In primo luogo alcuni importanti comandi da sapere:
ls -laO mostra molto:
drwxrwxr-x+ 19 myuser1 staff 714 2 Feb 10:31 My Passport
ls -elaO include ACL:
drwxrwxr-x+ 19 myuser1 staff 714 2 Feb 10:31 My Passport
0: user:_spotlight inherited allow list,search,file_inherit,directory_inherit
Il seguente comando mostra tutti i membri di un gruppo (il gruppo di esempio qui è personale):
members () { dscl . -list /Users | while read user; do printf "$user "; dsmemberutil checkmembership -U "$user" -G "$*"; done | grep "is a member" | cut -d " " -f 1; }; members staff
Il seguente comando mostra l'UID, il GID e le appartenenze ai gruppi di user_name
id user_name
Controlla i tuoi vari utenti / gruppi con gli ultimi due comandi per ottenere una panoramica.
Le autorizzazioni standard nel file system vengono applicate utilizzando UID e GID anziché i nomi. Quindi
drwxrwxr-x+ 19 myuser1 staff 714 2 Feb 10:31 My Passport
dovrebbe essere letto come (assumendo UID di myuser1 = 501):
drwxrwxr-x+ 19 UID=501 GID=20 714 2 Feb 10:31 My Passport
| | |
| | |Others (Members of GID=12 (Everyone)?) can read and execute
| |Members of GID=20 can read, write and execute
|UID=501 can read, write and execute (owner)
Allegando Il mio passaporto a un altro Mac (Mac2) - l'UID / GID non sarà cambiato - rivelerà quanto segue:
-
Nel caso in cui l'UID di myuser2 = 501 e GID = 20 (GID = 20 (personale) è un gruppo standard su ogni Mac e ogni utente (standard o admin) creato con le Preferenze di Sistema ne è membro)
drwxrwxr-x+ 19 UID=501 GID=20 714 2 Feb 10:31 My Passport
che si ritrasforma in:
drwxrwxr-x+ 19 myuser2 staff 714 2 Feb 10:31 My Passport
e myuser2 su Mac2 ha gli stessi diritti di myuser1 su Mac1
-
Nel caso in cui UID di myuser2 = 502 e UID di myuser3 = 501 ed entrambi siano membri di staff :
drwxrwxr-x+ 19 myuser3 staff 714 2 Feb 10:31 My Passport
myuser2 come membro di staff non è più proprietario ma può ancora rwx.
-
Nel caso in cui UID di myuser2 = 502 e sia membro di staff e myuser3 con UID = 501 sia stato eliminato :
drwxrwxr-x+ 19 (unknown user) staff 714 2 Feb 10:31 My Passport
myuser2 come membro di staff non è più proprietario ma può ancora rwx.
-
Nel caso in cui UID di myuser2 = 503 ed è non membro di staff e UID = 501 è cancellato
drwxrwxr-x+ 19 (unknown user) staff 714 2 Feb 10:31 My Passport
myuser2 come altri (membro di tutti ?) può rx.
Quindi per rispondere alle tue domande: il motivo per cui myuser2 su Mac2 ha gli stessi diritti di myuser1 su Mac1 sono le stesse appartenenze UID e GID / gruppo di entrambi i rispettivi host. Lo staff è un gruppo predefinito su ogni Mac.
Nel tuo ambiente corrente (macchine singole / diritti di amministratore per gli utenti principali) che utilizzano unità esterne non è "sicuro / salva", solo utilizzando le autorizzazioni per determinare l'accesso. E non è mai stato pensato per essere.
In un'unità organizzativa (l'utente comune di una workstation è no admin) con una gestione centralizzata degli utenti (OD ecc.) è possibile utilizzare i punti di montaggio applicati ei gruppi speciali gestiscono le unità esterne:
Proprietario speciale e un nuovo gruppo per l'unità / punto di montaggio:
drwxrwx--- 19 UID=501 GID=512 714 2 Feb 10:31 My Passport
o
drwxrwx--- 19 UID=501 GID=512 714 2 Feb 10:31 My Passport/share_folder
e tutti gli utenti non amministratori che richiedono l'accesso alle unità esterne sono membri di GID = 512 ("Utenti di unità esterne")
Tuttavia, quando l'unità esterna viene persa, chiunque può accedervi. Per renderlo sicuro devi crittografare il contenuto dei dischi esterni.