UlfZibis
Anmeldungsdatum: 13. Juli 2011
Beiträge: 3035
Wohnort: Köln
|
Hallo, normalerweise sind ja den Benutzern jeweils eigene Primärgruppen zugeordnet, also z.B.:
user1@Ubuntu:~$ id
uid=1000(user1) gid=1000(user1) Gruppen=1000(user1),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),108(lpadmin),124(sambashare)
user2@Ubuntu:~$ id
uid=1001(user2) gid=1001(user2) Gruppen=1001(user2),4(adm),24(cdrom),30(dip),46(plugdev),108(lpadmin),124(sambashare)
Ich frage mich nun, ob ich Sicherheitsprobleme bekommen, wenn ich eine zusätzliche Gruppe als Primärgruppe definiere, also so z.B.:
user1@Ubuntu:~$ id
uid=1000(user1) gid=100(users) Gruppen=100(users),1000(user1),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),108(lpadmin),124(sambashare)
user2@Ubuntu:~$ id
uid=1001(user2) gid=100(users) Gruppen=100(users),1001(user2),4(adm),24(cdrom),30(dip),46(plugdev),108(lpadmin),124(sambashare)
Wenn ich das so mache, bekommen doch ab dem Zeitpunkt neue Dateien und Ordner die Gruppenzugehörigkeit von 100(users) ? Weiterhin: Hat dann z.B. user1 auch Zugriff auf die Dateien von user2 ? Ist die Gruppe users überhaupt für sowas geeignet, oder ist die für andere Zwecke gedacht? Ich frage das alles, damit ich ein passendes Mapping mit meinen Windows-Daten hinkriege, siehe: http://forum.ubuntuusers.de/topic/ntfs-3g-usermapping-windows-vista-ubuntu
|
Benno-007
Anmeldungsdatum: 28. August 2007
Beiträge: 29240
Wohnort: Germany
|
Nutzer mit selber Gruppe haben selbe ▶ Rechte. Diese können sich von den Rechten des Benutzers unterscheiden.
|
UlfZibis
(Themenstarter)
Anmeldungsdatum: 13. Juli 2011
Beiträge: 3035
Wohnort: Köln
|
Benno-007 schrieb: Nutzer mit selber Gruppe haben selbe ▶ Rechte. Diese können sich von den Rechten des Benutzers unterscheiden.
Ja sicher, das habe ich vom Prinzip her so schon verstanden. Ich bin mit nur unsicher, mit welchen Konsequenzen für das Gesamtsystem zu rechnen ist, wenn ich die Änderung wie vorgestellt machen würde, und was mache ich dann mit den schon existierenden Dateien, soll ich da überall die alte Gruppenzuordnung durch die neue ersetzen? Wenn ich dann außerdem sicherstellen wollte, dass user1 nicht die Daten von user2 verändern kann, so wie es ja auch bei der Originaleinstellung per o=rx gesperrt ist, müsste ich dann ja noch umask auf 0022 setzen bzw. entsprechendes in /etc/login.defs. Auch hier frage ich, was das dann für Konsequenzen auf das Gesamtsystem haben kann. Weiterhin stelle ich gerade mit Erschrecken fest, dass ich von user2 aus in die Daten von user1, also z.B. /home/user1/Dokumente gucken kann. Ist das normal bei Ubuntu? Ich hatte das bisher nie angezweifelt weil sogar bei Windows das gegenseitige Reingucken nicht möglich ist.
|
Benno-007
Anmeldungsdatum: 28. August 2007
Beiträge: 29240
Wohnort: Germany
|
UlfZibis schrieb: Ja sicher, das habe ich vom Prinzip her so schon verstanden. Ich bin mit nur unsicher, mit welchen Konsequenzen für das Gesamtsystem zu rechnen ist,
Du bist zwar schon seit 2011 dabei - aber willkommen bei Linux, wo man selbst überlegen und ausprobieren muss. 😉 Grundsätzlich gehören Dateien deines Benutzers ja hauptsächlich ins Home des Benutzers und der Benutzer bleibt ja mit seinen Rechten bestehen. Also würde passieren: Meiner Meinung nach nichts.
wenn ich die Änderung wie vorgestellt machen würde, und was mache ich dann mit den schon existierenden Dateien, soll ich da überall die alte Gruppenzuordnung durch die neue ersetzen?
Wenn du sie brauchst - ja?
Wenn ich dann außerdem sicherstellen wollte, dass user1 nicht die Daten von user2 verändern kann, so wie es ja auch bei der Originaleinstellung per o=rx gesperrt ist, müsste ich dann ja noch umask auf 0022 setzen bzw. entsprechendes in /etc/login.defs. Auch hier frage ich, was das dann für Konsequenzen auf das Gesamtsystem haben kann.
Dann setze sie eben nicht systemweit, sondern nur für deine Benutzer, wie im Artikel Rechte auch aufgeführt wird.
Weiterhin stelle ich gerade mit Erschrecken fest, dass ich von user2 aus in die Daten von user1, also z.B. /home/user1/Dokumente gucken kann. Ist das normal bei Ubuntu?
Ja: Homeverzeichnis#Homeverzeichnis-nur-fuer-den-eigenen-Benutzer-lesbar. Grüße, Benno
|
UlfZibis
(Themenstarter)
Anmeldungsdatum: 13. Juli 2011
Beiträge: 3035
Wohnort: Köln
|
Benno-007 schrieb: UlfZibis schrieb: Ja sicher, das habe ich vom Prinzip her so schon verstanden. Ich bin mit nur unsicher, mit welchen Konsequenzen für das Gesamtsystem zu rechnen ist,
Du bist zwar schon seit 2011 dabei - aber willkommen bei Linux, wo man selbst überlegen und ausprobieren muss. 😉
Grundsätzlich gebe ich Dir recht. Da ich den Rechner aber außer Haus geben muss, will ich es bzgl. der möglichen Konsequenzen, z.B. Audio, Update oder was auch immer geht nicht mehr, nicht dem Zufall überlassen. Leider habe ich auch noch nirgendwo was über denn Sinn der allen Benutzern gleichnamigen Gruppe gefunden. Ist das nur ein Platzhalter, den man nach Belieben weglassen und bei Bedarf durch was anderes ersetzen kann, oder wird damit eine Funktion ermöglicht, die sich mir noch nicht erschlossen hat. Ein Hinweis der alten Hasen wäre mir da sehr willkommen. Grundsätzlich gehören Dateien deines Benutzers ja hauptsächlich ins Home des Benutzers und der Benutzer bleibt ja mit seinen Rechten bestehen. Also würde passieren: Meiner Meinung nach nichts.
OK, den Hinweis nehme ich mal gerne auf und forsche weiter. Ich würde aber schon sagen, dass sich die Rechte des Benutzers ändern, wenn ich eine andere, allen Benutzern gemeinsame Hauptgruppe definiere. Dann setze sie eben nicht systemweit, sondern nur für deine Benutzer, wie im Artikel Rechte auch aufgeführt wird.
Wie kann ich denn umask nur für die Benutzer user1, user2 auf u=rwx,g=rx,o=rx setzen, ohne dass das auch auf z.B. root, nobody, cupsys etc. wirkt? Ja: Homeverzeichnis#Homeverzeichnis-nur-fuer-den-eigenen-Benutzer-lesbar.
Danke!
|
chilidude
Anmeldungsdatum: 18. Februar 2010
Beiträge: 867
|
Wie kann ich denn umask nur für die Benutzer user1, user2 auf u=rwx,g=rx,o=rx setzen, ohne dass das auch auf z.B. root, nobody, cupsys etc. wirkt?
Über "~/.profile". Dort kannst du auch mittels "sg" eine neue Hauptgruppe setzen. Und bevor du "users" (Systemgruppe) nimmst, wäre es wohl ratsam sich einfach eine neue zu erstellen.
|
UlfZibis
(Themenstarter)
Anmeldungsdatum: 13. Juli 2011
Beiträge: 3035
Wohnort: Köln
|
chilidude schrieb: Wie kann ich denn umask nur für die Benutzer user1, user2 auf u=rwx,g=rx,o=rx setzen, ohne dass das auch auf z.B. root, nobody, cupsys etc. wirkt?
Über "~/.profile". Dort kannst du auch mittels "sg" eine neue Hauptgruppe setzen.
OK, danke. Unter /etc/login.defs zusätzlich hätte den Vorteil, dass man bei neu angelegten Benutzern nicht jedesmal dran denken muss, diese ebenfalls umzukonvertieren, oder hat das auch Auswirkung auf schon bestehende wie z.B. root, nobody, cupsys etc.? Ich frage mich, wo überhaupt die von Benno-007 erwähnte "systemweite" Umstellung gesetzt werden könnte. Und bevor du "users" (Systemgruppe) nimmst, wäre es wohl ratsam sich einfach eine neue zu erstellen.
Tja, der Name wäre halt schon sehr passend. Ihn tatsächlich als Hauptgruppe zu verwenden scheint auch nicht unüblich zu sein, wie dieses Beispiel zeigt. Kann es nicht sein, dass er unter Ubuntu überhaupt nicht verwendet wird, und nur aus historischen Gründen angelegt ist?
|
Benno-007
Anmeldungsdatum: 28. August 2007
Beiträge: 29240
Wohnort: Germany
|
Bei mir wird es tatsächlich nicht verwendet:
grep user /etc/group
|
chilidude
Anmeldungsdatum: 18. Februar 2010
Beiträge: 867
|
UlfZibis schrieb:
oder hat das auch Auswirkung auf schon bestehende wie z.B. root, nobody, cupsys etc.?
Bei "login.defs" hängt das von der Option ab. Manche Parameter werden in andere Dateien geschrieben (z.B. "~/.profile" bei Erstellung eines neuen Nutzers), die meisten dürften sofort wirken. Im Verzeichnis "/etc/skel" findet sich dagegen nur ein Grundgerüst für jeweils neu erstellte Benutzer. Und bevor du "users" (Systemgruppe) nimmst, wäre es wohl ratsam sich einfach eine neue zu erstellen.
Tja, der Name wäre halt schon sehr passend. Ihn tatsächlich als Hauptgruppe zu verwenden scheint auch nicht unüblich zu sein, wie dieses Beispiel zeigt. Kann es nicht sein, dass er unter Ubuntu überhaupt nicht verwendet wird,
Es kann sich auch um einen Identifikator für einen Systemdienst handeln (z.B. mount), der zusätzliche Rechte freischaltet. Die Systemgruppe "disk" wird augenscheinlich auch von niemand verwendet aber der User der Gruppenmitglied in ihr ist, hat Vollzugriff auf alle Blockspeicher (ohne sudo).
|