Benutzerprofil für Benutzer: MLG76
MLG76 Autor
Stufe: Stufe 1
18 Punkte

Verständnisfrage zum Ordner "Geteilt" und ACLs

Hallo,


die Rechteverwaltung (und sparsame Dokumentation selbiger) von macOS treibt mich in den Wahnsinn.


Disclaimer: Die folgende Namenswahl ist aus Verständnisgründen hier bewusst einfach gewählt. ;-)


Ich möchte folgendes realisieren (nur wie macht man das möglich pfiffig?) ...


Ein macOS Verzeichnis 'Sicherung' soll mit Leserechten im Netz via SMB für einen User backup freigegeben werden. Jeden Tag schreibt jedoch ein User admin über einen Backupprozess in dieses Verzeichnis 'Sicherung' neue Unterverzeichnisse. Der Ordner 'Sicherung' soll nicht für alle anderen im Netz sichtbar sein. Eigentlich soll den niemand sehen. Lediglich der User backup soll sich darauf einloggen und das Backup via SMB abholen können.


Was einfach klingt, scheint eine echte Herausforderung zu sein.


Beholfen habe ich mir aktuell damit, das Verzeichnis unter 'Geteilt' anzulegen. Anschließend habe ich eine Gruppe backup mit einem User backup angelegt und nur Leserechte vergeben. Zuletzt habe ich die ACL angepasst, damit die Rechte vererbt werden. Der Zugriff klappt soweit auch. Allerdings sehen die anderen Macs im Netz besagten Ordner nun leider auch weil er unter 'Geteilt' liegt. Das möchte ich allerdings gerne vermeiden. Die brauchen das Backup nicht sehen. Jedoch kann ich die Rechte von wheel und everyone im Verzeichnis 'Sicherung' unterhalb von 'Geteilt' offenbar nicht einschränken. Das macht auch Sinn, weil 'Geteilt' ja systemweit für alle zur Verfügung stehen soll.


Lege ich nun alternativ besagtes Verzeichnis als Unterverzeichnis von 'Dokumente' von admin an, habe ich jedoch den Ärger, dass die durch den Backupprozess täglich neu ergänzten Dateien und Verzeichnisse die Leserechte des backup nicht vererben. Oder kann ich das auch via ACL anpassen? Falls ja, wie?


Natürlich kann ich mir das ganz einfach machen und nicht als backup, sondern admin die Dateien abholen lassen. Damit hätte der abholende Dienst jedoch Vollzugriff auf den zu sichernden Mac, was ich aus verständlichen Gründen nicht möchte. Es muss doch auch mal ohne Vollzugriff und admin gehen, ohne dass es gleich elendig fummelig wird.


Daher die Frage in die Runde an die ACL-Freaks und macOS-Rechtefüchse: Wie macht man das am schlausten bzw. elegantesten?


Besten Dank!

Mac Studio (2023)

Gepostet am 03. Sept. 2024 00:07

Antworten
24 Antworten
Benutzerprofil für Benutzer: MLG76
MLG76 Autor
Stufe: Stufe 1
18 Punkte

03. Sept. 2024 11:12 als Antwort auf Netcracker

Netcracker schrieb:

Es ist völlig sinnfrei, Backups auf dem zu sichernden Laufwerk abzulegen.

Die Vergabe von R/W-Rechten ist trivial.

Dein Ansatz geht ins Leere. Hier fehlt‘s an Verständnis (und an Wissen ?).

Ich bin endgültig raus. Mir ist das zu blöd.

Irgendwie scheinst Du nicht verstehen (oder lesen?) zu wollen oder scheint bewusst Streit zu suchen.


Ich habe es jetzt zweimal erklärt. Das muss reichen.


Kurz einfliegen, allgemeine Weisheiten die mit der Lösung nichts zu tun haben einstreuen, Fragen stellen deren Antworten dich in Wirklichkeit nicht interessieren, um dann mit polemischen Kommentaren wieder abzuschwirren ohne zur (Dir ja offensichtlich bekannten und total trivialen) Lösung beizutragen... damit arbeitet man sicherlich am Heldenstatus. Mystifizier ruhig weiter. Das gibt bestimmt ein Daumen hoch.


Im Gegensatz zu Dir, habe ich die Lösung inzwischen auch alleine gefunden. Eine einzige Zeile Code mit chmod hat dazu gereicht. Einfach die Rechte vererben.


chmod "=a#" 0 "group:backup allow list,search,readattr,readextattr,readsecurity,file_inherit,directory_inherit" meinzusicherndesverzeichnis


Vielen Dank an alle anderen Teilnehmer für die konstruktive Hilfe, insbesondere an christine33 und Pi88no.


@christine33: Der Business Support war beim ersten Anruf "nicht zuständig". Beim zweiten Anruf war der Mitarbeiterin das Anliegen offenbar zu kompliziert und legte kurzerhand auf. Beim dritten Anruf war eine sehr freundliche Dame dran, welche mir nach Rücksprache mitteilte, "mit macOS ließe sich meine Anforderung leider nicht lösen". Wie man sieht geht es doch.



Antworten
Benutzerprofil für Benutzer: PreCognition
PreCognition
Community+ 2025
Stufe: Stufe 9
58.828 Punkte

03. Sept. 2024 15:16 als Antwort auf MLG76

Hallo MLG76,


hier ist eine Anleitung, die sich an Nutzer mit einem fundierten Verständnis von UNIX-Dateisystemen und ACLs richtet.


Um Deine Anforderungen umzusetzen, kannst Du die Berechtigungen auf Deinem Mac durch eine Kombination aus Standard- und ACL-Berechtigungen anpassen. Dadurch wird sichergestellt, dass nur der Benutzer `backup` Zugriff auf das Verzeichnis `Sicherung` hat und die Rechte korrekt vererbt werden.


Zuerst solltest Du das Verzeichnis `Sicherung` außerhalb der standardmäßig geteilten Ordner wie `Geteilt` oder `Öffentlich` erstellen, um eine bessere Kontrolle über die Sichtbarkeit und Zugriffsrechte zu gewährleisten. Setze die Berechtigungen so, dass nur die Benutzer `admin` und `backup` Zugriff haben.


Verwende ACLs, um dem Benutzer `backup` spezifische Lesezugriffsrechte zu geben, ohne anderen Nutzern Zugriff zu gewähren. Um sicherzustellen, dass die Berechtigungen auch auf alle neu erstellten Dateien und Unterverzeichnisse vererbt werden, solltest Du die ACL-Rechtevererbung konfigurieren.


Für die SMB-Freigabe solltest Du sicherstellen, dass nur der Benutzer `backup` auf das Verzeichnis `Sicherung` zugreifen kann. Gehe dazu in die Freigabeeinstellungen und füge das Verzeichnis `Sicherung` als geteilten Ordner hinzu. Entferne alle anderen Benutzer aus der Liste der Zugriffsberechtigten und gib `backup` nur Leserechte.


Teste den Zugriff anschließend mit dem Benutzer `backup`, um sicherzustellen, dass alles wie gewünscht funktioniert und keine anderen Benutzer im Netzwerk Zugriff haben.


Es ist ratsam, Standardordner wie `Geteilt` oder `Öffentlich` zu vermeiden, da diese systemweit sichtbar sind und nicht die notwendige Kontrolle über die Zugriffsrechte bieten. ACLs sind ein mächtiges Werkzeug, aber sie können auch komplex sein. Stelle sicher, dass Du die Bedeutung jeder Berechtigung genau verstehst und setze sie mit Bedacht ein. Für die Automatisierung der Datensicherung auf dem NAS ist es wichtig, die Sicherheit und Integrität Deiner Daten nicht zu gefährden.


Falls Du weitergehende Anpassungen benötigst oder Fragen hast, kannst Du die Manpages (`man chmod`, `man chown`, `man sharing`) im Terminal zu Rate ziehen oder spezifische macOS-Dokumentationen zu ACLs und Dateisystemrechten konsultieren.


Mit diesen Schritten solltest Du in der Lage sein, Deine Daten sicher zu verwalten und den Zugriff gezielt zu steuern.


Beste Grüße und viel Erfolg!

Antworten
Benutzerprofil für Benutzer: MLG76
MLG76 Autor
Stufe: Stufe 1
18 Punkte

03. Sept. 2024 04:45 als Antwort auf Pi88no

Pi88no schrieb:

Mir fällt es ebenfalls noch schwer das richtige Mittel zum Zweck zu ermitteln. Hier sind weitere Infos notwendig.

Dann würde ich vom TO gerne mal wissen, wie ein NAS ein Backup "abholt" bzw. was für ein Prozess dahinter steckt.

Den Usecase von MLG76 überblicke ich auch noch nicht so recht.


Der Use Case ist ganz einfach. Ich möchte ein vollautomatisiertes Backup eines bestimmten Verzeichnis auf dem Mac machen und dabei möglichst jedes Risiko von Kompromittierung durch Ransomware ausschließen. Vorweg, an dieser Stelle möchte ich jetzt aber bitte keine Grundsatzdiskussion für und wieder diverser Backup-Konzepte. Es geht mir an dieser Stelle rein um die operative Umsetzung. Und hier hakt es unerwartet lediglich an Kleinigkeiten.


Ein Mac hat die Daten. Das NAS soll diese sichern und dabei möglichst ohne SMB-Freigabe auskommen. Das geht mit Synology und Active Backup for Business. Diese bordeigene Software kann die Daten von SMB-Freigaben abholen. Von mir aus hole ich das auch via rsync ab. Kann AB4B auch.


Wie bin ich bis dato (naiverweise) vorgegangen?


  1. Ich richte einen user backup auf dem Mac ein und der bekam Leserechte. Mit Ansage kam es natürlich zu folgendem Problem. Die zu sichernden Daten werden vom user admin erzeugt. Diese werden von der Anwendung, welche als Server-Anwendung dauerhaft auf dem Mac läuft, in ein Verzeichnis gepackt. Dies geschieht bspw. 1x täglich. Dabei werden im Rahmen der Sicherung u. a. auch jeden Tag ein neues Unterverzeichnis angelegt. Da kommen wir schon zum Denkfehler. Denn auf diese neu angelegten Ordner hat user backup dann anschließen keine Rechte mehr. Ist auch logisch. Wurden diese doch von user admin nachträglich, also jeweils einen Tag später, neu angelegt.
  2. Nun kam einer auf die Idee den Ordner 'Geteilt' als Vehikel zu missbrauchen. Das funktioniert auch nach etwas Gefummel. So muss ich dort ein Verzeichnis 'Sicherung-in-Geteilt' anlegen, eine Gruppe backupgruppe anlegen und darin user backup reinpacken. Anschließend musste für 'Sicherung-in-Geteilt' noch via chmod die Rechtevererbung ergänzen. Anschließend bekommt alles was dort reinkopiert wird die Rechte von backupgruppe verpasst. Sodann konnte man vom NAS dort problemlos die Daten mittels täglicher Sicherung durch die Synology Software AB4B abholen lassen. Unschön: Alle übrigen Mac-User im Netz sahen besagten Backup-Ordner leider auch. Viel schlimmer: Die konnte dort sogar rein. Verbieten oder Einschränken geht dort nicht, weil das systemseits vom Design von macOS so nicht vorgesehen ist.
  3. Anschließend hab ich nochmal geschaut... Da kam mir die Idee den 'Briefkasten' unter 'Öffentlich' des users backup zu missbrauchen. Im Grunde ist das kein Missbrauch. Denn für genauso etwas wurde er m. W. gebaut bzw. ist er vorgesehen. Problem hier: Leider heißt 'Briefkasten' im Englischen 'Drop Box' und enthält damit ein Leerzeichen. Somit war auch hier Feierabend. Denn Ordner mit Lesezeichen kann die Server-SW wiederum mit Ihrem rysnc-Scripten nicht ansteuern.
  4. Sodann folgte Weg Nr. 4: Ich hab manuell versucht ein Verzeichnis unter 'Öffentlich' anzulegen. Nennen wir es 'Sicherung-in-Öffentlich'. Anschließend Freigabe gemacht. backupgruppe mit R/W rein, ebenfalls auch admin mit R/W... damit es nicht irgendwie scheitert. Anschließend noch mit chmod wieder die Rechtevererbung aktiviert. Kopiert man nun zu Fuß eingeloggt vom Profil admin eine Testdatei in besagten Ordner klappt das auch. Allerdings erfolgt zuvor eine Kennwortabfrage. Hier musste ich die Admin-Credentials eingeben. Sobald die Datei im Ordner lag, konnte ich diese wieder via SMB über das Synology sauber abholen. Dort einsichern geht aber nicht. Dies verhindert das Dialogfeld mit der Abfrage der Credentials. Es ist mir nicht gelungen die irgendwie wegzubekommen.


Entsprechend suche ich nun nach einem möglichst unkomplizierten Alterantivweg. Denn ich wollte doch lediglich "nur" einen Ordner mit Leserechten versehen. ;-)


Natürlich kann ich es mir ganz einfach machen: 1. Daten mit Admin-Credentials abholen oder 2. zusätzliches NAS kaufen und macOS dort in eine SMB-Freigabe sichern lassen, welche ich dann vom separaten Backup-NAS wieder um abholen lasse.


Nur hatte ich gehofft mit etwas Hirnschmalz geht das auch anders bzw. eleganter.

Antworten
Benutzerprofil für Benutzer: Netcracker
Netcracker
Stufe: Stufe 9
56.618 Punkte

03. Sept. 2024 02:42 als Antwort auf MLG76

MLG76
[...]
Ein macOS Verzeichnis 'Sicherung' soll mit Leserechten im Netz via SMB für einen User backup freigegeben werden. Jeden Tag schreibt jedoch ein User admin über einen Backupprozess in dieses Verzeichnis 'Sicherung' neue Unterverzeichnisse. Der Ordner 'Sicherung' soll nicht für alle anderen im Netz sichtbar sein. Eigentlich soll den niemand sehen. Lediglich der User backup soll sich darauf einloggen und das Backup via SMB abholen können.

Das sind zwei Backupprozesse ? Einmal sichert admin (mit was ?) in "Sicherung" und einmal "holt" backup (mit was ?) dort den Inhalt für ein Backup ab. Den zweiten Prozess kann ich nachvollziehen. Aber warum sichert nicht admin direkt im (externen ?) Backup ?


Daneben geht es hier mMn um zwei unterschiedliche Probleme:


Das Verzeichnis "Sicherung" kannst du unsichtbar machen, indem du es via Terminal ausblendest. Dazu öffnest du Terminal und gibst


chflags hidden


ein (noch nicht return drücken). Dann ziehst du das Verzeichnis "Sicherung" ins Terminal und drückst nun return (Rückgängig machst du das Ganze mit chflags nohidden "Dateipfad").


Den Zugriff auf den Inhalt des Verzeichnisses regelst du mit R/W-Berechtigungen. admin hat beides, backup nur R. Damit kommt kein anderer User an den Inhalt.


wheel ist ein Systemuser, everyone kannst du aus den Berechtigungen entfernen.


Ooops....lese gerade, dass ein NAS im Spiel ist. Wo ist der Unterschied, ob du ein oder zwei NASen betreibst ? Nimm die Kiste doch komplett aus dem Web, keinerlei Fernzugriffe, Sync-Dienste oder was auch immer. Zugriff nur per VPN und das wars. Darauf sicherst du via Time Machine und lässt das NAS via RTRR ein weiteres Backup auf eine externe Platte machen.

Antworten
Benutzerprofil für Benutzer: Pi88no
Pi88no
Stufe: Stufe 6
16.434 Punkte

03. Sept. 2024 01:11 als Antwort auf MLG76

Hi MLG76,


der Ordner "Geteilt" gehört zur iCloud oder hast du selbständig einen angelegt? Wenn nicht, wäre es ratsam ein anderes Verzeichnis zu wählen.


Ansonsten liegt es an SMB selbst, dass ein User mit Leserechten auch alle Verzeichnisse innerhalb des freigegebenen Ordners sehen kann. Verwende für das Backup kein Unterverzeichnis:


  • Hauptverzeichnis
    • Ordner1 → freigegeben für alle
    • Ordner1backup → freigegeben für backup


admin erstellt im Intervall Backup von Ordner1 nach Ordner1backup

Antworten
Benutzerprofil für Benutzer: Pi88no
Pi88no
Stufe: Stufe 6
16.434 Punkte

03. Sept. 2024 03:00 als Antwort auf MLG76

Kommt eben auf das Einsatzgebiet an. Deswegen die Frage ob es zwingend SMB sein muss?


Mit der Dateifreigabe unter macOS kannst du für jeden User einen Lesezugriff erstellen...

für jeden Unterordner muss ebenfalls ein Freigabe erstellt werden, hier darf dann der Standard-User (backup) aber keinen Zugriff mehr gestatt werden:


mit dieser Konfiguration sieht der User (backup) zwar die Verzeichnisse, hat aber keinen Zugriff.




Eine andere Lösung sehe ich mit Boardmitteln nicht. Schwieriger wird es wenn SMB verwendet werden soll.

Antworten
Benutzerprofil für Benutzer: Pi88no
Pi88no
Stufe: Stufe 6
16.434 Punkte

03. Sept. 2024 01:59 als Antwort auf MLG76

Ahja, diesen Ordner hatte ich nicht direkt im Blick.


Das Problem ist, dass du auf einem Mac die SMB Freigaben nicht so detailliert regeln kannst. Du könntest evtl. Abhilfe schaffen, wenn du das Terminal zur Konfiguration verwendest.


Passende Doku findest du direkt im Terminal oder hier: https://www.unix.com/man-page/osx/1/smbutil/



Muss es denn zwingend SMB sein? Befinden sich alle Nutzer im selben Netzwerk oder muss über das Internet geteilt werden?



Antworten
Benutzerprofil für Benutzer: MLG76
MLG76 Autor
Stufe: Stufe 1
18 Punkte

03. Sept. 2024 02:21 als Antwort auf Pi88no

Alle Nutzer sind im internen Netzwerk. Es geht ausschließlich darum, dass NAS im Netz nicht zu exponieren. Deshalb so es quasi unsichtbar mit so wenig wie möglich Diensten hochabgesichert im Netz agieren, indem es sich die zu sichernden Dateien einfach via SMB abholt. Idealerweise logge ich mich dazu nicht mit vollen Rechten zum Abholen ein, sondern habe lediglich Leserechte. Dies nur vorsorglich für den Fall, dass das NAS selbst - warum auch immer - kompromitiert werden sollte. Ist falls ordentlich abgesichert praktisch zwar eher unwahrscheinlich, trotzdem aber theoretisch möglich. Nur verkompliziert dies nun die Sache enorm.


Ich hatte vorhin versucht über über den Ordner 'Öffentlich' und den 'Briefkasten' des Users backup zu gehen. Nur scheitert dies nun wieder daran, dass der im englischen 'Drop Box' mit Leerzeichen geschrieben wird und dies eine Nutzung verhindert.


Vermutlich ist es ökonomischer einfach ein weiteres NAS als Zwischenlösung zu kaufen, wo dann macOS die Daten drauf schiebt und das Backup-NAS sie abholt? Mit macOS scheint es ja kompliziert ohne Ende zu sein.

Antworten
Benutzerprofil für Benutzer: Netcracker
Netcracker
Stufe: Stufe 9
56.618 Punkte

03. Sept. 2024 03:14 als Antwort auf Pi88no

Pi88no schrieb:
[...]
Eine andere Lösung sehe ich mit Boardmitteln nicht. Schwieriger wird es wenn SMB verwendet werden soll.

Nur aus Neugier: die Dateifreigabe (so hätte ich das übrigens auch gemacht, danke für die Illustration), die du oben demonstriert hast, nutzt doch SMB ?


Welche anderen Protokolle schweben dir vor ? ftp, webDAV, afp....?


Dann würde ich vom TO gerne mal wissen, wie ein NAS ein Backup "abholt" bzw. was für ein Prozess dahinter steckt.


ACL's unter macOS sind in der Tat etwas anderes als unter Windows. Nicht umsonst hat Apple seine Serverversionen von macOS eingestellt....



Antworten
Benutzerprofil für Benutzer: Pi88no
Pi88no
Stufe: Stufe 6
16.434 Punkte

03. Sept. 2024 03:47 als Antwort auf Netcracker

Netcracker schrieb:

Nur aus Neugier: die Dateifreigabe (so hätte ich das übrigens auch gemacht, danke für die Illustration), die du oben demonstriert hast, nutzt doch SMB ?


Beim reinen Teilen kommen mW nur die üblichen macOS Zugrifssrechte zum Zuge.




Mir fällt es ebenfalls noch schwer das richtige Mittel zum Zweck zu ermitteln. Hier sind weitere Infos notwendig.


Dann würde ich vom TO gerne mal wissen, wie ein NAS ein Backup "abholt" bzw. was für ein Prozess dahinter steckt.


Den Usecase von MLG76 überblicke ich auch noch nicht so recht.


Wenn eine NAS verwendet wird, wäre es evtl. ratsam, dass diese die Rechtverwaltung übernimmt. Ich hatte das mal mit OMV bewerkstelligt.

Antworten

Dieser Thread wurde vom System oder dem Community-Team geschlossen. Du kannst alle Beiträge positiv bewerten, die du hilfreich findest, oder in der Community nach weiteren Antworten suchen.

Verständnisfrage zum Ordner "Geteilt" und ACLs

Willkommen in der Apple Support Community
Ein Forum, in dem Apple-Kunden sich gegenseitig mit ihren Produkten helfen. Melde dich mit deinem Apple Account an, um Mitglied zu werden.
Weitere Informationen Registriere dich