Benutzerrechte im Home Verzeichnis

[steffmaster78]

Hallo Leute,

ich versteh da was nicht. Ich habe einen weiteren User auf meinem MBP angelegt, Standardbenutzer. Nun habe ich mich angemeldet mit diesem Benutzernamen "User 2". Warum hat User 2 Zugriff auf selbst erstellte Ordner im Home Verzeichnis von User 1??? Einige der Ordner sind mit einem Minus gekennzeichnet, darauf besteht dann kein Zugriff. Allerdings werden alle neuen Verzeichnisse so eingerichtet, dass die Gruppe "staff" und "everyone" lesend zugreifen dürfen.

Das ist doch kacke wie ich finde.

Ich kenne es von Linux nur so, dass man nicht einmal den Inhalt eines Home Verzeichnisses eines anderen Users sehen kann, mal ganz abgesehen davon, dass unter den mir bekannten Distris bisher immer die Home Verzeichnisse vor Blicken anderer User geschützt waren.

Nun habe ich das da gefunden. Ist das wirklich notwendig, dass man solche Klimmzüge macht, um ein Standardverhalten hervorzurufen? Ich kanns kaum glauben...

 

[picollo]

Bei mir geht das nicht, ich kann nicht auf die Daten des anderen Benutzers zugreifen. Zumindest nicht vom Standardnutzer aus.
Nimm bei den Ordnern/Dateien die Gruppe "staff" raus und für everyone Zugriff auf "Keine Rechte".

 

[bruderlos]

habe mal das gerade testweise auf meinem m1 macbook pro auch ausprobiert.
einen Standardnutzer angelegt und mir die berechtigungen angeschaut. er kann tatsächlich als mitglied der gruppe staff in die nutzerordner der anderen user wechseln.

auf den normalen user wechseln und dann in der konsole:

cd /Users
chmod go-rwx NAMEDESBENUTZERORDNER

hilft allerdings, so dass andere User nicht mehr in das Verzeichnis wechseln können.

 

[steffmaster78]

Ich weiss was ich tun muss um das zu verhindern. Ich wollte wissen, warum und ob überhaupt das MacOS Standardverhalten ist. Finde ich ehrlich gesagt vollkommen irrsinnig.

Das gehört doch per Default so, dass User 1 nicht im Verz. von User 2 rumwuseln kann, es sei denn ich möchte das explizit.

 

[steffmaster78]

Bei mir geht das nicht, ich kann nicht auf die Daten des anderen Benutzers zugreifen. Zumindest nicht vom Standardnutzer aus.
Nimm bei den Ordnern/Dateien die Gruppe "staff" raus und für everyone Zugriff auf "Keine Rechte".

Danke für den Hinweis. Aber wie gesagt... ist das ein Bug in (meinem) System oder ist das so per default unter MacOS?

 

[bruderlos]

das ist kein Bug sondern Standardverhalten. Beim Anlegen eines neuen Users landet ein User in der Gruppe "Staff". Normalerweise sollte ein Admin beim Anlegen neuer User entscheiden, welche Grp die User zugeteilt werden.

Staff hat offensichtlich standardmässig +x Rechte auf die Verzeichnisse unter /Users , was dazu führt, dass du in die Verzeichnisse wechseln kann.
Wenn du das ändern willst, kann jeder User durch die Eingabe des o.g. Befehls chmod go-rwx /Users/XY verhindern, dass in sein Verzeichnis gewechselt werden kann. Wo da angeblich "Klimmzüge" zu sehen sind, weiss ich nicht?!

 

[Debianer]

Wenn ich in der Benutzerverwaltung einen neuen Benutzer anlege, habe ich zur Auswahl Administrator, Standard, Nur teilen.
Lege ich Standard an, hat dieser automatisch die Gruppe Staff. Eine gesonderte Zuweisung einer Gruppe sehe ich hier nicht.

Letztlich ist das auch egal, weil zu individuell erzeugten Ordnern in ~/ die Default-Umask des angemeldeten Accounts auf 022 gesetzt ist.
D.h. jeder kann hier rein und lesen. Da muss ich @steffmaster78 mit seiner Kritik recht geben, Umask sollte 027 sein. Das wäre so dass, was ich üblicherweise erwarten würde. Gut zu wissen..

 

[steffmaster78]

das ist kein Bug sondern Standardverhalten. Beim Anlegen eines neuen Users landet ein User in der Gruppe "Staff". Normalerweise sollte ein Admin beim Anlegen neuer User entscheiden, welche Grp die User zugeteilt werden.

Staff hat offensichtlich standardmässig +x Rechte auf die Verzeichnisse unter /Users , was dazu führt, dass du in die Verzeichnisse wechseln kann.
Wenn du das ändern willst, kann jeder User durch die Eingabe des o.g. Befehls chmod go-rwx /Users/XY verhindern, dass in sein Verzeichnis gewechselt werden kann. Wo da angeblich "Klimmzüge" zu sehen sind, weiss ich nicht?!

Es ist kein Problem es umzustellen. Aber man erwartet es eben anders herum. Und wenn man nicht zufällig darüber stolpert, erlangen unter Umständen User Zugriff auf Daten, die sie nichts angehen. Einfach zu verstehen, oder?

 

[Debianer]

Es ist kein Problem es umzustellen. Aber man erwartet es eben anders herum. Und wenn man nicht zufällig darüber stolpert, erlangen unter Umständen User Zugriff auf Daten, die sie nichts angehen.

Genau das ist der Punkt.

Ich vermute mal, dass Apple es etwas weniger restriktiv vorgibt, weil nicht jeder Nutzer von MacOS ein Unix-Guru ist.
Manche nutzen das Ding halt nur zum Arbeiten und wollen sich mit solchen Details nicht beschäftigen.
Es soll alles funktionieren und zugänglich sein ohne sich über Gruppen, Umasks und Posix-Rechte Gedanken zu machen.
Jemand der sich damit etwas auskennt kann es halt restriktiver anpassen.
Ich war nur etwas überrascht...

Zum Thema: https://support.apple.com/de-de/HT201684

 

[lunchbreak]

Hallo,

ich war/konnte hier sehr lange nicht mehr online (sein), und habe mich heute mal wieder eingeloggt und bin auf diesen Thread gestoßen.

Ich wollte nur anmerken, daß dieses Verhalten zu meiner großen Verwunderung bei mir genau so ist.

Allerdings sollte man vielleicht anmerken, daß andere Nutzer Zugriff "nur" auf solche Ordner von anderen Nutzern unterhalb deren Home-Verzeichnis haben, welche die anderen Nutzer unter deren Home-Verzeichnis selbst erstellt haben. Also eigene Ordner und Dateien darunter.

Auf den Ordner "Dokumente", und die darunter zu findenden Dateien, funktioniert der Zugriff nicht. Das gibt vielleicht etwas Sicherheit.
Schlimm genug, daß auf Ordner die sich auf der gleichen Ebene wie "Dokumente" befinden, der Zugriff nicht per default verhindert ist.

 

[lunchbreak]

Eigentlich ist das ein Unding. Da speichert jemand was unterhalb seines Home-Verzeichnisses und es ist für alle anderen Nutzer auf der Maschine voll einsehbar. Und das obwohl Apple sich immer als Datenschützer und Privacy-Vorreiter rausputzt und darstellt. Das ist doch verrückt!

 

[bruderlos]

man kann nur rätseln, warum das so ist. aber aus https://support.apple.com/de-de/HT201684 folgt, dass es wohl eine bewusste designentscheidung war, 022 zu setzen und kein bug. Ich vermute mal, dass Apple in MacOS den Fokus nicht so sehr auf Multiuser setzen will, wie das zB ein linux voraussetzt und davon ausgeht, dass macs und imacs als Einzelplatzmaschinen genutzt werden ... Aber ganz schlüssig ist das sicher auch nicht.

Wobei man sich in dem Zusammenhang auch mal fragen kann, warum iOS zB erst gar keine unterschiedlichen Nutzeraccounts unterstützt.

 

[iQuaser]

Eigentlich haben weder der Administrator, noch andere Benutzer in "Dokumente", "Filme" usw. was zu suchen. Wenn man gemeinsame Ordner benötigt, gibt es dafür geteilte Ordner (z.B. Briefkasten) oder man legt diese dediziert außerhalb eines Benutzerverzeichnisses an.

Was habt Ihr denn umgestellt, dass macOS dieses Verhalten zeigt?

 

[lunchbreak]

Nichts.
Und wenn Du mal genau liest, siehts Du es geht nicht um "Dokumente" etc. Sondern um Dateien in Verzeichnissen "neben" Dokumente etc.

 

[picollo]

Anscheinend soll die "Familie" bestehend aus Mutter und Vater und Kinder auf die außerhalb der Standardordner des jeweilig anderen (also außerhalb von Filme, Dokumente) zugreifen können. Führt nun Vater eine Übersicht über die Unterrichtsstunden der Kinder mit einem einfachen Editor in einem neuen Ordner, kann "Mama" auch darauf zugreifen wenn der wiedermal auf Dienstreise ist ... oder vice versa.

Für Datenbanken von Apps ist das meist nicht relevant, da diese im Kontext des Users angelegt werden. Da kann der andere eh nicht drauf zugreifen, da eine neue Datenbank nach Erstaufruf der App in seinem Bereich erstellt wird und auf die Datenbank des anderen gar nicht zugegriffen wird. So ist es z. B. mit Wiso Steuer und Moneyplex wie ich feststellen konnte.
Ganz ehrlich? Die strikte User-Trennung auf einem Linux-PC würde in einer Familie, wo alle auf diesen PC arbeiten, zu Ärger führen: ".. das ging doch mit Windows viel einfacher.".

 

[lunchbreak]

Mag sein, daß das der Grund ist. Wenn ja, dann ist das aber auch nur sehr sehr halbherzig gelöst. Denn während der Zugriff auf all jene Dateien wie hier im Thread beschrieben per Default zwar funktioniert (was ja hier in meinen Augen völlig zurecht kritisiert wird) - das Schreiben (sei es Modifizieren und Speichern oder Neu-Erstellen) geht nicht!

Also so richtig Sinn ergeben tut das alles nicht. Und durchdacht scheint es auch nicht zu sein.

 

[Schiffversenker]

Ganz ehrlich? Die strikte User-Trennung auf einem Linux-PC würde in einer Familie, wo alle auf diesen PC arbeiten, zu Ärger führen: ".. das ging doch mit Windows viel einfacher.".

Dafür gibt es /Users/shared.

 

[jk350]

Dieses Verhalten wäre neu. Bei mir hat nur der User Schreib/Lese-Recht. Habe zwei Ordner unter Users/ angelegt und selber nichts geändert.

 

[lunchbreak]

Doch ist so. Erstelle einen Ordner/ein Verzeichnis in Deinem Home-Verzeichnis. Auf der gleichen Ebene wie "Dokumente". Speichere darin eine Datei, z.B. ein pdf. Logge Dich aus. Logge Dich mit einem anderen User (muß noch nicht mal der Administrator sein, ein normaler User reicht). Gehe in das Home-Verzeichnis des anderen User, dort siehst Du den besagten Ordner. Dann rein, dort siehst Du das pdf. Doppelklick: voila!

 

[iQuaser]

Doch ist so. Erstelle einen Ordner/ein Verzeichnis in Deinem Home-Verzeichnis. Auf der gleichen Ebene wie "Dokumente". Speichere darin eine Datei, z.B. ein pdf. Logge Dich aus. Logge Dich mit einem anderen User (muß noch nicht mal der Administrator sein, ein normaler User reicht). Gehe in das Home-Verzeichnis des anderen User, dort siehst Du den besagten Ordner. Dann rein, dort siehst Du das pdf. Doppelklick: voila!

Tatsächlich

Sollte man mal als Bug bei Apple melden?