser Stelle immer wieder Supportbedarf.

Abgesehen davon bin ich fast überzeugt, dass keiner der Teilnehmer an dieser Diskussion, sich die Mühe gemacht hat, mal nachzulesen, inwieweit dieses Thema tatsächlich dokumentiert ist oder nicht.

Mit der Behauptung lehnst Du Dich aber gewaltig weit aus einem Fenster dessen Wandverankerung alt und brüchig ist.

Grüße,
Flo