kranker
Anmeldungsdatum: 2. August 2008
Beiträge: Zähle...
|
hallo, wie realisiere ich, dass ein neu eingerichterter benutzer nur zugriff für seinen bereich hat.
er soll aufkeinenfall seinen bereich verlassen dürfen (zum beispiel mal im /etc ordner herumstöbern oder in anderen benutzerbereichen). kleines beispiel:
das mutterchen bekommt einen account eingerichtet, kann auf ihren desktop zugreifen, auf ihr home verzeichnis und das wars. entschuldigt mich für meine seltsame ausdrucks- und schreibweise 😉 ich wünsche ein schönes wochenende und freue mich auf hilfreiche antworten.
|
DasIch
Anmeldungsdatum: 2. November 2005
Beiträge: 1130
|
Du musst dem Benutzer ja nicht unbedingt in die admin Gruppe packen, dann hat der Benuter auch keinen schreibenden Zugriff auf diese Bereiche. Da geht dann auch nichts kaputt.
|
primus_pilus
Ehemalige
Anmeldungsdatum: 8. Oktober 2007
Beiträge: 9144
Wohnort: NRW
|
Was möchtest du denn genau einschränken? Soll der Nutzer in den Bereichen nicht schreiben dürfen, oder soll er auch nicht lesen dürfen? Letzteres ist natürlich ungleich aufwändiger.
Wenn ich das richtig herauslese würde es doch reichen mutterchen aus der admin Gruppe zu werfen → kein sudo mehr. D.h. in den Systemordnern (ausnahme /tmp) darf sie nur noch lesen. Dann könntest du die Lese- und Schreibrechte für "other" in allen anderen homeordnern entfernen. Damit könnte mutterchen nicht mehr in die homeordner der anderen Nutzer spähen. Grüße Thomas
|
kranker
(Themenstarter)
Anmeldungsdatum: 2. August 2008
Beiträge: 2
|
ok, das mit den lese- und schreibrechten für die homeordner funktioniert.
richtig, in den restlichen ordner (z.b. /etc /var u.s.w.) soll sie weder schreiben noch lesen können.
wie kann ich dieses am besten umsetzen? sie soll halt wirklich nur ihren desktop haben und ihren homeordner für eigene dateien. vielen dank.
|
comm_a_nder
Anmeldungsdatum: 5. Februar 2006
Beiträge: 2533
Wohnort: Dresden
|
Wenn sie nirgendswo als in ihrem $HOME Leserechte haben soll, wie soll sie sich dann jemals ein Programm auf dem Rechner ausführen können, wenn sie die Programme nicht lesen darf?. Kurzum, eine *unkluge" Idee.
|
Chrissss
Anmeldungsdatum: 31. August 2005
Beiträge: 37971
|
Die Rechte stimmen schon so wie sie sind. Du solltest nicht zu viel basteln. User müssen im Dateisystem lesen können um alleine schon Programme ausführen zu können...
|
JerryQuest
Anmeldungsdatum: 2. Mai 2008
Beiträge: 63
Wohnort: Wien
|
Was mich an den Benutzerrechten stört ist dass ein Benutzer das Recht hat, das Home-Verzeichnis eines anderen Benutzers zu lesen (nicht schreiben, aber sehr wohl lesen). Das geht zu weit, finde ich. Bei Windows Vista ist das zum Beispiel nicht möglich, man braucht dazu Administratorrrechte. Kann ich das irgendwie so einstellen, dass mein Home-Verzeichnis bei Unbuntu für andere Benutzer gesperrt ist? Dort haben sie nun wirklich nichts verloren.
|
Chrissss
Anmeldungsdatum: 31. August 2005
Beiträge: 37971
|
Was mich an den Benutzerrechten stört ist dass ein Benutzer das Recht hat, das Home-Verzeichnis eines anderen Benutzers zu lesen (nicht schreiben, aber sehr wohl lesen). Das geht zu weit, finde ich.
Jeder Benutzer ist für die Rechte in seinem Homeverzeichnis selber verantwortlich. Wenn dir die Rechte nicht passen, dann pass sie an! Bitte lies dazu den passenden Abschnitt im Wiki. Siehe Homeverzeichnis (Abschnitt „Homeverzeichnis-nur-fuer-den-eigenen-Benutzer-lesbar“). Ausserdem solltest du dich generell mal mit Dateirechten auseinander setzen. Linux besitzt seit Anbeginn ein ordentliche Rechteverwaltung...
|
adun
Anmeldungsdatum: 29. März 2005
Beiträge: 8606
|
Du scheinst das ja eigentlich nicht wirklich zu wollen, wenn aber doch, dann weise dem Benutzer eine Bash im restricted modus zu und erlaube ihm über sudo was er darf. Gibt natürlich eine Million andere Möglichkeiten, aber die ist recht einfach und dank sudoers auch übersichtlich.
|
zephir
Anmeldungsdatum: 20. März 2006
Beiträge: 2758
|
comm_a_nder schrieb: Wenn sie nirgendswo als in ihrem $HOME Leserechte haben soll, wie soll sie sich dann jemals ein Programm auf dem Rechner ausführen können, wenn sie die Programme nicht lesen darf?. Kurzum, eine *unkluge" Idee.
Das ist logisch. Wenn ich aber z.B. an meinen Vater denke, der schon fast überfordert ist, wenn ein Programm mehr als einen Reiter für Einstellungen hat, wäre es eigentlich wirklich praktisch, alle Systemverzeichnisse verstecken zu können, so das nur Home sichtbar ist. Lässt sich das irgendwie realisieren? Also es gibt schon Leserechte, aber die Ordner sind versteckt und werden nicht angezeigt? So ähnlich wie die versteckten Dateien im home Verzeichnis, nur das man vor die Systemordner ja nicht einfach überall einen Punkt setzten kann.
|
FSM
Anmeldungsdatum: 13. August 2007
Beiträge: 186
Wohnort: Frankfurt
|
Ist das denn wirklich so das Problem? So gut wie jeder Dateimanager startet standardmäßig im Homeordner. Wenn man das nicht explizit will, bleibt man doch im allgemeinen von allein nur im homeorder.
|
primus_pilus
Ehemalige
Anmeldungsdatum: 8. Oktober 2007
Beiträge: 9144
Wohnort: NRW
|
Chrissss schrieb: User müssen im Dateisystem lesen können um alleine schon Programme ausführen zu können...
Prinzipiell kann man auch Programme ausführen für die man keine Leserechte hat. In wie weit das praktisch ohne Zugriff auf z.B. /etc funktioniert ist natürlich die andere Frage.
|