Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum>Software>Standard-Zugriffsrechte im Home-Verzeichnis dauerhaft ändern?

Standard-Zugriffsrechte im Home-Verzeichnis dauerhaft ändern?

Marcel_75@work
Marcel_75@work04.07.1116:25
Hallo,

sicher ist auch Euch schon einmal aufgefallen, dass neu angelegte Ordner innerhalb des Home-Verzeichnisses für alle Benutzer lesbar sind?

Um genau zu sein:

Der angemeldete Benutzer darf: Lesen & Schreiben
Gruppe staff darf: Nur Lesen
Gruppe everyone darf: Nur Lesen

Wesentlich sicherer (und IMHO auch logischer) wäre jedoch, was z.B. auch für die Standard-Ordner "Dokumente", "Bilder" etc. gilt:

Der angemeldete Benutzer darf: Lesen & Schreiben
Gruppe everyone hat: Keine Rechte

Meine Frage ist nun: Könnte man dieses Verhalten dauerhaft ändern, so dass gleich die eingeschränkteren Rechte gelten? Das wäre prima!
0

Kommentare

Mac.Harry04.07.1118:20
Hi Marcel,

unter UNIX erledigt das UMASK. http://hints.macworld.com/article.php?story=20031211073631814

TinkerTool kann das auch grafisch (http://www.bresink.de/osx/TinkerTool.html)

Have fun
0
sierkb04.07.1120:18
Apple Support: Mac OS X Server v10.5, 10.6: Setting a custom umask (das Dokument trifft auch für die Nicht-Server-Variante von MacOSX zu, zumindest wird's überall auch im Zusammenhang mit der Nicht-Server-Variante zitiert)

Paul Maunders: Changing the default Umask on OSX Leopard

National Security Agency (NSA): Hardening Tips for MAC OS X 10.6 Snow Leopard (Abschnitt Secure Users' Home Folder Permissions) (PDF)

Mac OS X Hints: 10.5: How to set NSUmask in Leopard

Veraltet und nur der Vollständigkeit halber hier genannt (seit Leopard hat sich das alles offenbar geändert und geht über launchd, siehe oben):

MacShadows: Hardening Mac OS X: File Permissions (der dargelegte Weg via ~/.GlobalPreferences/NSUmask ist möglicherweise veraltet, die nachträgliche Korrektur bestehender Files hingegen nicht.)
Mac OS X Hints: 10.4: Set umask independently for Finder.app (deprecated!)
Mac OS X Hints: 10.3: Set the global umask default value (deprcated!) (ist identisch mit dem von Mac.Harry gegebenen URL, aber eben veraltet und nicht mehr MacOSX 10.5/MacOSX 10.6 betreffend; die in dem Artikel genannten TinkerTools mögen es trotzdem anbieten, weil unter der Haube dann entspr. angepasst)

Wenn nicht sicher und nicht wirklich durchdrungen, was Du da machst, dann lieber Finger weg.
0
sierkb04.07.1120:28
Nachtrag:

Apple Support: Mac OS X Server v10.5, 10.6: Setting a custom umask (das Dokument trifft auch für die Nicht-Server-Variante von MacOSX zu, zumindest wird's überall auch im Zusammenhang mit der Nicht-Server-Variante zitiert)

Bzgl. der /etc/launchd-user.conf: es ist fraglich, ob das nur theoretisch geht oder tatsächlich auch in der Praxis. Ich habe damit mal vor einiger Zeit rumgespielt, und es funktionierte nicht.
Und wenn man sich mal die Manpage zu launchd.conf anschaut, dann steht da sogar noch was Anderes als Möglichkeit drin:

$ man launchd.conf
FILES
$HOME/.launchd.conf Your launchd configuration file (currently unsupported).
/etc/launchd.conf The system's launchd configuration file.

Ausprobieren, was funktioniert und was nicht. Systemweit via /etc/launchd.conf wird da wohl Einiges funktionieren. Ob aber via launchd per $User, das ist fraglich. Bei mir hatten untr Snow Leopard beide userspezifischen Wege (einmal per /etc/launchd-user.conf und einmal per $HOME/.launchd.conf) bei einer anderen Sache unlängst noch nicht angeschlagen. Seitdem habe ich es aber nicht nochmal ausprobiert, jedes MacOSX-Update könnte diesbzgl. aber still und heimlich in der Zwischenzeit Änderung gebracht haben, sodass der userspezifische Ansatz über launchd mittlerweile klappt und die betreffende Notiz "currently unsupported" der Manpage zu launchd.conf obsolet und nicht mehr zutreffend ist. Wie gesagt: ausprobieren.
0
Marcel_75@work
Marcel_75@work05.07.1110:38
Mac.Harry

TinkerTool kann das auch grafisch (http://www.bresink.de/osx/TinkerTool.html)

Mmh, in TinkerTool habe ich diese Option nicht gefunden, wo versteckt sich das denn?
0
Marcel_75@work
Marcel_75@work05.07.1110:40
@sierkb: Habe das mal wie unter beschrieben versucht, konnte aber keine Änderung feststellen, alles wie vorher … ?
0
_mäuschen
_mäuschen05.07.1111:00

Welchen Wert als umask hast Du denn angegeben?

0
Marcel_75@work
Marcel_75@work05.07.1111:06
_mäuschen

Welchen Wert als umask hast Du denn angegeben?

002

Habe aber auch andere Werte versucht und konnte keine Änderung feststellen.
0
_mäuschen
_mäuschen05.07.1111:09

Versuch mal James Bond 007

oder gleich 077

0
Marcel_75@work
Marcel_75@work05.07.1111:18
_mäuschen

Versuch mal James Bond 007

oder gleich 077

Mmh, mit 007 darf aber immer noch "jeder Lesen"? Everyone soll ja aber "keine Rechte" bekommen …
0
Marcel_75@work
Marcel_75@work05.07.1111:27
Habe hier noch eine schöne Anleitung gefunden, aber auch 077, was ja angeblich nur mir Rechte geben sollte, hat zur Folge, dass immer noch jeder lesen darf?

0
Marcel_75@work
Marcel_75@work05.07.1111:34
Ok, sorry - Kommando zurück (mein Fehler)!

Es klappt mit 077!

Mit lokalen Account funktioniert es wie gewünscht, hier klappte es nur nicht bei AD-Accounts, da deren Rechte Server-seitig gesteuert werden.
0
Marcel_75@work
Marcel_75@work05.07.1112:03
Ok, das klappt jetzt wie gesagt mit "umask 077" genau so wie gewünscht:

Der angemeldete Benutzer darf: Lesen & Schreiben
Everyone hat: Keine Rechte

Jetzt aber doch noch einmal eine neue Frage: Wie stellt man es an, dass gleich der gesamte Benutzerordner diese Rechte bekommt?

Die sind ja nach wie vor so gesetzt, dass die Gruppe "staff" wie auch "everyone" Lesen darf.

Oder könnte das letztlich zu Problemen mit bestimmten Programmen führen?
0
Marcel_75@work
Marcel_75@work05.07.1112:21
Marcel_75@work
Wie stellt man es an, dass gleich der gesamte Benutzerordner diese Rechte bekommt?

Ok, noch einmal sorry, sierkb hatte ja schon darauf hingewiesen (steht im "hardening guide" der NSA):

sudo chmod go-rx /Users/username
0

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.