Start

Fortgeschrittene Konfiguration

Feinabstimmung von Rechten in der Sicherheitsrichtliniendatenbank

Wie im Kapitel Der erste Start des Programms skizziert wurde, bindet sich Sync Checker in die Sicherheitsumgebung von macOS ein, um die Richtlinien für High-End-Systemprogramme zu erfüllen. Falls notwendig, können erfahrene Systemverwalter die Richtlinien feinanpassen, wie macOS entscheidet, ob es nach den Anmeldedaten eines Benutzers fragt, wenn Sync Checker eine bevorrechtigte Operation durchführen muss. Beispielsweise könnte die Autorisierung an ein Fingerabdrucklesegerät abgegeben werden, wenn ein bestimmtes Recht angefordert wird.

Sync Checker selbst kann Ihnen nicht dabei helfen, die Sicherheitsrichtlinien zu verändern, da es sich hier um ein Henne-und-Ei-Problem handelt: Der Zugriff auf die Datenbank erfordert privilegierte Rechte, die wiederum von der Datenbank verwaltet werden. Das Programm könnte leicht das Recht verlieren, auf die Datei zuzugreifen, in der das Recht definiert ist.

Voraussetzungen

Systemverwalter, die Sicherheitsrichtlinien verändern möchten, sollten die folgende Dokumentation gelesen und verstanden haben, die von Apple erhältlich ist:

Authorization Services Programming Guide

Anzeigen und Ändern eines Autorisierungsrechts

Apples Befehlszeilenprogramm security muss dazu verwendet werden, Definitionen in der Sicherheitsrichtliniendatenbank anzuzeigen oder zu ändern. Informationen über dieses Programm sind nach Eingabe des Befehls man security im Terminal verfügbar.

Die Definition jedes Rechts kann in Form einer macOS-Eigenschaftsliste ausgelesen oder verändert werden, die im XML-Format angegeben ist. Eine Einführung in macOS-Eigenschaftslisten oder die einzelnen Definitionen für die Datensätze der Autorisierungsrechte, die von Apple spezifiziert werden, können im Rahmen dieses Benutzerhandbuchs nicht gegeben werden. Bitte ziehen Sie Apples offizielle Dokumentation zu diesen Themen hinzu.

Um eine Rechtedefinition aus der Sicherheitsrichtliniendatenbank auszulesen, verwenden Sie einen Befehl nach dem folgenden Muster:

security authorizationdb read "rechte-identifikation" > "dateiname".plist

Hierbei muss „rechte-identifikation“ durch den jeweiligen Namen des Rechts und „dateiname“ durch den Unix-Dateipfad einer Eigenschaftsliste ersetzt werden, in die die Rechtedefinition abgespeichert werden soll. Die Identifikationsnamen, die von Sync Checker verwendet werden, sind im nachfolgenden Abschnitt zu finden. Beispielsweise bringt der Befehl

security authorizationdb read com.bresink.syck.delete-files > ~/delete-files.plist

macOS dazu, die aktuelle Autorisierungsrichtlinie für das Recht von Sync Checker, Dateien zu löschen, auszulesen und diese Daten in die Eigenschaftsliste delete-files.plist im Privatordner des Benutzers abzulegen.

Um eine Rechtedefinition zu ändern, editieren Sie in der erzeugten Eigenschaftslistendatei die beabsichtigten Änderungen, wie Sie es wünschen, und schreiben Sie diese Definition dann in die Sicherheitsrichtliniendatenbank zurück. Dies wird mit einem Befehl nach dem Muster

sudo security authorizationdb write "rechte-identifikation" < "dateiname".plist

erledigt, der nur von einem Benutzer mit Verwalterberechtigung ausgeführt werden kann. macOS fragt automatisch nach Ihrem Kennwort. Nehmen wir an, Sie hätten Änderungen an der Eigenschaftslistendatei delete-files.plist aus dem vorigen Beispiel vorgenommen, dann würden Sie diese Änderungen über den Befehl

sudo security authorizationdb write com.bresink.syck.delete-files < ~/delete-files.plist

zurück in die Datenbank übertragen.

Definition der Autorisierungsrechte

Alle Autorisierungsrechte, die potenziell von Sync Checker genutzt werden können, sind mit dem vorangestellten Bezeichner com.bresink.syck markiert. Die untenstehenden Tabellen definieren die Namen aller Rechte und deren Bedeutungen. In der ursprünglichen Konfiguration werden alle Rechte so eingerichtet, dass sie der Sicherheitsrichtlinie mit dem Namen default folgen, ausgenommen diejenigen Rechte, die untenstehend mit immer erlauben markiert sind.

Standardmäßig ist die Autorisierungsregel mit dem Namen default von Apple vorkonfiguriert und richtet die folgende Sicherheitsrichtlinie ein:

Operationen zur Verwaltung und Diagnose
Identifikation des Rechts Bedeutung
com.bresink.syck.nop ein leerer Befehl, nur um die Kommunikation mit dem Sicherheitssubsystem zu testen (immer erlauben)
com.bresink.syck.discard-auth die aktuelle Autorisierung sofort verwerfen (immer erlauben)
com.bresink.syck.delete-files eines oder mehrere Dateisystemobjekte mit bekannten Pfadnamen löschen
com.bresink.syck.prepare-uninstall das System darauf vorbereiten, die Sicherheitskomponente von Sync Checker zu entfernen
Dateisystemoperationen
Identifikation des Rechts Bedeutung
com.bresink.syck.mount-filesystem Aktivieren oder Reaktivieren von Dateisystemen
com.bresink.syck.count-objects Dateisystemobjekte in einer Ordnerhierarchie zählen
com.bresink.syck.compare-folders Dateisystemobjekte in zwei Hierarchien von Ordnern miteinander vergleichen