7. Zugriffsrechte Inhaltsverzeichnis

Stichwort-Liste

• 7.1 Statusmeldungen des Festplattendienstprogramms
• 7.2 Quellen der Zugriffsrechte
• 7.3 Nachgelieferte Sonder-Regeln
• 7.4 Vorgegebene Rechte ansehen
• 7.4.1 Bedeutungen der Zugriffsrechte
• 7.4.1.1 Art der Datei: Fünfte (und sechste) Ziffer von rechts
• 7.4.1.2 Spezieller Modus: Vierte Ziffer von rechts
• 7.4.1.3 Besitzer-Rechte: Dritte Ziffer von rechts
• 7.4.1.4 Gruppen-Rechte: Zweite Ziffer von rechts
• 7.4.1.5 Rechte für andere: Ziffer ganz rechts
• 7.5 Rechte in Benutzer-Verzeichnissen

7.1 Statusmeldungen des Festplattendienstprogramms

Wenn man mit dem Festplattendienstprogramm die Zugriffsrechte auf der Festplatte von Mac OS X überprüft, dann wird gegebenenfalls eine Reihe von harmlosen Statusmeldungen ausgegeben wie beispielsweise "wir benutzten spezielle Zugriffsrechte für" ("we're using special rights for"). Dabei wird eine sechsstellige Zahl angegeben, die diese Rechte definiert. Eine 0 am Anfang wird meist weggelassen, so daß es auch fünf Stellen in dem Fall sein können.

Diese Sondereinstellungen werden aus Sicherheitsgründen immer angegeben im Bericht, damit solche Sondereinstellungen nicht unbemerkt gesetzt werden können. Sie werden auch dann angegeben, wenn sie bereits korrekt gesetzt waren auf der Festplatte und keine Änderung gemacht wurde. Die Angabe dient der Kontrolle und es handelt sich dabei nicht um Fehlermeldungen.

7.2 Quellen der Zugriffsrechte

In 10.4 Tiger war es so:

Die Zugriffsrechte werden hauptsächlich durch die Inhaltslisten (BOM) festgelegt, die Software, die vom Mac OS X-Installationsprogramm installiert wird, zu diesem Zweck als Teil der Pakete unter /Library/Receipts/ ablegt. Einträge in der Datei
/System/Library/\
PrivateFrameworks/\
DiskManagement.framework/\
Resources/HintFile.plist
haben jedoch Vorrang vor den Einträgen in den BOM-Dateien.

Allerdings sind (gemäß 10.6 Schnee-Leopard) laut den Handbuchseiten zu pkgutil die Dateien und Verzeichnisse, in denen die Installations-Quittungen gespeichert werden, nicht fest. Es wird empfohlen, immer pkgutil zu verwenden, um diese abzufragen oder zu verändern.

Laut dieser Dokumentation werden bei 10.6 folgende Dateien und Verzeichnisse genutzt:

• /usr/libexec/repair_packages
• /var/db/receipts/
• /Library/Receipts/db/
• ~/Library/Receipts/db/

Wie gesagt: Diese Stellen werden nicht gleich bleiben.

7.3 Nachgelieferte Sonder-Regeln

Insbesondere fügen Aktualisierungen des Betriebssystems sicherere Einstellungen hinzu und aktualisieren dafür das Festplattendienstprogramm. Daher empfiehlt Apple zum Korrigieren der Zugriffsrechte von der System-Festplatte zu starten und nicht von der CD/DVD, da ansonsten die aktuellen Definitionen der Zugriffsrechte nicht beachtet würden.

7.4 Vorgegebene Rechte ansehen

Man kann sich die enthaltenen Informationen zur Aktualisierung von beispielsweise 10.4.3 mit dem Befehl

lsbom -p fm?M /Library/Receipts/\
MacOSXUpdate10.4.3.pkg/\
Contents/Archive.bom

ausgeben lassen. Es werden dann die enthaltenen Dateien mit Name gelistet, ihre zugeordneten Zugriffsrechte (als fünf- oder sechsstellige Zahl), der Benutzername und der Gruppenname und am Ende die Zugriffsrechte in symbolischer Form.

Dabei bedeutet -p fm?M, daß nur bestimmte Ergebnisse angezeigt -p (print) werden sollen. Und zwar der Datei-Name f (file), der Datei-Modus m (file mode, permissions), die Namen der Benutzer und Gruppen ? und die symbolischen UNIX-Rechte M (symbolic file mode) die beispielsweise so aussehen: "dr-xr-xr-x".

7.4.1.1 Bedeutungen der Zugriffsrechte

Diese Statusmeldungen zeigen Zugriffsrechte an, die durch fünf- oder sechsstellige Zahlen definiert sind, welche beispielsweise 40755 oder 100644 lauten. Diese vordefinierten Zahlen (vorgegebenen Zugriffsrechte) sieht man auch mit obiger Befehlszeile. Jede Position hat eine bestimmte Bedeutung, die ich in den folgenden Abschnitten beschreibe.

7.4.1.1 Art der Datei: Fünfte (und sechste) Ziffer von rechts

Die Zahl (beispielsweise 40755 oder 100644) gibt die Art der Datei an, wobei eine führende Null (als sechste Ziffer von rechts) in der Regel nicht angezeigt wird.

• 01: Benannte Kommunikationsverbindung (named pipe)
• 02: Gerätedatei für zeichenweise Verarbeitung (character device)
• 04: Verzeichnis / Ordner (directory)
• 06: Gerätedatei für blockweise Verarbeitung (block device)
• 10: Normale Datei (regular file)
• 12: Symbolischer Unix-Verweis (symbolic link)
• 14: Kommunikationsverbindung zwischen Prozessen (socket)

7.4.1.2 Spezieller Modus: Vierte Ziffer von rechts

Die Ziffer (beispielsweise 40755 oder 100644) bestimmt einen speziellen Modus.

• 4: Benutzer-Identität setzen (SUID).
  Bei einem Programm wird dieses Programm unter dem Benutzer ausgeführt, der als Besitzer der Datei angegeben ist, und nicht unter dem, der das Programm startet.
  Bei einem Verzeichnis erben neu in diesem Verzeichnis angelegte Objekte den Besitzer vom Verzeichnis.
  Bei einer normalen Datei hat das keine Bedeutung.
• 2: Gruppen-Identität setzen (SGID).
  Bei einem Programm wird dieses Programm unter der Benutzergruppe ausgeführt, die als Benutzergruppe der Datei angegeben ist, und nicht unter der Benutzergruppe des Benutzers, der das Programm startet.
  Bei einem Verzeichnis erben neu in diesem Verzeichnis angelegte Objekte die Benutzergruppe vom Verzeichnis.
  Bei einer normalen Datei hat das keine Bedeutung.
• 1: Haftenbleiben-Kennung setzen (sticky bit).
  Bei einem Verzeichnis kann jeder Benutzer nur Objekte in diesem Verzeichnis ändern, wenn er Schreibrechte auf diesem Verzeichnis hat und entweder Besitzer des Verzeichnisses ist oder Besitzer des zu ändernden Objektes. Vereinfacht bedeutet das, daß jeder nur die Objekte ändern darf, die er in diesem Verzeichnis selbst angelegt hat.
  Bei einer normalen Datei oder einem Programm hat das keine Bedeutung.

Kombinationen entstehen durch Addition dieser Zahlen; beispielsweise hat 6 die Bedeutung von 4 und von 2.    

       

7.4.1.3 Besitzer-Rechte: Dritte Ziffer von rechts

Die Ziffer (beispielsweise 40755 oder 100644) gibt die Berechtigungsart für Zugriffe durch den Besitzer des Objektes an. Die Ziffer ist die oktale Kodierung der Unixrechte.

• 4: Bei einer Datei darf der Inhalt der Datei gelesen werden.
  Bei einem Verzeichnis darf die Liste der enthaltenen Dateien gelesen werden, aber es wird nicht festgelegt, ob man enthaltene Objekte auch öffnen darf. (read)
• 2: Bei einer Datei darf die Datei verändert werden.
  Bei einem Verzeichnis darf man Objekte hineinlegen und entfernen. (write)
• 1: Bei einer Datei darf die Datei als Programm ausgeführt werden.
  Bei einem Verzeichnis darf man es durchsuchen und auf enthaltene Objekte zugreifen, aber es wird nicht festgelegt, ob man die Liste enthaltener Objekte lesen darf. (execute)

Kombinationen entstehen durch Addition dieser Zahlen; beispielsweise hat 3 die Bedeutung von 1 und von 2.

7.4.1.4 Gruppen-Rechte: Zweite Ziffer von rechts

Die Ziffer (beispielsweise 40755 oder 100644) gibt die Berechtigungsart für Zugriff durch die Besitzergruppe des Objektes an. Die Details entsprechen denen der dritten Ziffer von rechts.

7.4.1.5 Rechte für andere: Ziffer ganz rechts

Die Ziffer (beispielsweise 40755 oder 100644) gibt die Berechtigungsart für Zugriff durch alle anderen Benutzer an. Die Kodierung entspricht wieder der der dritten Ziffer von rechts.

7.5 Rechte in Benutzer-Verzeichnissen

Das Festplatten-Dienstprogramm korrigiert Rechte von bestimmten allgemeinen Verzeichnissen. Es stellt jedoch nicht die Zugriffsrechte für private Verzeichnisse der Benutzer ein.

Seit 10.5 Leopard kann man die UNIX-Zugriffsrechte und die Berechtigungslisten (ACLs) der Benutzer-Verzeichnisse auf ihre Standardwerte zurücksetzen. Dazu startet man von der Leopard-CD/DVD und wählt im Menü oben aus, daß man Paßworte zurücksetzen möchte. Dieses Hilfsprogramm bietet dann an, die Rechte von Benutzer-Verzeichnissen zu korrigieren. Die ebenfalls gezeigte Option zum Zurücksetzen des Paßwortes muß man dafür nicht verwenden.

Ab 10.7 Lion werden die Berechtigungen im Home-Verzeichnis so zurückgesetzt:

• Rechner neustarten und Command-r halten, um von der Recovery-Partition zu booten.
• Unter Utilities im Menübar Terminal auswählen.
• Im Terminal "resetpassword" tippen und Return.
• Auf die Startplatte klicken und den betroffenen User auswählen.
• Dann bei "Reset Home Directory Permissions and ACLs" auf Reset klicken.

---