Start

Fortgeschrittene Konfiguration

Feinabstimmung von Rechten in der Sicherheitsrichtliniendatenbank

Wie im Kapitel Der erste Start des Programms skizziert wurde, bindet sich TinkerTool System in die Sicherheitsumgebung von Mac OS X ein, um die Richtlinien für High-End-Systemprogramme zu erfüllen. Falls notwendig, können erfahrene Systemverwalter die Richtlinien feinanpassen, wie Mac OS X entscheidet, ob es nach den Anmeldedaten eines Benutzers fragt, wenn TinkerTool System eine bevorrechtigte Operation durchführen muss. Beispielsweise könnte die Autorisierung an ein Fingerabdrucklesegerät abgegeben werden, wenn ein bestimmtes Recht angefordert wird.

TinkerTool System selbst kann Ihnen nicht dabei helfen, die Sicherheitsrichtlinien zu verändern, da es sich hier um ein Henne-und-Ei-Problem handelt: Der Zugriff auf die Datenbank erfordert privilegierte Rechte, die wiederum von der Datenbank verwaltet werden. Das Programm könnte leicht das Recht verlieren, auf die Datei zuzugreifen, in der das Recht definiert ist.

Voraussetzungen

Systemverwalter, die Sicherheitsrichtlinien verändern möchten, sollten die folgende Dokumentation gelesen und verstanden haben, die von Apple erhältlich ist:

Diese Dokumente sind über Apples Support- und Entwickler-Webseiten erhältlich.

Anzeigen und Ändern eines Autorisierungsrechts

Mit einem Betriebssystem vor OS X 10.9 Mavericks können Systemadministratoren einen Standard-Texteditor verwenden, um die Autorisierungsrechte direkt in der Datei /etc/authorization zu verändern. Die Datei gehört der obersten Systemautorität root und sollte daher mit erweiterten Privilegen über die Befehlszeile geöffnet werden.

Bei Verwendung von OS X 10.9 Mavericks muss Apples Befehlszeilenprogramm security dazu verwendet werden, Definitionen in der Sicherheitsrichtliniendatenbank anzuzeigen oder zu ändern. Informationen über dieses Programm sind nach Eingabe des Befehls man security im Terminal verfügbar.

Die Definition jedes Rechts kann in Form einer OS X-Eigenschaftsliste ausgelesen oder verändert werden, die im XML-Format angegeben ist. Eine Einführung in OS X-Eigenschaftslisten oder die einzelnen Definitionen für die Datensätze der Autorisierungsrechte, die von Apple spezifiziert werden, können im Rahmen dieses Benutzerhandbuchs nicht gegeben werden. Bitte ziehen Sie Apples offizielle Dokumentation zu diesen Themen hinzu.

Um eine Rechtedefinition aus der Sicherheitsrichtliniendatenbank auszulesen, verwenden Sie einen Befehl nach dem folgenden Muster:

security authorizationdb read "rechte-identifikation" > "dateiname".plist

Hierbei muss „rechte-identifikation“ durch den jeweiligen Namen des Rechts und „dateiname“ durch den Unix-Dateipfad einer Eigenschaftsliste ersetzt werden, in die die Rechtedefinition abgespeichert werden soll. Die Identifikationsnamen, die von TinkerTool System verwendet werden, sind im nachfolgenden Abschnitt zu finden. Beispielsweise bringt der Befehl

security authorizationdb read com.bresink.create.link > ~/create-link.plist

OS X dazu, die aktuelle Autorisierungsrichtlinie für das Recht von TinkerTool System, Dateisystemlinks anzulegen, auszulesen und diese Daten in die Eigenschaftsliste create-link.plist im Privatordner des Benutzers abzulegen.

Um eine Rechtedefinition zu ändern, editieren Sie in der erzeugten Eigenschaftslistendatei die beabsichtigten Änderungen, wie Sie es wünschen, und schreiben Sie diese Definition dann in die Sicherheitsrichtliniendatenbank zurück. Dies wird mit einem Befehl nach dem Muster

sudo security authorizationdb write "rechte-identifikation" < "dateiname".plist

erledigt, der nur von einem Benutzer mit Verwalterberechtigung ausgeführt werden kann. OS X fragt automatisch nach Ihrem Kennwort. Nehmen wir an, Sie hätten Änderungen an der Eigenschaftslistendatei create-link.plist aus dem vorigen Beispiel vorgenommen, dann würden Sie diese Änderungen über den Befehl

sudo security authorizationdb write com.bresink.create.link < ~/create-link.plist

zurück in die Datenbank übertragen.

Definition der Autorisierungsrechte

Alle Autorisierungsrechte, die von den Programmen von Marcel Bresink Software-Systeme verwendet werden, sind mit dem vorangestellten Bezeichner com.bresink markiert. Die untenstehenden Tabellen definieren die Namen aller Rechte und deren Bedeutungen. Beachten Sie, dass die Tabellen möglicherweise Rechte enthalten, die von TinkerTool System nicht aktiv genutzt werden, sondern von anderen Programmen des Anbieters Marcel Bresink Software-Systeme. In der ursprünglichen Konfiguration werden alle Rechte so eingerichtet, dass sie der Sicherheitsrichtlinie mit dem Namen default folgen.

Standardmäßig ist die Autorisierungsregel mit dem Namen default von Apple vorkonfiguriert und richtet die folgende Sicherheitsrichtlinie ein:

Dateisystemoperationen
Identifikation des Rechts Bedeutung
com.bresink.compare.folders Vergleichen der Inhalte von Dateisystemordnern.
com.bresink.count.file-objects Zählen von Objekten in Dateisystemen.
com.bresink.create.file-object Anlegen eines neuen Dateisystemobjekts, dessen Eigentümer der Systemverwalter ist.
com.bresink.create.link Anlegen eines Dateisystem-Links.
com.bresink.delete.file-objects Löschen von ein oder mehreren Dateisystemobjekten.
com.bresink.delete.file-subtree Rekursives Löschen von ein oder mehreren Dateisystemobjekten.
com.bresink.delete.folder-contents Löschen des Inhalts von einem oder mehreren Ordnern.
com.bresink.delete.hibernation-file Löschen der Hibernation-Datei des Energiemanagements.
com.bresink.get.storage-size Berechnen der Plattenspeichergröße eines Unterbaums von Dateisystemobjekten.
com.bresink.inspect.file-object Überprüfung, ob ein Dateisystemobjekt an einem bestimmten Ablageort existiert.
com.bresink.modify.protect-attribute Ändern des Schutzattributes von Dateisystemobjekten.
com.bresink.rename.file-object Umbenennen eines Dateisystemobjekts.
com.bresink.remove.system-protection Entfernen des Systemschutzes für Dateisystemobjekte.
com.bresink.touch.file-object Aktualisieren der Änderungszeit eines Dateisystemobjekts.
Operationen, die direkt auf OS X-Befehlen beruhen
Identifikation des Rechts Bedeutung
com.bresink.execute.atsutil Ausführen des Befehls atsutil zur Wartung der Apple Type Services.
com.bresink.execute.cupsctl Ausführen des Befehls cupsctl zur Interaktion mit dem Drucksubsystem.
com.bresink.execute.diskutil Ausführen des Befehls diskutil zur Wartung von Datenträgern.
com.bresink.execute.ditto Ausführen des Befehls ditto zum Kopieren von Dateisystemobjekten.
com.bresink.execute.dotclean Ausführen des Befehls dot_clean zum Verarbeitung von AppleDouble-Dateien.
com.bresink.execute.launchctl Ausführen des Befehls launchctl zur Interaktion mit dem Programmstartdienst.
com.bresink.execute.lipo Ausführen des Befehls lipo zur Änderung fetter ausführbarer Dateien.
com.bresink.execute.mdutil Ausführen des Befehls mdutil zur Spotlight-bezogenen Wartung.
com.bresink.execute.package_repair Ausführen des Reparaturbefehls zum Zurücksetzen von Dateiberechtigungen.
com.bresink.execute.periodic Ausführen der periodischen Jobs des Betriebsystems.
com.bresink.execute.tmutil Ausführen des Befehls tmutil für Wartungsaufgaben bezüglich Time Machine.
com.bresink.execute.umount Ausführen von Befehlen zum Deaktivieren von Dateisystemen.
Sonstige Operationen
Identifikation des Rechts Bedeutung
com.bresink.enable.mbs-evaluation Einschalten des Testmodus für Produkte von Marcel Bresink Software-Systeme.
com.bresink.flush.lookup-cache Löschen des Caches der Verzeichnisdienste.
com.bresink.manage.acl-support Verwalten der Unterstützung von Zugriffssteuerungslisten auf Dateisystemen.
com.bresink.modify.acl-permissions Ändern der ACL-Berechtigungseinstellungen eines Dateisystemobjekts.
com.bresink.modify.file-content Ändern des Inhalts einer systembezogenen Datei.
com.bresink.modify.ownership Ändern des Eigentümers eines Dateisystemobjekts.
com.bresink.modify.posix-permissions Ändern der POSIX-Berechtigungen eines Dateisystemobjekts.
com.bresink.modify.power-management Ein- oder Ausschalten von Funktionen des Energiemanagements.
com.bresink.mount.file-system Aktivieren eines Dateisystems.
com.bresink.prepuninst.mbs-security-tool Vorbereitungen zum Entfernen der Sicherheitskomponente.
com.bresink.propagate.permissions Übertragen von Berechtigungseinstellungen eines Ordners auf enthaltene Objekte.
com.bresink.refresh.automounter Anstoßen einer Aktualisierung des Aktivierungszustands im Automounter.
com.bresink.restart.nfs-server Neustart des NFS-Dateiservers.
com.bresink.search.aged-files Suche nach Dateisystemobjekten eines bestimmten Alters.
com.bresink.search.file-orphans Suche nach Dateisystemobjekten ohne bekannten Eigentümer.
com.bresink.search.filename-pattern Suche nach Dateisystemobjekten, die einem bestimmten Namensmuster folgen.
com.bresink.search.name-patterns Suche nach Dateisystemobjekten, die mehreren Namensmustern folgen.
com.bresink.set.disk-spindown Einstellen der Ruhezustandszeit für Plattenlaufwerke.
com.bresink.set.hfs-attributes Ändern der HFS-Attribute von Dateisystemobjekten.
com.bresink.set.kernel-value Ändern einer Live-Einstellung des Betriebssystemkerns.
com.bresink.set.network-mtu Ändern der maximalen Paketgröße für eine Netzschnittstelle.
com.bresink.set.nvram Ändern einer Computereinstellung im nicht-flüchtigen Speicher.
com.bresink.set.system-config Ändern eines Systemkonfigurationswertes.
com.bresink.set.system-preference Ändern einer systemweiten Benutzereinstellung.
com.bresink.shutdown.mbs-security-tool Herunterfahren der Sicherheitskomponente von MBS-Softwareprodukten.
com.bresink.stop.process Stoppen eines laufenden Prozesses.
com.bresink.stop.startsound-control Herunterfahren der Management-Software für den Startton.
com.bresink.update.dyld-cache Aktualisieren des gemeinsam benutzten Caches für das dynamische Binden in Programmen.
com.bresink.whoami.diagnostic Durchführen von Diagnosefunktionen mit der Sicherheitskomponente.