Ordner für Mediendateien

[mcb]

Wirklich 'einfache' Frage.

Ich benötige einen Ordner für Mediendateien, auf den alle lokalen Benutzer Zugriff haben. (Nur root soll schreiben dürfen).

Beim Speicherort bin ich ja recht frei. Was nimmt man dafür, oder warum auch nicht?

/home/Media

/srv/Music

z.B. ? Freue mich auf eure Ideen.

[smutbert]

Bei Mediendateien würde ich root nicht ins Spiel bringen sondern stattdessen einen eigenen Benutzer für die Mediendateien anlegen und die Mediendateien im Homeverzeichnis dieses Benutzers speichern.
Die Benutzer, die (lesenden) Zugriff auf die Mediendateien haben sollen müssen dann nur zur gleichnamigen Benutzergruppe des Medienadateienbenutzers hinzugefügt werden

[mcb]

.....
Die Benutzer, die (lesenden) Zugriff auf die Mediendateien haben sollen müssen dann nur zur gleichnamigen Benutzergruppe ...hinzugefügt werden

Ah ok danke für den Input!

Also ich lege einen Benutzer am "user123" -> und packe die anderen in die Gruppe "user123" ?

OK muß ich mich auch nochmal mit den Berechtigungen der home Verzeichnisse beschäftigen.

Code: Alles auswählen

root@mb:~# ll /home/m* -d
drwx--x---+ 61 marc marc 4096 Mar  3 02:15 /home/marc
drwx------  21 mb   mb   4096 Feb 25 19:18 /home/mb
root@mb:~# 

Ginge das bei mb ^^
Was auch recht einfach wäre root erstellt /home/media, oder? (Ja das inkludiert root und das ist wohl nicht ideal) -> also lieber nicht.

[uname]

Am Ende liegt es auch daran wie viele Benutzer es gibt und ob du sowieso oft als root arbeitest. Vor allen kann Dummheit zu Datenverlust führen. Aber mit einem Backup ist auch das weniger schlimm.

Du brauchst die Benutzer nicht in die Gruppe packen. Du kannst auch den Ordner z. B. /home/media für alle lesbar machen. Natürlich muss der Benutzer die Dateien dann auch lesbar für alle anlegen.

[MSfree]

Also ich lege einen Benutzer am "user123" -> und packe die anderen in die Gruppe "user123" ?

Nein, du brauchst keinen Benutzer anzulegen. Du brauchst nur eine Gruppe anzulegen:

Code: Alles auswählen

addgroup group123

Dann steckst du die nötigen Benutzer in die Gruppe group123 mit

Code: Alles auswählen

usermod -G group123 Bnutzername

OK muß ich mich auch nochmal mit den Berechtigungen der home Verzeichnisse beschäftigen.

Code: Alles auswählen

su -
mkdir /home/media
chown root.group123 /home/media
chmod 770 /home/media
exit

Erzeugt das Medianverzeichnis unter /home, ändert die Besitzverhältnisse so, daß es dem Benutzer root gehört und allen, die in der Gruppe group123 sind. Das chmod sorgt dafür, daß root und alle, die in der Gruppe group123 sind, Lese- und Schreibrecht haben, und auch in das Verzeichnis wechseln dürfen. Der Rest der Welt bleibt komplett ausgesperrt.

[mcb]

Ah Danke!

Ja viele Wege führen nach Rom.

Code: Alles auswählen

marc@mb:~$ s
Password: 
root@mb:~# cd /home/
root@mb:/home# mkdir media
root@mb:/home# ll 
total 32
drwx------   2 root root 16384 Aug 19  2020 lost+found
drwx--x---+ 61 marc marc  4096 Mar  3 13:41 marc
drwx------  22 mb   mb    4096 Mar  3 12:25 mb
drwxr-xr-x   2 root root  4096 Mar  3 14:24 media
drwxr-xr-x   9 root root  4096 Mar  3 09:24 timeshift
root@mb:/home# s mb
mb@mb:~$ cd /home/media/
mb@mb:/home/media$ ll
total 0
mb@mb:/home/media$ mkdir test
mkdir: cannot create directory ‘test’: Permission denied
mb@mb:/home/media$ 

Auf das Verzeichnis haben meine lokalen Benutzerkonten Lesezugriff und root kann schreiben. Ich muß mir das nochmal durch den Kopf gehen lassen ...
Den Vorschlag mit dem extra Benutzerkonto und Gruppe fand ich recht gut. Aber irgendwie ist mir nicht so wirklich klar wie man dann Benutzer- und Gruppenberechtigung unterscheided.

[MSfree]

Den Vorschlag mit dem extra Benutzerkonto und Gruppe fand ich recht gut. Aber irgendwie ist mir nicht so wirklich klar wie man dann Benutzer- und Gruppenberechtigung unterscheided.

Die Verwirrung entsteht dadurch, daß man irgendwann mal beschlossen hat, zu jedem neu eingerichtetem Benutzer eine gleichnamige Gruppe anzulegen. Du mußt dir halt angewöhnen, daß der Benutzer "hugo" etwas anderes ist als die Gruppe "hugo". Mit ls -l werden dir die Berechtigungen in der Form -rwxrwxrwx angezeigt, Die erste rwx-Folge bezieht sich auf den Benutzer, die zweite auf die Gruppe, die dritte auf den Rest der Welt. Ferner werden besizender Benutzer und besitzende Gruppe aufgeführt, und meist haben Benutzer und Gruppe den gleichen Namen, sie sind aber nicht das gleiche.

In ein Verzeichnis, das mit d---rwx--- Berechtigungen angelegt wurde, dürfen alle Gruppenmittglieder schreiben und lesen, aber nicht der Besitzer selbst (es seit denn, er ist Gruppenmitglied).

Der Zusammenhang zwischen rwx und seinem numerischen Äquivalent ist:
r = 4
w =2
x = 1
die einfach zu addieren sind.

Will man also, wie im obigen Beispiel Lese-, Schreib- und Executerechte eines Verzeichnisses für eine Gruppe setzen, so ergibt sich ein chmod 070 Verzeichnisname.

Aber nochmal, es braucht keinen neuen Benutzer, man kann Gruppen auch anlegen, ohne einen neuen Benutzer anzulegen. In diesem Fall würde das nämlich reichen.

[mcb]

Ach so ->

Benutzer Hugo darf schreiben / Benutzergruppe Hugo darf nur lesen 'beißt' sich nicht? Das würde einiges erleichtern!

OK ich habe jetzt eine neue Gruppe mit einem Ordner.

Code: Alles auswählen

marc@mb:/home/media$ ll -d
drwxrwx--- 2 root media 4096 Mar  3 14:54 .

Das ist mir lieber als root, da neue Konten nicht in die Gruppe wheel sollen.

Ich möchte dann noch einen Unterordner mit root -> schreiben und group media darf lesen. Ich probiere das nachher. Vielen Dank erstmal.

[smutbert]

Code: Alles auswählen

drwxr-xr-x   2 root root  4096 Mar  3 14:24 media

auf das Homeverzeichnis hätten einmal grundsätzlich alle Benutzer lesenden Zugriff, was die Standardeinstellung für frisch angelegte Homeverzeichnisse ist – das lässt sich mit

Code: Alles auswählen

dpkg-reconfigure -p low adduser

ändern (wirkt dann aber natürlich nur auf danach angelegte Benutzer).

Noch wichtiger ist allerdings natürlich mit welchen Rechten die Dateien dann angelegt werden und hier richten sich fast alle Programme nach dem Wert von umask, der bei Debian standardmäßig 022 ist. Wofür die Ziffern stehen hast du bestimmt schnell herausgefunden, entscheidend ist, dass der Standardwert bedeutet, dass

• der Besitzer (Benutzer) alles darf
• die Besitzer-/Benutzergruppe nur lesen
• alle anderen ebenfalls nur lesen

Bei den Standardeinstellungen müsstest du also gar nichts unternehmen.

Ich mach immer oben die Konfigurationsänderung von adduser und lege die Homeverzeichnisse damtt mit diesen Rechten an

Code: Alles auswählen

drwxr-x--x 1 testuser testuser  252 20. Feb 2021  /home/testuser

(Nur der Benutzer darf alles, die Gruppe lesen, alle anderen nur ausführen x, letzteres spielt allerdings angesichts der fehlenden Leserechte keine Rolle.)
Bei meiner Konstallation ist also Mitgliedsschaft notwendig (und ich finde es auch besser, dass nicht alle Benutzer alle die Dateien aller anderen Benutzer lesen dürfen).

[MSfree]

Benutzer Hugo darf schreiben / Benutzergruppe Hugo darf nur lesen 'beißt' sich nicht?

Nein, das ist kein Widerspruch. Die Berechtigungen werden hierarchisch abgearbeitet. Zuerst wird geprüft, ob der Benutzer selbst darf, sollte das nicht der Fall sein, wird geprüft, ob eine der Gruppen, in denen der Benutzer Mitglied ist, darf. Sollte das immer noch nicht der Fall sein, wird geprüft, ob der Rest der Welt darf. Das, was zuerst zutrifft, gewinnt, der Rest wird dann überhaupt nicht mehr geprüft.

Ein Benutzer kann durchaus in mehreren Gruppen Mitgleid sein, mit id wird dir angezeigt, in welchen Gruppen du Mitglied bist.

[mcb]

Benutzer Hugo darf schreiben / Benutzergruppe Hugo darf nur lesen 'beißt' sich nicht?

... Zuerst wird geprüft, ob der Benutzer selbst darf, sollte das nicht der Fall sein, wird geprüft, ob eine der Gruppen, in denen der Benutzer Mitglied ist, darf...

Danke!!! Das hilft mir wirklich weiter.

[mcb]

...... was die Standardeinstellung für frisch angelegte Homeverzeichnisse ist – das lässt sich mit

Code: Alles auswählen

dpkg-reconfigure -p low adduser

ändern (wirkt dann aber natürlich nur auf danach angelegte Benutzer).

Noch wichtiger ist allerdings natürlich mit welchen Rechten die Dateien dann angelegt werden und hier richten sich fast alle Programme nach dem Wert von umask, der bei Debian standardmäßig 022 ist. Wofür die Ziffern stehen hast du bestimmt schnell herausgefunden, entscheidend ist, dass der Standardwert bedeutet, dass

• der Besitzer (Benutzer) alles darf
• die Besitzer-/Benutzergruppe nur lesen
• alle anderen ebenfalls nur lesen

Bei den Standardeinstellungen müsstest du also gar nichts unternehmen.

Ich mach immer oben die Konfigurationsänderung von adduser und lege die Homeverzeichnisse damtt mit diesen Rechten an

Code: Alles auswählen

drwxr-x--x 1 testuser testuser  252 20. Feb 2021  /home/testuser

(Nur der Benutzer darf alles, die Gruppe lesen, alle anderen nur ausführen x, letzteres spielt allerdings angesichts der fehlenden Leserechte keine Rolle.)
Bei meiner Konstallation ist also Mitgliedsschaft notwendig (und ich finde es auch besser, dass nicht alle Benutzer alle die Dateien aller anderen Benutzer lesen dürfen).

Puh mir raucht der Kopf ...

Du hast Recht mit der Gruppe. Ich hatte die Voreinstellungen aber mal geändert. Jetzt muß ich erstmal suchen.

Code: Alles auswählen

dpkg-reconfigure -p low adduser

gibt mir gar nichts aus?

Edit: cat /etc/adduser.conf

Code: Alles auswählen

# If DIR_MODE is set, directories will be created with the specified
# mode. Otherwise the default mode 0755 will be used.
#DIR_MODE=0755
DIR_MODE=0700

...

EXTRA_GROUPS="cdrom floppy audio dip video plugdev netdev bluetooth lpadmin scanner"

# If ADD_EXTRA_GROUPS is set to something non-zero, the EXTRA_GROUPS
# option above will be default behavior for adding new, non-system users
#ADD_EXTRA_GROUPS=1
ADD_EXTRA_GROUPS=0

Ich habe es gefunden! Man sollte sich doch Notizen machen.

[smutbert]

Bei dpkg-reconfigure... sollte eine Nachfrage kommen ob du „systemweit lesbare Homeverzeichnisse“ willst – ich kann mir gerade keinen Grund vorstellen, warum da bei dir weder eine Nachfrage noch eine Fehlermeldung kommen sollte.
DIR_MODE=755 ist der default (das wären dann systemweit lesbare Homeverzeichnisse) und wählt man die ab wird der Wert auf 751 gesetzt.

700 ist noch restriktiver und erlaubt weder Gruppenmitgliedern noch allen anderen den Zugriff, nur der Benutzer selbst darf dann noch lesen und schreiben. (Mir würde jetzt kein Grund einfallen den Modus so restriktiv zu setzen – besonders die Gruppe derart einzuschränken scheint mir sinnlos, weil in der Benutzergruppe ja normalerweise ohnehin nur der eine Benutzer ist.)

[kalamazoo]

Bei dpkg-reconfigure... sollte eine Nachfrage kommen ob du „systemweit lesbare Homeverzeichnisse“ willst – ich kann mir gerade keinen Grund vorstellen, warum da bei dir weder eine Nachfrage noch eine Fehlermeldung kommen sollte.

# dpkg-reconfigure gibt bei mir auch nichts aus, gleichgültig ob mit -p low oder ohne