Behoud van bestandspermissies en eigenaarschap bij platformconversies

Bestandsconversie wordt meestal besproken in termen van formaatgetrouwheid — hoe goed de visuele of tekstuele inhoud een transformatie doorstaat. Toch is voor veel organisaties de beveiligingsomslag die een bestand omringt — de permissies, het eigenaarschap en uitgebreide attributen — even cruciaal. Wanneer een document van een Windows‑werkstation naar een Linux‑server wordt verplaatst, of wanneer het door een cloud‑gebaseerde converter gaat, kunnen die toegangscontroles stilletjes worden gestript, waardoor gevoelige data worden blootgesteld of geautomatiseerde workflows breken. Deze gids behandelt de onderliggende permissiemodellen, legt uit waarom ze van belang zijn tijdens conversie, en biedt concrete, reproduceerbare technieken om ze intact te houden.

Inzicht in permissiemodellen op verschillende platformen

POSIX‑permissies domineren Unix‑achtige systemen. Elk bestand heeft een eigenaar‑gebruiker, een eigenaar‑groep, en drie permissie‑triplets (lezen, schrijven, uitvoeren) voor gebruiker, groep en anderen. Moderne Linux‑distributies ondersteunen ook POSIX‑ACL's, die fijnmazige invoer mogelijk maken buiten de klassieke drie‑tuple.

Windows‑ACL's zijn expressiever. Een Access Control List bevat een reeks Access Control Entries (ACE's) die toestemmings‑ of weigerregels specificeren voor gebruikers, groepen of ingebouwde principalen zoals Authenticated Users. Elke ACE kan overervings‑vlaggen, object‑type‑specifieke permissies en auditinstellingen bevatten.

Beide platformen bieden extended attributes (xattrs) en resource forks (op macOS) die aangepaste metadata opslaan — bijvoorbeeld een aangepaste tag “confidential” of een checksum die door een extern systeem wordt gebruikt. Wanneer een bestand simpelweg wordt gekopieerd, behouden de meeste besturingssystemen deze attributen; de meeste ondoordachte conversietools behandelen het bestand echter als een ondoorzichtig byte‑stroom en laten alles behalve de ruwe data vallen.

Waarom permissies ertoe doen in conversieworkflows

  1. Regelgeving – GDPR, HIPAA en andere wetten vereisen vaak dat toegangscontroles een gegevensverwerkingsoperatie overleven, niet alleen opslag.
  2. Operationele continuïteit – Geautomatiseerde pijplijnen die afhankelijk zijn van groeps‑gebaseerde uitvoering (bijv. een nachtelijke taak die bestanden verwerkt die eigendom zijn van data‑ingest) falen als het eigenaarschap verloren gaat.
  3. Risicobeperking – Gestreepte ACL's kunnen een privé‑document veranderen in een wereldwijd leesbaar bestand, waardoor een data‑leklocatie ontstaat.
  4. Auditing – Voor forensische of e‑discovery doeleinden maakt de oorspronkelijke permissietoestand deel uit van de bewijsvoering; wijziging ervan kan de audit‑keten ongeldig maken.

Daarom moet elke conversiepijplijn die bestanden over bestandsystemen, containers of cloud‑services verplaatst, permissies behandelen als first‑class burgers.

Veelvoorkomende scenario’s waarin permissies verdwijnen

1. Windows → Linux via SMB of FTP

Wanneer een bestand van een Windows‑share naar een Linux‑server wordt geüpload, mappt de SMB‑client meestal de Windows‑eigenaar naar een lokale gebruiker (vaak nobody) en gooit de originele ACL weg. FTP, als een platte‑tekst‑protocol, verwijdert alle metadata.

2. Cloud‑gebaseerde conversiediensten

De meeste SaaS‑converters accepteren een multipart/form-data POST, lezen de bestandsinhoud, voeren de transformatie uit en retourneren het resultaat. De dienst behandelt de payload als ruwe bytes; daarom verlaten OS‑level permissie‑bits nooit de client‑machine. Na download erft het resulterende bestand de standaardpermissies van de ontvangende map. Bijvoorbeeld, bij gebruik van convertise.app wordt het geüploade document volledig in de cloud verwerkt, en komt het terug met de permissies van de lokale downloadmap.

3. Archiefextractie zonder metadata‑behoud

Een veelgebruikte shortcut is een map te zippen, het archief te sturen, de bestanden binnenin te converteren en de resultaten te unzippen. Het zip‑formaat kan Unix‑permissies opslaan, maar veel consumenten unzippen met de -X‑optie uitgeschakeld, waardoor de bits verloren gaan; Windows‑ZIP‑programma’s negeren ze volledig.

Strategieën om permissies te behouden tijdens conversie

a. Verpak bestanden in een archief dat metadata behoudt

De simpelste aanpak is de bronbestanden in een archief te plaatsen dat expliciet permissie‑data registreert, en vervolgens – indien mogelijk – het archief zelf te converteren. Formaten die dit ondersteunen zijn onder andere:

  • tar met de --preserve-permissions (-p) vlag. tar slaat UID/GID, modusbits en POSIX‑ACL's op wanneer de --acls optie wordt meegegeven (GNU tar).
  • pax, een POSIX‑standaard archief dat extended attributes kan opslaan.
  • 7‑zip (.7z) dat Windows‑ACL's kan registreren met de -sacl switch.

Door het archief te behouden, hoef je de permissies niet opnieuw toe te passen na elke individuele bestandsconversie.

b. Exporteer en importeer permissiemetadata apart

Wanneer het doelformaat geen permissie‑bits kan bevatten (bijv. een DOCX → PDF), exporteer dan de beveiligingsdescriptors naar een side‑car‑bestand vóór de conversie:

# Export POSIX ACL's naar een JSON‑bestand
auditctl -a always,exit -F arch=b64 -S chmod,chown -k perm_export
getfacl -R /data/incoming > perms.acl

Na de conversie kan een kort post‑process‑script de opgeslagen ACL's opnieuw toepassen op de nieuwe bestanden, door ze te koppelen via het relatieve pad.

c. Gebruik conversietools die metadata respecteren

Sommige command‑line utilities hebben ingebouwde opties om permissies te kopiëren:

  • pandoc (voor documentformaten) respecteert de --preserve vlag om bestandmodusbits te behouden.
  • ffmpeg kan de metadata vlag kopiëren; hoewel het geen UNIX‑permissies doorgeeft, kun je het combineren met -map_metadata om ingebedde tags te behouden.
  • Voor afbeeldingsconversie laat ImageMagick's convert de optie -strip (die metadata verwijdert) weg en behoudt standaard de bestandmodus. Door expliciet -strip te vermijden en -set filename:original te gebruiken, kun je later permissies herstellen.

d. Programma‑matig her‑toepassen met scripts

Talen zoals Python bieden de API’s os.chmod, os.chown en os.setxattr. Een generieke her‑toepassingsroutine kan er zo uitzien:

import json, os, pwd, grp

with open('perms.json') as f:
    perms = json.load(f)

for rel_path, meta in perms.items():
    dst = os.path.join('converted', rel_path)
    os.chmod(dst, meta['mode'])
    uid = pwd.getpwnam(meta['owner']).pw_uid
    gid = grp.getgrnam(meta['group']).gr_gid
    os.chown(dst, uid, gid)
    for attr, value in meta.get('xattrs', {}).items():
        os.setxattr(dst, attr, value.encode())

Het opslaan van de metadata in een draagbaar JSON‑formaat betekent dat hetzelfde script werkt op zowel Windows (via pywin32 voor ACL's) als Linux.

Voorbeeld van een end‑to‑end workflow

  1. Verzamel bronbestanden in /project/source.
  2. Exporteer permissies naar perms.json met een klein Go‑hulpmiddel dat de mapboom doorloopt en UID/GID, modus en Windows‑ACL SDDL‑strings schrijft.
  3. Maak een tarball met tar -cvpf source.tar /project/source – de -p vlag dwingt het archief de exacte modusbits op te slaan.
  4. Upload het archief naar de conversiedienst (bijv. curl -F file=@source.tar https://api.convertise.app/convert?to=zip). De dienst retourneert een nieuw archief converted.zip waarin elk document is getransformeerd, terwijl de wrapper behouden blijft.
  5. Pak het archief uit op de bestemmingshost met tar -xvpzf converted.zip (of 7z x op Windows met -sacl).
  6. Pas ACL's opnieuw toe door perms.json in het bovenstaande Python‑script te voeren.

Het resultaat is een set geconverteerde bestanden die er vanuit een beveiligingsperspectief exact hetzelfde uitziet en gedraagt als de originelen.

Testen en verificatie

Na een conversierun controleer je of de permissies voldoen aan de verwachtingen:

  • Checksum‑vergelijking – Bereken een SHA‑256 voor elk bestand vóór en na de conversie om inhouds‑integriteit te waarborgen; vergelijk vervolgens permissie‑hashes met getfacl -c (Linux) of icacls (Windows) en hash die output‑strings.
  • Automated regression – Voeg een stap toe in een CI‑pipeline die een test‑fixture‑map kopieert, de conversie uitvoert, en controleert of stat -c "%a %U %G" overeenkomt met de baseline.
  • Audit‑logs – Als je organisatie een audit‑trail vereist, log dan de tijdstippen van permissie‑export en -her‑toepassing naast de conversie‑ID’s. Dit voldoet aan vele compliance‑kaders die traceerbaarheid van beveiligingsmetadata eisen.

Edge cases en speciale overwegingen

Versleutelde bestanden

Wanneer een bestand op bestandsysteemniveau is versleuteld (bijv. Windows BitLocker, Linux eCryptfs), kan de conversiedienst de onderliggende permissies niet zien omdat de data wordt gepresenteerd als een ciphertext‑blob. De aanbevolen praktijk is om naar een beveiligd staging‑gebied te ontsleutelen, de conversie uit te voeren met behoud van ACL's, en vervolgens het resultaat opnieuw te versleutelen.

Streaming conversies

Sommige pijplijnen streamen een bestand direct naar een conversie‑binary (ffmpeg -i - -f mp4 -). In zulke gevallen bestaat het originele bestand niet meer op schijf nadat de stream start, waardoor zijn permissie‑bits niet gekopieerd kunnen worden. Een oplossing is om de bestandsdescriptor te dupliceren: open de bron, fstat de modus, en na de conversie chmod het output‑bestand naar de opgeslagen modus.

Cross‑platform padnormalisatie

Windows gebruikt backslashes en kan paden case‑insensitief opslaan, terwijl Unix case‑sensitief is. Bij het matchen van side‑car‑metadata met geconverteerde bestanden, normaliseer je paden met os.path.normcase (Windows) of os.path.realpath (POSIX) vóór de lookup.

Checklist voor permissie‑veilige conversie

  • Identificeer het bronpermissiemodel (POSIX, Windows ACL, macOS xattr).
  • Exporteer permissiemetadata naar een draagbare representatie vóór conversie.
  • Kies een archiefformaat dat deze bits opslaat als je bestanden moet bundelen.
  • Geef de voorkeur aan conversietools die de bestandmodus behouden, tenzij je metadata bewust wilt strippen.
  • Pas permissies na conversie automatisch opnieuw toe met scripts.
  • Verifieer met checksum‑gebaseerde tests dat zowel inhoud als ACL's overeenkomen met de verwachting.
  • Documenteer het proces in een intern run‑book voor auditors.

Conclusie

Bestandsconversie wordt vaak gereduceerd tot de vraag “ziet het nieuwe bestand er hetzelfde uit?”. Voor veilige en conforme omgevingen moet het antwoord ook omvatten “behoudt het nieuwe bestand dezelfde toegangscontroles?”. Door permissies te behandelen als expliciete data — ze te exporteren, mee te transporteren naast de payload, en ze na de conversie te reinstellen — kun je pijplijnen bouwen die zowel inhoudstreurheid als beveiligingshouding respecteren. Of je nu PDF‑s van een Windows‑desktop naar een Linux‑gebaseerd archiefsysteem verplaatst, of een cloud‑first converter zoals convertise.app benut, deze best practices leveren voorspelbare, audit‑bare resultaten zonder concessies te doen aan het gemak van moderne bestandsconversiediensten.