1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Sicherheitsproblem bezüglich Sharing (Systemeinstellungen)?

Dieses Thema im Forum "macOS & OS X" wurde erstellt von MacMark, 26.01.10.

  1. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.709
    Unter System Preferences > File Sharing kann man als ein Admin die Zugriffsrechte der "Shared Folders" auch der anderen User umstellen. Ich kann beispielsweise im Public Folder von JoeUser mir Schreibrechte geben. Dazu addiere ich "MacMark" in der "Users"-Spalte mit "read & write" für "JoeUser's Public Folder". Dann wird ein ACL-Eintrag angelegt:

    Code:
    KeyWest:Library macmark$ ls -aleod /Users/joeuser/Public/
    drwxr-xr-x+ 6 joeuser  204 Jan 26 21:51 /Users/joeuser/Public/
     0: group:everyone deny delete
     1: user:macmark allow list,add_file,search,add_subdirectory,delete_child,readattr,writeattr,readextattr,writeextattr,readsecurity
    
    Nun kann ich Dateien direkt in seinem Public anlegen.

    Der 1er-Eintrag ist der neue in der ACL. Nach meinem Verständnis sollte nur root das tun dürfen oder JoeUser, aber kein Admin. Oder übersehe ich etwas?
     
  2. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.709
    Ich habe es mal direkt ausprobiert und meine Annahme, Admin-Rechte würden genügen, stellt sich als falsch heraus:

    KeyWest:Library macmark$ id
    uid=502(macmark) gid=20(staff) groups=20(staff),403(com.apple.sharepoint.group.2),401(com.apple.access_screensharing),101(com.apple.access_ssh),204(_developer),100(_lpoperator),98(_lpadmin),80(admin),61(localaccounts),12(everyone),402(com.apple.sharepoint.group.1)
    KeyWest:Library macmark$ ls -aleod /Users/macmark/Public
    drwxr-xr-x+ 9 macmark 306 Oct 10 20:01 /Users/macmark/Public
    0: group:everyone deny delete
    KeyWest:Library macmark$ chmod +a "everyone allow write" /Users/macmark/Public
    KeyWest:Library macmark$ ls -aleod /Users/macmark/Public
    drwxr-xr-x+ 9 macmark 306 Oct 10 20:01 /Users/macmark/Public
    0: group:everyone deny delete
    1: group:everyone allow add_file
    KeyWest:Library macmark$ ls -aleod /Users/joeuser/Public
    drwxr-xr-x+ 6 joeuser 204 Jan 26 21:51 /Users/joeuser/Public
    0: group:everyone deny delete
    KeyWest:Library macmark$ chmod +a "everyone allow write" /Users/joeuser/Public
    chmod: Failed to set ACL on file '/Users/joeuser/Public': Operation not permitted
    KeyWest:Library macmark$ chmod -a "everyone allow write" /Users/macmark/Public
    KeyWest:Library macmark$ ls -aleod /Users/macmark/Public
    drwxr-xr-x+ 9 macmark 306 Oct 10 20:01 /Users/macmark/Public
    0: group:everyone deny delete
     
    #2 MacMark, 27.01.10
    Zuletzt bearbeitet: 27.01.10
  3. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.709
    Es ist anscheinend so, daß "System Preferences" die Änderung vornehmen darf, wenn man als Admin authentifiziert ist. Einem Admin ist also indirekt erlaubt über "System Preferences", aber nicht direkt.

    Sehe ich die Sachlage richtig (hier in meinem Monolog-Thread)? Liest das hier jemand außer mir?
     
  4. salome

    salome Golden Noble

    Dabei seit:
    20.08.06
    Beiträge:
    23.757
    Lesen allein genügt nicht (das tu ich ja), man muss dich auch verstehen (das tu ich zu Hälfte, ich kann nicht programmieren und auch nur kopierte Befehle ins Terminal tippen) und das Thema muss interessieren. Da ich Alleinherrscherin über meinen Mac bin, gehöre ich leider nicht zur letzten Gruppe. Vielleicht lags an dieser Keynote, die angeblich so wichtig ist, dass AT down war. Alles was dort gesagt wurde, hat man vorher schon gewusst und e nützt niemandem, weil es das Gerät in Europa noch gar nicht gibt und am Abend Bilder und Einschätzungen von Fachleuten (nicht von Fanboys) im Fernsehen waren. Und danach waren alle erschlagen von der weltbewegenden Nachricht. :)
    Sei guten Mutes, irgendwann kommt einer und widerspricht dir.
    salome
     
  5. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Lurkers are everywhere! :)
    Gruß Pepi
     
  6. LakeCountry

    LakeCountry Uelzener Rambour

    Dabei seit:
    19.03.09
    Beiträge:
    369
    Das bin ich in diesem thread:

    [video=youtube;9qoUprf3BFM]http://www.youtube.com/watch?v=9qoUprf3BFM[/video]

    Lese dennoch interessiert mit!
     
  7. nauna

    nauna Thurgauer Weinapfel

    Dabei seit:
    05.08.09
    Beiträge:
    1.007
    Na ich weiß nicht ob das ein Sicherheitsproblem ist. Als Admin kann man ja sowieso tun und lassen auf dem System was man will. Ob man sich da über Sharing jetzt noch mehr Rechte geben kann ist auch schon egal...
     
  8. mrains

    mrains Pomme Etrangle

    Dabei seit:
    22.05.09
    Beiträge:
    904
    sehe da auch nicht das große problem...das passwort des anvisierten users zu ändern und dann seinen acc zu plündern scheint mir mit admin-rechten einfacher...
     
  9. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.709
    Wie ich oben per Shell ausprobiert habe, geht es ja nicht direkt: Als Admin kann man nicht in anderen User-Verzeichnissen rumpfuschen. Dazu braucht es root.

    Ich hatte vergessen, daß System Preferences selbst im Hintergrund mit System-Rechten (root) agieren kann. Auf die zugehörigen Knöpfe kann jedoch nur ein Admin. Die Änderungen im Dateisystem (Verzeichnisse in anderen Usern freigeben) werden dann jedoch indirekt von root gemacht und nicht vom User der Admin-Gruppe.
     
  10. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Damit kannst Du also doch überall rumpfuschen.
    sudo -s
    Gruß Pepi
     
  11. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.709
    Root darf das ja auch. Wollte nur sichergehen, daß Adminrechte dazu nicht ausreichen.
     
  12. pepi

    pepi Cellini

    Dabei seit:
    03.09.05
    Beiträge:
    8.741
    Aber mit Adminrechten kann ich jederzeit root werden… Damit reichen mir de facto Adminrechte!
    Gruß Pepi
     
  13. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.709
    Nö. Adminrechte reichen, wenn Du nicht auf root gehen mußt.
     

Diese Seite empfehlen