wieder eine User-Admin-Frage

M

meggles

Hallo,
ich habe derzeit unter OSX nur einen Benutzer - mich; und ich bin der Admin :D
Nun bin ich aus folgendem aktuellem Anlass erstmals mit dem Problem konfrontiert, ob das wirklich so gut ist...:
Ich habe einen Ordner mit extreeeeeem :) wichtigen Digitalfotos (Urlaub).
Ich will Änderungen an diesem Ordner verhindern.
Um erstmal zu testen, habe ich mir einen Testordner angelegt, mit Apfel-I-Erweitert habe ich mir als Eigentümer des Ordners Nur-Lesezugriff gegeben. Da ich Eigner bin, sperre ich mich dadurch ja nicht aus.
=> Potzblitz - ich konnte den Ordner trotzdem löschen!!!

Liegt das daran, dass ich als Admin Super-Rechte an diesem Ordner habe...?
Wenn ja, würde ich folgendermaßen vorgehen (korrigiert mich, sollte da was falsch dran sein):
* Neuen User ("admin") anlegen, mit Admin-rechten versehen.
* Als Admin anmelden, und dem Nutzer "meggles" (=mir) die Admin-Rechte nehmen

Oder gibts ein Risiko, sich irgendwie auszusperren, wenn man eine Zeit lang mit Admin-rechten gearbeitet hat?

Wäre toll, wenn Ihr mir "beistehen" ;-) könntet...
Danke!
Simon
 
Hallo meggles,

ich kenne zwar das Dateisystem von MacOS nicht, aber ich denke mal, es verhält sich genauso wie bei anderen Unixen und auch bei Windows/DOS.

Was ist technisch gesehen ein Ordner? Es ist auch nur eine Datei, in der Namen anderer Dateien stehen, nämlich die Namen derjenigen Dateien, die sich in Deinem Ordner befinden.

OK, was passiert, wenn Du eine Datei löscht? Es wird nicht wirklich die Datei von der Festplatte entfernt, sondern lediglich der Eintrag in dem Ordner, in dem sich die Datei befand. Die Datei ist immer noch da, Du kannst nur nicht mehr darauf zugreifen.

Das bedeutet, wenn Du eine Datei löscht, dann modifizierst Du nicht die Datei, sondern den Ordner! Daß die Datei schreibgeschützt war, nützt da garnichts, Du musst den Ordner schreibschützen!

Willst Du also Deinen Ordner vor dem Löschen schützen, musst Du dem übergeordneten Ordner die Schreibrechte entziehen.

Übrigens: Um eine Datei wirklich spurlos von der Festplatte verschwinden zu lassen gibts Tools wie z. B. 'shred', die eine Datei byteweise überschreiben.

Ich hoffe, das hilft Dir weiter

Manfred
 
Manfred, Du machst gerade nen Fachinformatiker sprachlos, hihi.... :D

Willst Du also Deinen Ordner vor dem Löschen schützen, musst Du dem übergeordneten Ordner die Schreibrechte entziehen.
Zum Vergrößern anklicken....

Sorry, aber das stimmt wirklich nicht. Wie sollte ich denn das machen? Sowas kann ich nur Usern und Gruppen erlauben, aber doch nicht Ordnern...?

Ordner "meinHeiligtum"...
dr-x------ 3 meggles meggles 102 7 Nov 18:32 meinHeiligtum
...mit dem Inhalt...
-r-------- 1 meggles meggles 30 7 Nov 18:32 Foto.jpg

Das Recht auf den Inhalt (die Datei Foto.jpg) wurde rekursiv vergeben (also unter "Information"-"Auf alle Unterobjekte anwenden" oder entsprechend am Terminal mit "-R".
Wieso zum Henker kann ich im Finder das Verzeichnis "meinHeiligtum" in den Papierkorb werfen, obwohl ich kein Schreibrecht auf den Ordner habe?

:confused:

Ein wirklich verdutzter Simon
bedankt sich für weitere Hife....
 
tdintegra schrieb:
<snip>
Übrigens: Um eine Datei wirklich spurlos von der Festplatte verschwinden zu lassen gibts Tools wie z. B. 'shred', die eine Datei byteweise überschreiben.
<snip>
Zum Vergrößern anklicken....

Unter 10.3 Gibt es auch die Möglichkeit den Papierkorb "Sicher" zu entleeren. wird mit dem Konsolenbefehl 'srm' (Secure Remove) gemacht.
Für nähere Infos im Terminal 'man srm' eingeben.

Du siehst: man braucht keine extra Tools dafür ;)

gruß
lama
 
meggles schrieb:
Manfred, Du machst gerade nen Fachinformatiker sprachlos, hihi.... :D



Sorry, aber das stimmt wirklich nicht. Wie sollte ich denn das machen? Sowas kann ich nur Usern und Gruppen erlauben, aber doch nicht Ordnern...?

Ordner "meinHeiligtum"...
dr-x------ 3 meggles meggles 102 7 Nov 18:32 meinHeiligtum
...mit dem Inhalt...
-r-------- 1 meggles meggles 30 7 Nov 18:32 Foto.jpg

Das Recht auf den Inhalt (die Datei Foto.jpg) wurde rekursiv vergeben (also unter "Information"-"Auf alle Unterobjekte anwenden" oder entsprechend am Terminal mit "-R".
Wieso zum Henker kann ich im Finder das Verzeichnis "meinHeiligtum" in den Papierkorb werfen, obwohl ich kein Schreibrecht auf den Ordner habe?

:confused:

Ein wirklich verdutzter Simon
bedankt sich für weitere Hife....
Zum Vergrößern anklicken....

Hmmm... hab das auch mal gerade getestet. Ist bei mir auch möglich :( Entweder 'works as designed' oder ein Käfer (Ruf mal jemand die Starship Troopers :D)

ein verdutzter Wirtschaftsinformatiker
 
@meggles

So, wir gehen jetzt mal der Sache auf den Grund. Wäre nämlich wirklich für alle Beteiligten sehr hilfreich wenn man die Bewandnisse dafür herausfinden würde.

Also erstmal hat es sicher zunächst damit zu tun, daß man ein User der Gruppe staff und admin ist. Ein User der den Computer verwalten darf (laut Systemeinstellungen > Benutzer) ist nämlich automatisch laut Netinfo in zwei Gruppen.

Dann ist man zusätzlich auch noch der erste wahre Besitzer der Datei oder des Verzeichnisses, was man ja bisher auch noch nicht geändert hat.

Ich habe mir nun für ein Verzeichnis (Name V1) die Rechte im Finder komplett entzogen. Danach bekam V1 das rote Verbotsschild verpasst. Trotzdem läßt sich V1 jetzt noch vom Namen her ändern und auch in den Papierkorb legen und löschen. Aber nicht mehr öffnen, schauen was drin liegt kann ich also schon nicht mehr.

Tja, was hat das zu bedeuten? Als anderer User hätte ich jetzt mit V1 schon gar nichts mehr machen können. Ich denke mal daß man sich selbst die Rechte aus datensicherheitsrechtlichen Gründen nicht vollkommen entziehen kann. Wahrscheinlich kann nur der Root dem Administrator komplett die Rechte nehmen, weil damit auch die Besitzverhältnisse und verfügbaren Funktionen geändert und verboten werden.

Aber wer verbietet dann dem Root was er nicht soll? Gute Frage. Das kann niemand mehr. Der Root ist so gefährlich daß man ihn nur deaktivieren kann wenn er nicht mehr benötigt wird. Damit hätte sich das erledigt. Wenn es einen User auf dem System nicht gibt, braucht man diesem auch nichts verbieten.

Soweit so gut. Hat noch jemand etwas hinzuzufügen? Oder lassen wir es dabei?
 
meggles schrieb:
Hallo,

Um erstmal zu testen, habe ich mir einen Testordner angelegt, mit Apfel-I-Erweitert habe ich mir als Eigentümer des Ordners Nur-Lesezugriff gegeben. Da ich Eigner bin, sperre ich mich dadurch ja nicht aus.
=> Potzblitz - ich konnte den Ordner trotzdem löschen!!!

Liegt das daran, dass ich als Admin Super-Rechte an diesem Ordner habe...?
Wenn ja, würde ich folgendermaßen vorgehen (korrigiert mich, sollte da was falsch dran sein):
* Neuen User ("admin") anlegen, mit Admin-rechten versehen.
* Als Admin anmelden, und dem Nutzer "meggles" (=mir) die Admin-Rechte nehmen

Oder gibts ein Risiko, sich irgendwie auszusperren, wenn man eine Zeit lang mit Admin-rechten gearbeitet hat?

Wäre toll, wenn Ihr mir "beistehen" ;-) könntet...
Danke!
Simon
Zum Vergrößern anklicken....

Du legst als Admin einen Ordner an - bist damit der Owner des Ordners- und entziehst dir anschl. die Schreib-Rechte fuer den Ordner. Damit bleibst du aber Admin und der Owner des Ordners. Und als der kannst du natuerlich den Ordner samt Inhalt loeschen. Auch wenn du nicht in den Ordner schreiben darfst - was nur begrenzt Sinnn macht - es sei denn du willst ungewollte Aenderungen an dem Ordner verhindern. Wenn du auch das Loeschen ueber permissions verhindern willst wuerde es eher Sinn machen den Owner des Ordners zu aendern. Aber jeder mit dem Admin passwort kann das wieder aendern.

Ich wuerde fuer andere Personen an meinem Rechner immer einen Guest Account einrichten - oder warum fuerchtest du um deine Urlaubsbilder?

Cheers,
Lunde
 
meggles schrieb:
...
Ordner "meinHeiligtum"...
dr-x------ 3 meggles meggles 102 7 Nov 18:32 meinHeiligtum
...mit dem Inhalt...
-r-------- 1 meggles meggles 30 7 Nov 18:32 Foto.jpg

...
Wieso zum Henker kann ich im Finder das Verzeichnis "meinHeiligtum" in den Papierkorb werfen, obwohl ich kein Schreibrecht auf den Ordner habe?
...
.
Zum Vergrößern anklicken....

Ja, das ist doch genau das Verhalten, das ich beschrieben habe, oder nicht?

Wie ich ja schon erwähnte , kenne ich leider das Mac-Dateisystem nicht und habe auch keinen Mac zur Verfügung, aber hier mal die Prozedur unter Linux:


mbb@Chisel:~/test> mkdir meinHeiligtum
mbb@Chisel:~/test> ls -l
insgesamt 0
drwxr-xr-x 2 mbb users 48 2004-11-07 19:52 meinHeiligtum
mbb@Chisel:~/test> cd meinHeiligtum/
mbb@Chisel:~/test/meinHeiligtum> touch datei1 datei2
mbb@Chisel:~/test/meinHeiligtum> chmod 444 datei1
mbb@Chisel:~/test/meinHeiligtum> ls -l
insgesamt 0
-r--r--r-- 1 mbb users 0 2004-11-07 19:52 datei1
-rw-r--r-- 1 mbb users 0 2004-11-07 19:52 datei2
mbb@Chisel:~/test/meinHeiligtum> rm datei1
rm: reguläre leere Datei (schreibgeschützt) »datei1« entfernen? j
mbb@Chisel:~/test/meinHeiligtum> ls -l
insgesamt 0
-rw-r--r-- 1 mbb users 0 2004-11-07 19:52 datei2
mbb@Chisel:~/test/meinHeiligtum> chmod -w .
mbb@Chisel:~/test/meinHeiligtum> ls -l ..
insgesamt 0
dr-xr-xr-x 2 mbb users 72 2004-11-07 19:52 meinHeiligtum
mbb@Chisel:~/test/meinHeiligtum> rm datei2
rm: Entfernen von »datei2« nicht möglich: Keine Berechtigung


datei1 lässt sich problemlos löschen, obwohl read only. datei2 lässt sich nicht
löschen, nachdem ich den Ordner meinHeiligtum read only gesetzt habe.

So verhalten sich alle mir bekannten Unixdateisysteme. Mag aber sein, daß es
am Mac anders ist.

Manfred
 
Also schon mal kein Fehler an _meinem_ System.... puh! :D
(dennoch interessant, dieser Aha-Effekt, oder?)

Der Grund, wieso ich auf den Ordner Schreibschutz haben will, ist dass ich mit IView die Bilder gerade sortiere - der Bezug wird dabei zwar ausschließlich in der Katalogdatei hergestellt, die Datenbasis bleobt unverändert. Der Schreibschutz sollte nur so ein "doppelt-hält-besser"-Schutz sein, damit auch wirklich gar nichts mehr daran verändert wird. Ich änderte also die Zugriffsrechte für den Testordner und war frappiert, dass ich ihn immer noch löschen konnte!

@Lunde: ich hab das ganze unter einem normalen Useraccount getestet. Mit "groups" an der Konsole die Mitgliedschaften überprüft: er war nur Mitglied seiner eigenen Gruppe und konnte ihn ebenfalls löschen...

Die Logik will mir noch nicht ganz einleuchten - verzeiht mir den Vergleich, aber unter Win gibts eine Checkbox mit dem Namen "Schreibschutz"...
*denKöderUnterDenMacSpezialistenAuswerf*

Wers rauskriegt, bekommt ne virtuelle Kiste Bier! :D

Gruß,
Simon
 
ähm: Entschuldigt, dass ich mich einmische, aber abgesehen von einem sprachlichen Ausrutscher hat imho meggles recht.

Unter Unix benötigt man zum Anlegen und Löschen von Dateien Schreibrecht in dem enthaltenden Verzeichnis.
Außerdem kann man Unix-Flags vergeben, die die Änderungsrechte an Dateien beeinflussen können.
Unter Mac OS X kann man zusätzlich noch Macintosh-Dateiattribute vergeben (hier wäre das Attribut "Geschütz" sinnvoll.)
Dazu müssen aber die Devtools installiert sein (zumindest teilweise).
 
Die Lösung...

Also, in der MacLife hab ich ein Tool gefunden, was mein Problem auf einfachste art und weise löst. (nachdem ichs mittlerweile aufgegeben habe, zu grübeln... ;-)
http://iconus.ch/fabien/locklock/
Grüße,
Simon
 
Zuletzt bearbeitet von einem Moderator:
Zurück
Oben Unten