benutzer anlegen mit homeverzeichnis

claudiameierde · Beitrag von **claudiameierde** » 10.02.2006 10:27:13

halli hallo,

hab lange überlegt in welcher rubrik ich mein problem posten soll. hoffe ihr könnt mir helfen.

ich möche einen benutzeranlegen. das dazu angelegete homeverzeichnis soll aber als besitzende gruppe eine andere als die des anzulegenden benutzers haben.

z.b lege den benutzer user1 mit der guppe users an.

das angelegte verzeichnis soll aber dem benutzer user1 und der gruppe group2 gehören.

irgendjemand ne idee???

Lohengrin · Beitrag von **Lohengrin** » 10.02.2006 11:17:06

claudiameierde hat geschrieben:ich möche einen benutzeranlegen. das dazu angelegete homeverzeichnis soll aber als besitzende gruppe eine andere als die des anzulegenden benutzers haben.

Es gibt nicht die Gruppe des anzulegenden Benutzers. Ein Benuter kann Mitglied beliebig vieler Gruppen sein.
Meinst du vielleicht die Gruppe, die genauso heißt wie ein Benutzer?

claudiameierde hat geschrieben:z.b lege den benutzer user1 mit der guppe users an.

das angelegte verzeichnis soll aber dem benutzer user1 und der gruppe group2 gehören.

Nach dem Anlegen des Benutzers die Gruppe (der Dateien, nicht des Benutzers) ändern

Code: Alles auswählen

# chown -R user1:group2 /home/user1

claudiameierde · Beitrag von **claudiameierde** » 10.02.2006 11:31:44

der benutzer darf nicht mitlglied der gruppe sein, die sein homeverzeichnis besitzt.

ich brauche eine möglichkeit in der ich beim anlegen des benutzers gleich sagen kann: lege das homeverzeichnis mit einer anderen besitzenden gruppe an. da ich viele benutzer anlegen muss wollte ich nicht nach jedem angelegten benutzer ein chown durchfürhen. das würde die ganze geschichte um einiges verzögern.

nil · Beitrag von **nil** » 10.02.2006 11:50:39

Ich will ja nicht neugierig sein, aber: wofür soll das gut sein.

Lohengrin · Beitrag von **Lohengrin** » 10.02.2006 11:55:11

claudiameierde hat geschrieben:ich brauche eine möglichkeit in der ich beim anlegen des benutzers gleich sagen kann: lege das homeverzeichnis mit einer anderen besitzenden gruppe an. da ich viele benutzer anlegen muss wollte ich nicht nach jedem angelegten benutzer ein chown durchfürhen. das würde die ganze geschichte um einiges verzögern.

Schreib ein Skript wo die beiden Befehle drinstehen, und führ das aus.

claudiameierde · Beitrag von **claudiameierde** » 10.02.2006 12:15:56

es geht darum einer gruppe von benutzern zugriff auf die homeverzeichnisse zugeben, während diese unternander aber nur auf ihre und keine anderen homeverzeichnisse zugreifen können.

wie schreib ich denn ein script, wenn ich jetzt noch nciht weiss wie der benutzer und damit sein homeverzeichnis heisst? gibt es eine variable für das homeverzeichnis?

Lohengrin · Beitrag von **Lohengrin** » 10.02.2006 14:19:18

claudiameierde hat geschrieben:es geht darum einer gruppe von benutzern zugriff auf die homeverzeichnisse zugeben, während diese unternander aber nur auf ihre und keine anderen homeverzeichnisse zugreifen können.

Das verstehe ich nicht.
Soll es eine Gruppe von privilegierten Benutzern geben, die Zugriff auf alle Heimatverzeichnisse haben, während die nichtprivilegierten Benutzer nur Zugriff auf ihr eigenes Heimatverzeichis haben?
In diesem Fall musst du eine Gruppe Privilegierte definieren, der die privilegierten Benutzer angehören. Dann musst du den gesamten Inhalt von /home der Gruppe Privilegierte zuordnen.

claudiameierde hat geschrieben:wie schreib ich denn ein script, wenn ich jetzt noch nciht weiss wie der benutzer und damit sein homeverzeichnis heisst? gibt es eine variable für das homeverzeichnis?

Wenn du ein Script ausführst kannst du noch Parameter mitgeben (durch Leerraum getrennt hinter dem Namen des Scripts). Die heißen innerhalb des Scripts $1 $2 usw.
Beispiel: Die Datei /tmp/beispiel ist ausführbar und enthält dies

Code: Alles auswählen

echo -e "erstens $1\nzweitens $2"

Nun geschieht dies

Code: Alles auswählen

$ /tmp/beispiel etwas text
erstens etwas
zweitens text

Methusalix · Beitrag von **Methusalix** » 11.02.2006 01:38:36

Hallo,

wie mir scheint, hast Du hier ein klassisches Vermittlungsproblem. Weil keiner weiß, was Du so im Schilde führst, kennt auch keiner eine halbwegs vernünftige Antwort. Du mußt mal klar machen, was denn jetzt das Problem ist.

es geht darum einer gruppe von benutzern zugriff auf die homeverzeichnisse zugeben, während diese unternander aber nur auf ihre und keine anderen homeverzeichnisse zugreifen können.

?
Darüber solltest Du noch einmal nachdenken!

gibt es eine variable für das homeverzeichnis?

Code: Alles auswählen

echo $HOME

gibt Dir das Home-Verzeichnis eines Benutzers aus. Und

Code: Alles auswählen

groups [i]user[/i]

die Gruppenzugehörigkeit. Das alles läßt sich mit einem Script automatisieren. wobei die Voraussetzung darür ist, das es eine Gleichförmigkeit gibt. Aber diese Gleichförmigkeit hast Du bisher nicht klargemacht.

Gruß
Matthias

claudiameierde · Beitrag von **claudiameierde** » 13.02.2006 08:01:51

erstmal vielen dank das ihr euch die mühe macht mir zu helfen und zweitens entschuldigung das ich mich nicht verständlich genug ausdrücke. ich versuche mein problem anhand eines beispiels. (user1 und user2 stehen symbolisch für mehrere benuzter)

es gibt den benutzer user1. primäre gruppe users. zusätzliche gruppe privilegierte.

dann gibt es benutzer user2. primäre gruppe users.

user2 darf nur auf sein eigenes homeverzeichnis zugreifen. user1 darf auf alle homeverzeichnisse zugreifen.

dies lässt sich am einfachsten realisieren, wenn die besitzende gruppe der homeverzeichnisse nicht users, sondern privilegierte sind.

wenn ich aber jetzt einen neuen benuzter anlege würde das angelegte homeverzeichnis der gruppe users gehören. (homeverzeichnisse werden natürlich auch mit 0770 berechtigungen angelegt - sonst bringt auch privilegierte nix)

das mit dem script leuchtet mir ein. doch $home $username geben mir die variablen von aktuell angemeldeten usern aus. ich werde ein script schreiben in dem ich die anzulgegenden benuzter von einer text datei einlese.

vielen dank noch mal für eure hilfe und sorry wegen umstände.

nil · Beitrag von **nil** » 13.02.2006 08:35:17

Sagt das Benutzer und Rechtekonzept von Debian nicht, dass jeder Benutzer eine eigene Gruppe bekommt. Das soll doch irgendwelche Vorteile habe. Ich sehe den Vorteil darin, dass alle Leute (bis auf root) gleich sind und so zu other gehören.

Aber eigentlich ist es sowieso so, dass sich der Benutzer darum Gedanken machen sollte, wer was sehen darf. Und er sollte zumindestens die Rechte so ändern dürfen, dass nicht irendwelche priviligierten Leute seine Daten sehen oder ändern dürfen.
Ich hatte an einer Uni studiert und die Gruppe war der Jahrgang. Group und Other war meist gleich, also war es sinnlos (644, 755, 600, 700).

Also wenn man Shared-Webserver hat dann kann ich das ja alles mit den Rechten für Benutzer und Webservergruppe verstehen, aber es geht um personenbezogene Daten, da sollte sich doch jeder selbst drum kümmern dürfen (und müssen).

Es gibt mit dem Debian-Design (Gruppename = Benutzername) so gesehen nur:

- den Benutzer
- Other
- und als Ausnahme "root"

und somit erlaube ich etwas allen oder niemanden und gut ist es.

claudiameierde · Beitrag von **claudiameierde** » 13.02.2006 08:48:11

hallo nil,

danke für die moralischen und rechtlichen bedenken... das hat aber schon seine richtigkeit.

standardmäßig legt debian eine groupe gleich dem namen des benutzers an, doch das ist ja kein gesetz. das kann ich mir doch zurecht biegen wie ich möchte...

nil · Beitrag von **nil** » 13.02.2006 08:50:16

und ich als Anwender werde der Gruppe einfach die Rechte entziehen, da ich es nicht mag, wenn priviligierte Benutzer auf meine Daten zugreifen dürfen.
Und wenn ich die Rechte in meinem /home/<benutzer> nicht habe, dann eben in allen Unterverzeichnissen.

Ich will nur sagen es ist wie bei Windows. Nur die Dummen fallen auf sinnlose Sicherheitsmaßnahmen rein.

claudiameierde · Beitrag von **claudiameierde** » 13.02.2006 10:18:04

***schmunzel***

du als anwender kannst aber nciht die rechte verändern.

Lohengrin · Beitrag von **Lohengrin** » 13.02.2006 10:35:23

claudiameierde hat geschrieben:das mit dem script leuchtet mir ein. doch $home $username geben mir die variablen von aktuell angemeldeten usern aus. ich werde ein script schreiben in dem ich die anzulgegenden benuzter von einer text datei einlese.

Du wirst beim Aufruf des Scripts den Namen des anzulegenden Benutzers übergeben (der heißt dann $1 oä). Benutz das doch einfach.

claudiameierde hat geschrieben:du als anwender kannst aber nciht die rechte verändern.

Es geht also um eine mehrstufige Hierarchie. Du kreierst Halbroots.

claudiameierde · Beitrag von **claudiameierde** » 13.02.2006 10:41:24

ja...

es handelt sich um einen klassenraum, in dem die lehrer natürlich diea machenschaften der schueler überwachen können müssen.

hat rechtlich alles seine korrektheit... (gruß an nil

)

danke nochmals für die hilfe.

Lohengrin · Beitrag von **Lohengrin** » 13.02.2006 12:22:08

claudiameierde hat geschrieben:es handelt sich um einen klassenraum, in dem die lehrer natürlich diea machenschaften der schueler überwachen können müssen.

Warum nimmst du nicht die Lehrer in die Gruppe root auf?

claudiameierde · Beitrag von **claudiameierde** » 13.02.2006 13:37:10

lehrer sollen keine root-rechte haben. sie sollen nur die homeverzeichnisse von schuelern einsehen dürfen.

nil · Beitrag von **nil** » 13.02.2006 13:45:41

Ob das rechtlich wirklich alles so ok ist, möchte ich mal anzweifeln. Außerdem kann man ja noch unter /tmp seine Daten ablegen, hoffe ich.

Aber was ist denn nun, wenn ich unter /home/<benutzer> ein Verzeichnis gesperrt anlege und die Rechte auf 700 setze, oder nutzt du SGID-Bits? Darf dann immer noch die Gruppe zugreifen? Leider habe ich wohl nicht genug Ahnung von UNIX, sorry.

claudiameierde · Beitrag von **claudiameierde** » 13.02.2006 14:32:04

warum sollte das nicht rechtlich ok sein? schueler dürfen die pc nicht so privaten zwecken benutzen. das ist ihnen strickt untersagt. lehrer müssen kontrollieren können was schueler machen. die homeverzeichnisse sind ausschliesslich nur zu unterrichtszwecken zu nutzen. da gibt es absolut gar keinen zweifel an der rechlichen grundlage.

auch in betrieben müsste man das umsetzen können. warum sollte ein arbeiter auf der arbeit private dinge speichern dürfen? er soll arbeiten. dies liegt natürlich im ermessen des arbeitgebers.

wenn du die benutzer der edv-anlange darüber in kenntnis setzt kannst du auch durchsetzen das das komplette internetverhalten geloggt wird. beziehungsweise du könntest ihnen auch verbieten es zu benutzen.

nil · Beitrag von **nil** » 13.02.2006 15:20:04

Das mag alles sein. Dürfen die Lehrer denn unbeaufsichtigt / unprotokolliert diese Aktionen durchführen.

Ok, dann würde ich meine Daten verschlüsseln. Auch wenn auf dem System kein Verschlüsselungsprogramm vorhanden wäre, im Notfall würde ich mir ein 3-Zeilen-Script in Perl schreiben, um meine Daten zumindestens zu verschleiern.

Wie gesagt: es wird nur die Dummen treffen.

claudiameierde · Beitrag von **claudiameierde** » 13.02.2006 15:22:52

ich geb auf...

du hast gewonnen....

nil · Beitrag von **nil** » 13.02.2006 16:25:13

Ich habe noch mal schnell drüber nachgedacht, wie ich denn in dem Fall meine Daten verschlüsseln würde.
So auf die schnelle ohne Aufwand würde ich zip/unzip nutzen, sofern es vorhanden ist.

Code: Alles auswählen

zip -e -r /home/<user>/geheim /home/<user>/geheim.zip
unzip /home/<user>/geheim.zip

PS.: mir ist klar, dass die Daten entpackt sichtbar sind. Wenn sie jedoch als ZIP-File vorliegen, braucht man ein Passwort. Wahrscheinlich ist das ZIP-Passwort nicht gerade sicher, aber mir würde es erst mal reichen.

Lohengrin · Beitrag von **Lohengrin** » 13.02.2006 18:30:21

claudiameierde hat geschrieben:lehrer sollen keine root-rechte haben. sie sollen nur die homeverzeichnisse von schuelern einsehen dürfen.

Mal eine Frage zur Gruppe root: Hat jedes Mitglied der Gruppe root root-Rechte?

Hier noch ein Idee:
Kann man Mitgliedern der Gruppe lehrer die Macht geben ohne Passwort mit su zu einem Mitglied der Gruppe schueler zu werden? Dazu müsste man ein Script schreiben, das nur von Lehrern ausgeführt werden darf, den Zieluser auf Mitgliedschaft in schueler überprüft und dann su mit root-Passwort ausführt.

herrchen · Beitrag von **herrchen** » 13.02.2006 18:40:46

Lohengrin hat geschrieben:Hat jedes Mitglied der Gruppe root root-Rechte?

nein.

herrchen

claudiameierde · Beitrag von **claudiameierde** » 14.02.2006 08:07:43

was bewirkt die gruppe root?

debianforum.de