wieder eine User-Admin-Frage

Dieses Thema im Forum "Sicherheit" wurde erstellt von meggles, 07.11.2004.

  1. meggles

    meggles Thread Starter Gast

    Hallo,
    ich habe derzeit unter OSX nur einen Benutzer - mich; und ich bin der Admin :D
    Nun bin ich aus folgendem aktuellem Anlass erstmals mit dem Problem konfrontiert, ob das wirklich so gut ist...:
    Ich habe einen Ordner mit extreeeeeem :) wichtigen Digitalfotos (Urlaub).
    Ich will Änderungen an diesem Ordner verhindern.
    Um erstmal zu testen, habe ich mir einen Testordner angelegt, mit Apfel-I-Erweitert habe ich mir als Eigentümer des Ordners Nur-Lesezugriff gegeben. Da ich Eigner bin, sperre ich mich dadurch ja nicht aus.
    => Potzblitz - ich konnte den Ordner trotzdem löschen!!!

    Liegt das daran, dass ich als Admin Super-Rechte an diesem Ordner habe...?
    Wenn ja, würde ich folgendermaßen vorgehen (korrigiert mich, sollte da was falsch dran sein):
    * Neuen User ("admin") anlegen, mit Admin-rechten versehen.
    * Als Admin anmelden, und dem Nutzer "meggles" (=mir) die Admin-Rechte nehmen

    Oder gibts ein Risiko, sich irgendwie auszusperren, wenn man eine Zeit lang mit Admin-rechten gearbeitet hat?

    Wäre toll, wenn Ihr mir "beistehen" ;-) könntet...
    Danke!
    Simon
     
  2. tdintegra

    tdintegra MacUser Mitglied

    Beiträge:
    4
    Zustimmungen:
    0
    MacUser seit:
    14.08.2004
    Hallo meggles,

    ich kenne zwar das Dateisystem von MacOS nicht, aber ich denke mal, es verhält sich genauso wie bei anderen Unixen und auch bei Windows/DOS.

    Was ist technisch gesehen ein Ordner? Es ist auch nur eine Datei, in der Namen anderer Dateien stehen, nämlich die Namen derjenigen Dateien, die sich in Deinem Ordner befinden.

    OK, was passiert, wenn Du eine Datei löscht? Es wird nicht wirklich die Datei von der Festplatte entfernt, sondern lediglich der Eintrag in dem Ordner, in dem sich die Datei befand. Die Datei ist immer noch da, Du kannst nur nicht mehr darauf zugreifen.

    Das bedeutet, wenn Du eine Datei löscht, dann modifizierst Du nicht die Datei, sondern den Ordner! Daß die Datei schreibgeschützt war, nützt da garnichts, Du musst den Ordner schreibschützen!

    Willst Du also Deinen Ordner vor dem Löschen schützen, musst Du dem übergeordneten Ordner die Schreibrechte entziehen.

    Übrigens: Um eine Datei wirklich spurlos von der Festplatte verschwinden zu lassen gibts Tools wie z. B. 'shred', die eine Datei byteweise überschreiben.

    Ich hoffe, das hilft Dir weiter

    Manfred
     
  3. meggles

    meggles Thread Starter Gast

    Manfred, Du machst gerade nen Fachinformatiker sprachlos, hihi.... :D

    Sorry, aber das stimmt wirklich nicht. Wie sollte ich denn das machen? Sowas kann ich nur Usern und Gruppen erlauben, aber doch nicht Ordnern...?

    Ordner "meinHeiligtum"...
    dr-x------ 3 meggles meggles 102 7 Nov 18:32 meinHeiligtum
    ...mit dem Inhalt...
    -r-------- 1 meggles meggles 30 7 Nov 18:32 Foto.jpg

    Das Recht auf den Inhalt (die Datei Foto.jpg) wurde rekursiv vergeben (also unter "Information"-"Auf alle Unterobjekte anwenden" oder entsprechend am Terminal mit "-R".
    Wieso zum Henker kann ich im Finder das Verzeichnis "meinHeiligtum" in den Papierkorb werfen, obwohl ich kein Schreibrecht auf den Ordner habe?

    :confused:

    Ein wirklich verdutzter Simon
    bedankt sich für weitere Hife....
     
  4. blalalama

    blalalama MacUser Mitglied

    Beiträge:
    842
    Zustimmungen:
    1
    MacUser seit:
    29.05.2003
    Unter 10.3 Gibt es auch die Möglichkeit den Papierkorb "Sicher" zu entleeren. wird mit dem Konsolenbefehl 'srm' (Secure Remove) gemacht.
    Für nähere Infos im Terminal 'man srm' eingeben.

    Du siehst: man braucht keine extra Tools dafür ;)

    gruß
    lama
     
  5. blalalama

    blalalama MacUser Mitglied

    Beiträge:
    842
    Zustimmungen:
    1
    MacUser seit:
    29.05.2003
    Hmmm... hab das auch mal gerade getestet. Ist bei mir auch möglich :( Entweder 'works as designed' oder ein Käfer (Ruf mal jemand die Starship Troopers :D)

    ein verdutzter Wirtschaftsinformatiker
     
  6. Placebo

    Placebo Banned

    Beiträge:
    210
    Zustimmungen:
    0
    MacUser seit:
    24.10.2004
    @meggles

    So, wir gehen jetzt mal der Sache auf den Grund. Wäre nämlich wirklich für alle Beteiligten sehr hilfreich wenn man die Bewandnisse dafür herausfinden würde.

    Also erstmal hat es sicher zunächst damit zu tun, daß man ein User der Gruppe staff und admin ist. Ein User der den Computer verwalten darf (laut Systemeinstellungen > Benutzer) ist nämlich automatisch laut Netinfo in zwei Gruppen.

    Dann ist man zusätzlich auch noch der erste wahre Besitzer der Datei oder des Verzeichnisses, was man ja bisher auch noch nicht geändert hat.

    Ich habe mir nun für ein Verzeichnis (Name V1) die Rechte im Finder komplett entzogen. Danach bekam V1 das rote Verbotsschild verpasst. Trotzdem läßt sich V1 jetzt noch vom Namen her ändern und auch in den Papierkorb legen und löschen. Aber nicht mehr öffnen, schauen was drin liegt kann ich also schon nicht mehr.

    Tja, was hat das zu bedeuten? Als anderer User hätte ich jetzt mit V1 schon gar nichts mehr machen können. Ich denke mal daß man sich selbst die Rechte aus datensicherheitsrechtlichen Gründen nicht vollkommen entziehen kann. Wahrscheinlich kann nur der Root dem Administrator komplett die Rechte nehmen, weil damit auch die Besitzverhältnisse und verfügbaren Funktionen geändert und verboten werden.

    Aber wer verbietet dann dem Root was er nicht soll? Gute Frage. Das kann niemand mehr. Der Root ist so gefährlich daß man ihn nur deaktivieren kann wenn er nicht mehr benötigt wird. Damit hätte sich das erledigt. Wenn es einen User auf dem System nicht gibt, braucht man diesem auch nichts verbieten.

    Soweit so gut. Hat noch jemand etwas hinzuzufügen? Oder lassen wir es dabei?
     
  7. lundehundt

    lundehundt MacUser Mitglied

    Beiträge:
    19.352
    Zustimmungen:
    881
    MacUser seit:
    22.02.2003
    Du legst als Admin einen Ordner an - bist damit der Owner des Ordners- und entziehst dir anschl. die Schreib-Rechte fuer den Ordner. Damit bleibst du aber Admin und der Owner des Ordners. Und als der kannst du natuerlich den Ordner samt Inhalt loeschen. Auch wenn du nicht in den Ordner schreiben darfst - was nur begrenzt Sinnn macht - es sei denn du willst ungewollte Aenderungen an dem Ordner verhindern. Wenn du auch das Loeschen ueber permissions verhindern willst wuerde es eher Sinn machen den Owner des Ordners zu aendern. Aber jeder mit dem Admin passwort kann das wieder aendern.

    Ich wuerde fuer andere Personen an meinem Rechner immer einen Guest Account einrichten - oder warum fuerchtest du um deine Urlaubsbilder?

    Cheers,
    Lunde
     
  8. blalalama

    blalalama MacUser Mitglied

    Beiträge:
    842
    Zustimmungen:
    1
    MacUser seit:
    29.05.2003
    Hier ich! :hops: "Works also as designed" :D
     
  9. tdintegra

    tdintegra MacUser Mitglied

    Beiträge:
    4
    Zustimmungen:
    0
    MacUser seit:
    14.08.2004
    Ja, das ist doch genau das Verhalten, das ich beschrieben habe, oder nicht?

    Wie ich ja schon erwähnte , kenne ich leider das Mac-Dateisystem nicht und habe auch keinen Mac zur Verfügung, aber hier mal die Prozedur unter Linux:


    mbb@Chisel:~/test> mkdir meinHeiligtum
    mbb@Chisel:~/test> ls -l
    insgesamt 0
    drwxr-xr-x 2 mbb users 48 2004-11-07 19:52 meinHeiligtum
    mbb@Chisel:~/test> cd meinHeiligtum/
    mbb@Chisel:~/test/meinHeiligtum> touch datei1 datei2
    mbb@Chisel:~/test/meinHeiligtum> chmod 444 datei1
    mbb@Chisel:~/test/meinHeiligtum> ls -l
    insgesamt 0
    -r--r--r-- 1 mbb users 0 2004-11-07 19:52 datei1
    -rw-r--r-- 1 mbb users 0 2004-11-07 19:52 datei2
    mbb@Chisel:~/test/meinHeiligtum> rm datei1
    rm: reguläre leere Datei (schreibgeschützt) »datei1« entfernen? j
    mbb@Chisel:~/test/meinHeiligtum> ls -l
    insgesamt 0
    -rw-r--r-- 1 mbb users 0 2004-11-07 19:52 datei2
    mbb@Chisel:~/test/meinHeiligtum> chmod -w .
    mbb@Chisel:~/test/meinHeiligtum> ls -l ..
    insgesamt 0
    dr-xr-xr-x 2 mbb users 72 2004-11-07 19:52 meinHeiligtum
    mbb@Chisel:~/test/meinHeiligtum> rm datei2
    rm: Entfernen von »datei2« nicht möglich: Keine Berechtigung


    datei1 lässt sich problemlos löschen, obwohl read only. datei2 lässt sich nicht
    löschen, nachdem ich den Ordner meinHeiligtum read only gesetzt habe.

    So verhalten sich alle mir bekannten Unixdateisysteme. Mag aber sein, daß es
    am Mac anders ist.

    Manfred
     
  10. meggles

    meggles Thread Starter Gast

    Also schon mal kein Fehler an _meinem_ System.... puh! :D
    (dennoch interessant, dieser Aha-Effekt, oder?)

    Der Grund, wieso ich auf den Ordner Schreibschutz haben will, ist dass ich mit IView die Bilder gerade sortiere - der Bezug wird dabei zwar ausschließlich in der Katalogdatei hergestellt, die Datenbasis bleobt unverändert. Der Schreibschutz sollte nur so ein "doppelt-hält-besser"-Schutz sein, damit auch wirklich gar nichts mehr daran verändert wird. Ich änderte also die Zugriffsrechte für den Testordner und war frappiert, dass ich ihn immer noch löschen konnte!

    @Lunde: ich hab das ganze unter einem normalen Useraccount getestet. Mit "groups" an der Konsole die Mitgliedschaften überprüft: er war nur Mitglied seiner eigenen Gruppe und konnte ihn ebenfalls löschen...

    Die Logik will mir noch nicht ganz einleuchten - verzeiht mir den Vergleich, aber unter Win gibts eine Checkbox mit dem Namen "Schreibschutz"...
    *denKöderUnterDenMacSpezialistenAuswerf*

    Wers rauskriegt, bekommt ne virtuelle Kiste Bier! :D

    Gruß,
    Simon
     
Die Seite wird geladen...