Tengo un par de discos duros externos y he notado que los permisos en ellos son diferentes, lo que me hace preguntarme cómo funcionan algunas cosas.
En el disco duro que parece normal, tiene los siguientes permisos en la máquina 1 (como se ve en el panel de información):
myuser1 (Me) - Read & Write
staff - Read & Write
everyone - Read only
Ahora, cuando lo conecto a mi segunda computadora, el usuario con el que estoy conectado todavía tiene permisos de escritura. Al ver los permisos de nuevo veo:
myuser2 (Me) - Read & Write
staff - Read & Write
everyone - Read only
1) ¿La razón por la que esta segunda computadora tiene permisos R&W porque myuser2
también es miembro de staff
?
2) Si es así, ¿cómo se staff
determina que el grupo en una máquina es lógicamente el mismo que un grupo nombrado staff
en otra máquina? Es decir, en cuanto a la seguridad, ¿cómo es esto seguro?
¿Cómo se hace referencia a los usuarios y grupos en los permisos del archivo, de una manera que sea "segura", pero que de alguna manera funcione en 2 máquinas completamente separadas? ¿Se hace por nombre? líquido? gid (para grupos)? De cualquier manera, como estos no son UUID, ¿cómo se puede clasificar esto como seguro? ¡Uno podría simplemente asegurarse de que un usuario creado tenga el mismo uid que se requiere para ver un archivo que se supone que no debe ver, y tendrá acceso!
Primero algunos comandos importantes a saber:
ls -laO
muestra mucho:
drwxrwxr-x+ 19 myuser1 staff 714 2 Feb 10:31 My Passport
ls -elaO
incluye ACL:
drwxrwxr-x+ 19 myuser1 staff 714 2 Feb 10:31 My Passport
0: user:_spotlight inherited allow list,search,file_inherit,directory_inherit
El siguiente comando muestra a todos los miembros de un grupo (el grupo de ejemplo aquí es el personal):
members () { dscl . -list /Users | while read user; do printf "$user "; dsmemberutil checkmembership -U "$user" -G "$*"; done | grep "is a member" | cut -d " " -f 1; }; members staff
El siguiente comando muestra el UID, el GID y la pertenencia a grupos de nombre_usuario
id user_name
Verifique sus diversos usuarios/grupos con los dos últimos comandos para obtener una descripción general.
Los permisos estándar en el sistema de archivos se aplican mediante UID y GID en lugar de nombres. Entonces
drwxrwxr-x+ 19 myuser1 staff 714 2 Feb 10:31 My Passport
debe leerse como (suponiendo que el UID de myuser1 = 501):
drwxrwxr-x+ 19 UID=501 GID=20 714 2 Feb 10:31 My Passport
| | |
| | |Others (Members of GID=12 (Everyone)?) can read and execute
| |Members of GID=20 can read, write and execute
|UID=501 can read, write and execute (owner)
Adjuntar My Passport a otra Mac (Mac2) (el UID/GID no se cambiará) revelará lo siguiente:
En caso de que myuser2's UID=501 y GID=20 (GID=20 (personal) es un grupo estándar en cada Mac y cada usuario (estándar o administrador) creado con las Preferencias del sistema es miembro de él)
drwxrwxr-x+ 19 UID=501 GID=20 714 2 Feb 10:31 My Passport
que se vuelve a traducir a:
drwxrwxr-x+ 19 myuser2 staff 714 2 Feb 10:31 My Passport
y myuser2 en Mac2 tiene los mismos derechos que myuser1 en Mac1
En caso de que el UID de myuser2 = 502 y el UID de myuser3 = 501 y ambos sean miembros del personal :
drwxrwxr-x+ 19 myuser3 staff 714 2 Feb 10:31 My Passport
myuser2 como miembro del personal ya no es propietario, pero aún puede rwx.
En caso de que myuser2's UID=502 y sea miembro del personal y myuser3 con UID=501 haya sido eliminado :
drwxrwxr-x+ 19 (unknown user) staff 714 2 Feb 10:31 My Passport
myuser2 como miembro del personal ya no es propietario, pero aún puede rwx.
En caso de que el UID de myuser2 = 503 y no sea miembro del personal y se elimine el UID = 501
drwxrwxr-x+ 19 (unknown user) staff 714 2 Feb 10:31 My Passport
myuser2 como otros (miembro de todos ?) puede rx.
Entonces, para responder a sus preguntas: la razón por la cual myuser2 en Mac2 tiene los mismos derechos que myuser1 en Mac1 son las mismas membresías de UID y GID/grupo de ambos en sus respectivos hosts. El personal es un grupo predeterminado en todas las Mac.
En su entorno actual (máquinas individuales/derechos de administrador para los usuarios principales), el uso de unidades externas no es "seguro/guardado", solo se usan permisos para determinar el acceso. Y nunca estuvo destinado a ser.
En una unidad organizativa (el usuario común de una estación de trabajo no es un administrador) con una administración de usuarios centralizada (OD, etc.), puede usar puntos de montaje aplicados y grupos especiales que se ocupan de unidades externas:
Propietario especial y un nuevo grupo para la unidad/punto de montaje:
drwxrwx--- 19 UID=501 GID=512 714 2 Feb 10:31 My Passport
o
drwxrwx--- 19 UID=501 GID=512 714 2 Feb 10:31 My Passport/share_folder
y todos los usuarios que no son administradores que requieren acceso a las unidades externas son miembros de GID=512 ("Usuarios de unidades externas")
Aún así, cuando se pierde la unidad externa, cualquiera puede tener acceso a ella. Para hacerlo seguro, debe cifrar el contenido de los discos externos.
owner
y una group
clasificación. Everyone
es sinónimo de Otros, lo que significa que el usuario no es propietario ni pertenece al grupo de clasificación del archivo.group
clasificación es siempre el mismo grupo que el owner
grupo de o pueden ser diferentes?Está pidiendo mucha información sobre el modelo de seguridad de Unix, que sospecho que es demasiado para una respuesta aquí.
La información que busca son los ID de usuario (UID) y los ID de grupo (GID). Estos son valores numéricos que corresponden a los nombres de usuario y grupo.
Puedes ver cuáles son, por id <username>
ejemplo, en mi computadora
~/D/c/TV $ id mark
uid=502(mark) gid=20(staff) groups=20(staff),12(everyone),61(localaccounts),79(_appserverusr),80(admin),81(_appserveradm),98(_lpadmin),399(com.apple.access_ssh),33(_appstore),100(_lpoperator),204(_developer),395(com.apple.access_ftp),398(com.apple.access_screensharing)
Esto muestra que mi ID de usuario es 502, mi grupo principal es staff*20 (y enumera los otros grupos en los que estoy.
En todas las máquinas, el usuario y el grupo son iguales si tienen el mismo número, que es la respuesta a 2. Tiene razón, no es tan seguro, pero en una red administrada, los inicios de sesión se controlarán de forma centralizada para que solo los usuarios autorizados puedan conectarse de esta manera. .
En cuanto a 3) el volumen se monta en un directorio en la computadora del cliente y los permisos que se muestran son para ese enlace. Entonces, como un enlace simbólico, la información sobre el nombre que usa para acceder a la otra cosa puede diferir del permiso en la fuente.
Para 4) cada archivo/directorio es propiedad de un usuario y tiene permisos para un grupo y también para todos los usuarios
/Volumes/My Passport
punto de montaje no es correcto?
sin ladera
sencha
sencha
klanomath
sin ladera
sencha
sin ladera
sin ladera
sencha
No
la información de la utilidad del disco. debería serYes
? Mirándolo, extrañamente, la casilla de verificación discutida aquí no es visible para mí. Así que no estoy seguro de lo que está pasando allí.sin ladera