Preguntas sobre permisos, específicamente entre máquinas

Question

Preguntas sobre permisos, específicamente entre máquinas

unix
Mac OS
Software
permiso

sencha

Tengo un par de discos duros externos y he notado que los permisos en ellos son diferentes, lo que me hace preguntarme cómo funcionan algunas cosas.

En el disco duro que parece normal, tiene los siguientes permisos en la máquina 1 (como se ve en el panel de información):

myuser1 (Me) - Read & Write
staff        - Read & Write
everyone     - Read only

Ahora, cuando lo conecto a mi segunda computadora, el usuario con el que estoy conectado todavía tiene permisos de escritura. Al ver los permisos de nuevo veo:

myuser2 (Me) - Read & Write
staff        - Read & Write
everyone     - Read only

1) ¿La razón por la que esta segunda computadora tiene permisos R&W porque myuser2también es miembro de staff?

2) Si es así, ¿cómo se staffdetermina que el grupo en una máquina es lógicamente el mismo que un grupo nombrado staffen otra máquina? Es decir, en cuanto a la seguridad, ¿cómo es esto seguro?

¿Cómo se hace referencia a los usuarios y grupos en los permisos del archivo, de una manera que sea "segura", pero que de alguna manera funcione en 2 máquinas completamente separadas? ¿Se hace por nombre? líquido? gid (para grupos)? De cualquier manera, como estos no son UUID, ¿cómo se puede clasificar esto como seguro? ¡Uno podría simplemente asegurarse de que un usuario creado tenga el mismo uid que se requiere para ver un archivo que se supone que no debe ver, y tendrá acceso!

sin ladera

Tuviste un montón de preguntas en tu texto, este sitio funciona mucho mejor si solo hay una pregunta por publicación. He eliminado las cosas adicionales que has preguntado, hazlas en nuevas preguntas si es necesario.

sencha

Lo siento, no estoy muy contento con eso. Todas las preguntas están extremadamente relacionadas. Si alguien tiene dificultades para comprender las mismas cosas, todo sería información útil y relacionada.

sencha

@patrix Y si bien hubo muchas "preguntas", todas estaban extremadamente relacionadas con la comprensión de un solo concepto. He disfrutado de muchas respuestas muy largas y completas en este sitio. A veces, las respuestas integrales requieren preguntas integrales. Tal vez ayudaría simplemente eliminar mis útiles puntos numerados en cada una de las áreas de preguntas y, en su lugar, permitir que alguien lea mis confusiones y luego responda con una sola respuesta. Además, me tomó tiempo condensar mis problemas en esas preguntas. Por favor, ¿puedes repensar tu edición?

klanomath

@Sencha puede restaurar su pregunta original usted mismo. Después de leer la pregunta original, aconsejo condensar las siete preguntas en una o dos

sin ladera

Como menciona klanomath, siempre puede revertir cualquier edición realizada en su pregunta. Basado en experiencias pasadas, las preguntas largas tienden a dar como resultado respuestas malas o incompletas, por lo que no estoy seguro de si realmente ayudará en su caso. Podría ser mejor obtener respuestas en una versión recortada de lo que no "obtienes" por completo con respecto a los permisos (eso es lo que intenté obtener con mi edición) y luego hacer preguntas de seguimiento una vez que hayas eliminado los obstáculos iniciales. del camino. De todos modos, una buena respuesta sobre la pregunta editada ya debería cubrir varios de los problemas adicionales.

sencha

Bien, intentaré condensar/cristalizar mis preguntas en una publicación más pequeña. ¡Gracias!

sin ladera

O esperar hasta mañana. Tengo una idea para una respuesta completa, pero necesito algo de tiempo para escribirla :-)

sin ladera

Aún mejor, alguien más ya lo hizo. Además, ¿puede verificar (en la Utilidad de Discos) si las verificaciones de propiedad están habilitadas para la unidad externa?

sencha

@patrix "Propietarios habilitados" está configurado en Nola información de la utilidad del disco. debería ser Yes? Mirándolo, extrañamente, la casilla de verificación discutida aquí no es visible para mí. Así que no estoy seguro de lo que está pasando allí.

sin ladera

Si se establece en No, toda la discusión de "quién posee qué y puede acceder a qué archivos" no tiene sentido. OTOH, establecerlo en "No" resuelve la mayoría de los problemas que tiene el usuario típico al compartir memorias USB o discos duros externos. Si desea que sus datos estén seguros en un medio extraíble, utilice el cifrado.

Respuestas (2)

Preguntas sobre permisos, específicamente entre máquinas

Tuviste un montón de preguntas en tu texto, este sitio funciona mucho mejor si solo hay una pregunta por publicación. He eliminado las cosas adicionales que has preguntado, hazlas en nuevas preguntas si es necesario.
Lo siento, no estoy muy contento con eso. Todas las preguntas están extremadamente relacionadas. Si alguien tiene dificultades para comprender las mismas cosas, todo sería información útil y relacionada.
@patrix Y si bien hubo muchas "preguntas", todas estaban extremadamente relacionadas con la comprensión de un solo concepto. He disfrutado de muchas respuestas muy largas y completas en este sitio. A veces, las respuestas integrales requieren preguntas integrales. Tal vez ayudaría simplemente eliminar mis útiles puntos numerados en cada una de las áreas de preguntas y, en su lugar, permitir que alguien lea mis confusiones y luego responda con una sola respuesta. Además, me tomó tiempo condensar mis problemas en esas preguntas. Por favor, ¿puedes repensar tu edición?
@Sencha puede restaurar su pregunta original usted mismo. Después de leer la pregunta original, aconsejo condensar las siete preguntas en una o dos
Como menciona klanomath, siempre puede revertir cualquier edición realizada en su pregunta. Basado en experiencias pasadas, las preguntas largas tienden a dar como resultado respuestas malas o incompletas, por lo que no estoy seguro de si realmente ayudará en su caso. Podría ser mejor obtener respuestas en una versión recortada de lo que no "obtienes" por completo con respecto a los permisos (eso es lo que intenté obtener con mi edición) y luego hacer preguntas de seguimiento una vez que hayas eliminado los obstáculos iniciales. del camino. De todos modos, una buena respuesta sobre la pregunta editada ya debería cubrir varios de los problemas adicionales.
Bien, intentaré condensar/cristalizar mis preguntas en una publicación más pequeña. ¡Gracias!
O esperar hasta mañana. Tengo una idea para una respuesta completa, pero necesito algo de tiempo para escribirla :-)
Aún mejor, alguien más ya lo hizo. Además, ¿puede verificar (en la Utilidad de Discos) si las verificaciones de propiedad están habilitadas para la unidad externa?
@patrix "Propietarios habilitados" está configurado en Nola información de la utilidad del disco. debería ser Yes? Mirándolo, extrañamente, la casilla de verificación discutida aquí no es visible para mí. Así que no estoy seguro de lo que está pasando allí.
Si se establece en No, toda la discusión de "quién posee qué y puede acceder a qué archivos" no tiene sentido. OTOH, establecerlo en "No" resuelve la mayoría de los problemas que tiene el usuario típico al compartir memorias USB o discos duros externos. Si desea que sus datos estén seguros en un medio extraíble, utilice el cifrado.

klanomath · Answer 1

Primero algunos comandos importantes a saber:

ls -laOmuestra mucho:

drwxrwxr-x+ 19 myuser1  staff   714  2 Feb 10:31 My Passport

ls -elaOincluye ACL:

drwxrwxr-x+ 19 myuser1  staff   714  2 Feb 10:31 My Passport
  0: user:_spotlight inherited allow list,search,file_inherit,directory_inherit

El siguiente comando muestra a todos los miembros de un grupo (el grupo de ejemplo aquí es el personal):

members () { dscl . -list /Users | while read user; do printf "$user "; dsmemberutil checkmembership -U "$user" -G "$*"; done | grep "is a member" | cut -d " " -f 1; }; members staff

El siguiente comando muestra el UID, el GID y la pertenencia a grupos de nombre_usuario

id user_name

Verifique sus diversos usuarios/grupos con los dos últimos comandos para obtener una descripción general.

Los permisos estándar en el sistema de archivos se aplican mediante UID y GID en lugar de nombres. Entonces

drwxrwxr-x+ 19 myuser1  staff   714  2 Feb 10:31 My Passport

debe leerse como (suponiendo que el UID de myuser1 = 501):

drwxrwxr-x+ 19 UID=501  GID=20   714  2 Feb 10:31 My Passport
 |  |  |
 |  |  |Others (Members of GID=12 (Everyone)?) can read and execute
 |  |Members of GID=20 can read, write and execute
 |UID=501 can read, write and execute (owner)

Adjuntar My Passport a otra Mac (Mac2) (el UID/GID no se cambiará) revelará lo siguiente:

En caso de que myuser2's UID=501 y GID=20 (GID=20 (personal) es un grupo estándar en cada Mac y cada usuario (estándar o administrador) creado con las Preferencias del sistema es miembro de él)
```
drwxrwxr-x+ 19 UID=501  GID=20   714  2 Feb 10:31 My Passport
```
que se vuelve a traducir a:
```
drwxrwxr-x+ 19 myuser2  staff  714  2 Feb 10:31 My Passport
```
y myuser2 en Mac2 tiene los mismos derechos que myuser1 en Mac1
En caso de que el UID de myuser2 = 502 y el UID de myuser3 = 501 y ambos sean miembros del personal :
```
drwxrwxr-x+ 19 myuser3  staff  714  2 Feb 10:31 My Passport
```
myuser2 como miembro del personal ya no es propietario, pero aún puede rwx.
En caso de que myuser2's UID=502 y sea miembro del personal y myuser3 con UID=501 haya sido eliminado :
```
drwxrwxr-x+ 19 (unknown user)  staff  714  2 Feb 10:31 My Passport
```
myuser2 como miembro del personal ya no es propietario, pero aún puede rwx.
En caso de que el UID de myuser2 = 503 y no sea miembro del personal y se elimine el UID = 501
```
drwxrwxr-x+ 19 (unknown user)  staff  714  2 Feb 10:31 My Passport
```
myuser2 como otros (miembro de todos ?) puede rx.

Entonces, para responder a sus preguntas: la razón por la cual myuser2 en Mac2 tiene los mismos derechos que myuser1 en Mac1 son las mismas membresías de UID y GID/grupo de ambos en sus respectivos hosts. El personal es un grupo predeterminado en todas las Mac.

En su entorno actual (máquinas individuales/derechos de administrador para los usuarios principales), el uso de unidades externas no es "seguro/guardado", solo se usan permisos para determinar el acceso. Y nunca estuvo destinado a ser.

En una unidad organizativa (el usuario común de una estación de trabajo no es un administrador) con una administración de usuarios centralizada (OD, etc.), puede usar puntos de montaje aplicados y grupos especiales que se ocupan de unidades externas:

Propietario especial y un nuevo grupo para la unidad/punto de montaje:

drwxrwx--- 19 UID=501  GID=512   714  2 Feb 10:31 My Passport

o

drwxrwx--- 19 UID=501  GID=512   714  2 Feb 10:31 My Passport/share_folder

y todos los usuarios que no son administradores que requieren acceso a las unidades externas son miembros de GID=512 ("Usuarios de unidades externas")

Aún así, cuando se pierde la unidad externa, cualquiera puede tener acceso a ella. Para hacerlo seguro, debe cifrar el contenido de los discos externos.

En el modelo estándar de permisos de Unix solo hay una ownery una groupclasificación. Everyonees sinónimo de Otros, lo que significa que el usuario no es propietario ni pertenece al grupo de clasificación del archivo.
@fd0 En este modelo de Unix, ¿puede aclarar si esta groupclasificación es siempre el mismo grupo que el ownergrupo de o pueden ser diferentes?
@klanomath Muchas gracias por esta respuesta detallada. Estoy trabajando mi camino a través de él ahora!

mmmmmm · Answer 2

Está pidiendo mucha información sobre el modelo de seguridad de Unix, que sospecho que es demasiado para una respuesta aquí.

La información que busca son los ID de usuario (UID) y los ID de grupo (GID). Estos son valores numéricos que corresponden a los nombres de usuario y grupo.

Puedes ver cuáles son, por id <username>ejemplo, en mi computadora

~/D/c/TV $ id mark
uid=502(mark) gid=20(staff) groups=20(staff),12(everyone),61(localaccounts),79(_appserverusr),80(admin),81(_appserveradm),98(_lpadmin),399(com.apple.access_ssh),33(_appstore),100(_lpoperator),204(_developer),395(com.apple.access_ftp),398(com.apple.access_screensharing)

Esto muestra que mi ID de usuario es 502, mi grupo principal es staff*20 (y enumera los otros grupos en los que estoy.

En todas las máquinas, el usuario y el grupo son iguales si tienen el mismo número, que es la respuesta a 2. Tiene razón, no es tan seguro, pero en una red administrada, los inicios de sesión se controlarán de forma centralizada para que solo los usuarios autorizados puedan conectarse de esta manera. .

En cuanto a 3) el volumen se monta en un directorio en la computadora del cliente y los permisos que se muestran son para ese enlace. Entonces, como un enlace simbólico, la información sobre el nombre que usa para acceder a la otra cosa puede diferir del permiso en la fuente.

Para 4) cada archivo/directorio es propiedad de un usuario y tiene permisos para un grupo y también para todos los usuarios

Gracias por la info. Cuando dice "y tiene permisos para un grupo", ¿puede aclarar si ese "grupo" del que habla es siempre el grupo del usuario propietario o puede establecer un grupo diferente?
También @Mark, con respecto a su respuesta a (3), ¿cómo puedo verificar correctamente los permisos del volumen de origen, si acceder a él a través del /Volumes/My Passportpunto de montaje no es correcto?

Preguntas sobre permisos, específicamente entre máquinas

sencha

sin ladera

sencha

sencha

klanomath

sin ladera

sencha

sin ladera

sin ladera

sencha

sin ladera

Respuestas (2)

klanomath

fd0

sencha

sencha

mmmmmm

sencha

sencha

Cómo restablecer los permisos predeterminados en El Capitan

No se puede escribir en ~/Library, aunque los permisos parecen correctos

¿Cómo ver los permisos de archivo de 6 dígitos?

El archivo no se puede mover por raíz en OS X

¿Por qué los archivos de Mac pueden tener múltiples propietarios?

¿Cómo elimino qmasterd en la carpeta de software incompatible?

¿Cuáles son todos los atributos de ACL disponibles en Mac OS 10.13 High Sierra?

Para convertir un archivo .iso a un archivo .img al intentar un arranque dual con Linux

Instalando gnuplot (o similar) en Lion

¿Qué hace sudo chmod 0755 /usr/local y sudo chgrp wheel /usr/local?