Benutzer-Sicherheitskonzept von MacOS

S

StruppiMac

Mitglied
Thread Starter
Dabei seit
18.05.2006
Beiträge
2.862
Reaktionspunkte
39
Hi,
heute ist mir etwas komisches (hat mich aber sehr verärgert) passiert.
Es kam heute mein Schwager vorbei und weil er noch etwas arbeiten wollte, habe ich ihm einen Benutzer angelegt (eingeschränkter Benutzer) und war mir eigentlich sicher, dass so meine Daten vor seinem Zugriff geschützt sind.

Denkste.

Als ich ihm Spotlight erklären wollte, tauchten fröhlich meine Daten aus MEINEM Benutzerordner auf - anklicken war ein leichtes - der Benutzer hat Zugriff auf die Daten, die ich in meinem Benutzerordner habe und das hat mir echt gestunken!

Eizig auf meinen Dokumente und Bilder usw Ordner ist der Zugriff beschränkt, aber der Rest ist offen. Ist das im Sinne des Erfinders? Das kann doch nicht sein... Oder hab ich da was übersehen? Eine Einstellung wie "Mache den Benutzer so, wie ihn ein normaldenkender Mensch machen würde und nicht wie ein Apple-Techniker im Cola-Rausch denkt, es sei richtig" ist mir leider nicht begegnet...

Gruß
 
das ist auf jedem unix system so, da musst du schon explizit das lesen deiner ordner/dateien für alle verbieten und nur für deinen user zulassen...
 
Waren das selbst angelegte Ordner auf die er Zugriff bekam in deinen Privat Verzeichnis oder Unterordner in Dokumente ect. ?
 
Willst du, dass ~/Sites ueber einen gestarteten FTP-Server erreichbar ist?
Willst du, dass andere benutzer Zugriff auf den Public-Ordner haben?

Dann brauchen andere Benutzer auch impliziten Zugriff auf deinen Userordner (ergibt ja Sinn, Ordnerhierarchie und so).

Worauf sie dann keinen Zugriff haben, sind die nicht-oeffentlichen Ordner (Documents, Music, etc). Wenn du allerdings neue Ordner oder Dateien anlegst, sind diese (zumindest bei mir) automatisch von anderen Nutzern lesbar.

Lebe damit, oder lerne chmod
Code: 
man chmod

edit: hoppla, das heisst ~/Sites, nicht /Sites
 
mwl schrieb:
Lebe damit,
Zum Vergrößern anklicken....
Sorry, aber hier hat IMHO Apple geschlafen.
Es ist garantiert nicht im Interesse eines jeden Users, dass ein anderer Benutzer auf Ordner und Dateien aus dem eigenen "Privaten" Bereich hat.
Per Default sollte hier der Zugriff gesperrt sein.

Ich kann ja jetzt nicht jeden Ordner durchgehen und die Rechte setzen
 
Aus http://docs.info.apple.com/article.html?artnum=301533:
Note: If your computer has multiple user accounts, any files that reside at the top level of each user's Home folder will also be indexed and searchable by Spotlight, even though they cannot be modified. However, all files and folders located within a user's Desktop, Documents, Library, Music, Movies, and Pictures folders will not be indexed nor can they be searched by other user accounts using Spotlight.
Zum Vergrößern anklicken....

Wäre mal interessant wo die Dateien die Spotlight angezeigt hat, liegen. Unabhängig von den Voreinstellungen musst Du Dich schon selbst um Deine Rechte kümmern (das durchaus sinnvolle Rechtesystem von Unix wurde ja bereits erwähnt). Dazu ist es keineswegs notwendig die Rechte jedes Ordners, jeder Datei zu ändern. Nur aus Interesse ob Apple da Mist gebaut hat oder nicht: Überprüf doch mal die Rechte die die genannten Ordner bei Dir haben.

Grüße,
Flo
 
wie bereits gesagt ist das auch bei jedem linux und so. alle user (eingeschränkte) gehören zur Gruppe "users" und alle gruppenmitglieder haben lese rechte. schreibrechte mußt du ihnen geben. genauso ist mit allen anderen usern. die haben grundsätzlich auch erstmal leserechte. wenn du das nicht willst, dann brauchst du nur die rechte ab deinem User-Ordner (bei linux /users/username/) so zu vergeben, dass nur du noch dran darfst und allen anderen sowohl lesen als auch schreiben verwehrt wird.

beispielsweise mit "chmod /users/username/ -R go-r"
 
chmod go-r /Users/username

koennte hierbei helfen. Verbietet anderen Directory-Listings dieses Ordners, nur noch bekannte Dateien koennen aufgerufen werden. Ich komme zwar als anderer User noch nach /Users/username/Sites (inkl. ls), aber ls /Users/username schlaegt fehl. Ob es in der Praxis funktioniert, keine Ahnung.

mumawu: So kommt man auch nimmer auf Public und Sites ...
 
Das Problem ist doch folgendes: Ein anstaendiges Linux, zumindest meins und bei uns an der Uni gibt dem Homeverzeichnis nicht 777! Wenn man jetzt jemandem Zugriff gewaehren moechte, wie z.B. ueber user/www, dann muss man user explizit auf 777 setzen und www ebenfalls, sowie Gruppenrechte setzen. Der Mac macht es, wohl der Einfachheit halber anders herum. Wobei ein kleiner Zusatz unter Systemeinstellungen | Sharing das beheben koennte. Klickt man dort irgendwas an, koennte OS X die Rechte anpassen.
Da auf meinem Mac nur ich arbeite ist mir das egal, aber auf einem Mehrbenutzeraccount ist es nicht sehr sinnvoll -> Datenschutzproblem. Du kannst dich ja mal bei Apple beschweren. Viel helfen wird es wohl nicht.
 
Ihr werdet lachen - ich habe eben versucht über "Auf alle Unterobjekte" die Rechte zu ändern - darf ich nicht, weil ich nicht die Rechte dazu habe :D - wenn das nix ist ;)
 
...

Hallo lengsel,

lengsel schrieb:
...(das durchaus sinnvolle Rechtesystem von Unix wurde ja bereits erwähnt)...
Zum Vergrößern anklicken....

Ist es wirklich so sinnvoll?

Für mich wäre es sinnvoll, wenn ein neu erstellter Ordner erst mal die Rechte des übergeordneten Ordners erhält. Warum sollte ein Ordner auf dem Desktop Leserechte für Andere bekommen, wenn eh kein anderer User auf meinen Desktop zugreifen darf? (root lass ich mal weg)
Das würde jetzt das Problem von StruppiMac nicht lösen.
Der Standarduser darf keinen Ordner in seinem Userordner erstellen. Er darf aber einen Ordner in seinen Userordner verschieben! Wird der Ordner tatsächlich in Web-Sites oder Öffentlich erstellt und dann in das Home verschoben, kommt eine Warnmeldung, dass der Ordner von anderen gelesen werden kann und ob man das beibehalten möchte oder ändern.
Ähnliches wäre dann mit dem Briefkasten nötig. Wobei ja da eine Warnmeldung kommt und die Rechte werden beim Verschieben (von anderen Usern) geändert.
Wird ein Ordner von Home nach Öffentlich, Web-Sites oder Für alle Benutzer verschoben, werden die Rechte geändert.

Das könnte doch klappen - oder habe ich noch etwas übersehen?

Gruß Andi
 
@Lengsel: Du hast natuerlich recht. Reinschauen kann trotzdem jeder.
@Andi: Genau so stelle ich mir das vor. Koennte man eventuell selber schreiben.
 
...

Hallo Wolfsbein,

Wolfsbein schrieb:
Koennte man eventuell selber schreiben.
Zum Vergrößern anklicken....

Vier Ordneraktionen.

1. "Home" - neue Objekte Rechte prüfen lesen ja/nein - Rechte setzen.
2. "Öffentlich" neue Objekte - Rechte setzen
3. "Web-Sites" neue Objekte - Rechte setzen.
4. "Für alle Benutzer" neue Objekte - Rechte setzen.

Eigentlich nur zwei Aktionen an 4 Ordnern. Unterobjekte könnte man vernachlässigen da Standard eh Lesen wäre...

Immer noch kein Denkfehler?
Am Briefkasten hängt doch auch keine Aktion - wie wird der denn verwaltet?

Gruß Andi
 
Andi schrieb:
..1. "Home" - neue Objekte Rechte prüfen lesen ja/nein - Rechte setzen.
2. "Öffentlich" neue Objekte - Rechte setzen
3. "Web-Sites" neue Objekte - Rechte setzen.
4. "Für alle Benutzer" neue Objekte - Rechte setzen...
Zum Vergrößern anklicken....

Ist das Automator Style? Ich dachte eher an ein Perlscript, dass ich von mir aus vor jedem Logout, oder stuendlich kurz laufen lasse, damit neue Ordner unterhalb von ~ auch immer schoen die richtigen Rechte bekommen.
Trotzdem ist und bleibt es eine Kruecke. Das Betriebssystem koennte es, wie oben disskutiert gleich anders machen.
 
Mal abgesehen davon, dass ich das Problem auf die Schnelle nicht ganz nachvollziehen kann:
Wolfsbein schrieb:
Ist das Automator Style? Ich dachte eher an ein Perlscript, dass ich von mir aus vor jedem Logout, oder stuendlich kurz laufen lasse, damit neue Ordner unterhalb von ~ auch immer schoen die richtigen Rechte bekommen.
...
Zum Vergrößern anklicken....
Ein Perlskript, das letztendlich doch nur Systemfunktionen aufruft ist nicht besonders effizient, da würde ich eher zu einem Shellskript raten.
Wolfsbein schrieb:
Trotzdem ist und bleibt es eine Kruecke. Das Betriebssystem koennte es, wie oben disskutiert gleich anders machen.
Zum Vergrößern anklicken....
Kann es auch.
Ich sehe spontan zwei Lösungsansätze:
1. umask ändern
2. ACL's (Access Control Lists) anlegen
 
...

Hallo Wolfsbein,

Ist das Automator Style?
Zum Vergrößern anklicken....

Das hat nichts mit Automator zu tun. Ordneraktionen sind kleine AppleScripts, die mit einem Ordner verknüpft werden.

Code: 
on adding folder items to this_folder after receiving these_items
	-- insert actions here
end adding folder items to

Der Ordner wird dann überwacht. Kommt ein bzw. mehrere Objekt(e) hinzu wird die Aktion sofort abgearbeitet.

Leider kann man die permissions mit AppleScript nicht so genau abfragen wie im Terminal.
Und wenn ich es mit "do shell script ("ls -ld " & folder_path)" abfrage kann ich das Ergebnis nicht für den z.B Bilderordner weiterverarbeiten.

Ergebnis Home: drwxr-xr-x
Ergebnis Bilder: drwx------

Wobei die Striche nach drwx im zweiten Fall nicht verarbeitet werden können.

@maceis: Gibt es eine Möglichkeit sich die Rechte als Oktalzahl ausgeben zu lassen, damit man das wieder einfacher mit chmod xxx verwenden kann?

Gruß Andi
 
maceis schrieb:
...
Ich sehe spontan zwei Lösungsansätze:
1. umask ändern
2. ACL's (Access Control Lists) anlegen
Zum Vergrößern anklicken....
Genau. Ich werde die umask aendern. Nur der normale Nutzer weiss nicht was das ist. Es muesste eine Standardloesung her.
 
Wolfsbein schrieb:
Genau. Ich werde die umask aendern. Nur der normale Nutzer weiss nicht was das ist. Es muesste eine Standardloesung her.
Zum Vergrößern anklicken....

Ich schließe mich da an! War doch eine ganz einfache und verständliche Frage von StruppiMac (ich dachte, ich lese nicht richtig!!)
..und nun sind wir in einer Diskussion, die nur noch EDV-Spezies verstehen.
Gibt es wirklich keine einfache Lösung?! Ich dachte der Privat Vault Orner wäre gerade dazu da, eben NICHT von anderen gelesen werden zu können!!!!!
 
Zurück
Oben Unten