Rechte der Benutzerverzeichnisse ändern

[feldmaus]

Hi Debianer,

mein System ist Debian Lenny mit Kerrnel 2.6.25.2-i386.

Zur Zeit kann jeder Benutzer bei anderen Benutzern in sein Heimat-verzeichnis
rum stöbern. Nun weiß ich, dass mir damals bei aptitude eine Frage gestellt
wurde ob ich das will. Damals wusste ich nicht was ich genau will und habe einfach
geantwortet, dass jeder Benutzer bei anderen Benutzern in sein "~/"Verzeichnis
rum stöbern darf. Wie kann ich das nachträglich ändern ohne empfindliche Dateien
zu beschädigen?
Zumindest würde ich das für zukünftige Benutzer gerne wieder umstellen.
Wie macht man das?

Grüße Markus

[Spasswolf]

Alte Verziechnisse ändern:

Code: Alles auswählen

chmod 700 /home/<username>

Für zukünftige neue Benutzer

Code: Alles auswählen

DIR_MODE=700

in /etc/adduser.conf.

[feldmaus]

Vielen Dank Spasswolf,
hat sofort hingehauen.

Grüße feldmaus

[sidloki]

Für zukünftige neue Benutzer

Code: Alles auswählen

DIR_MODE=700

in /etc/adduser.conf.

oder per

Code: Alles auswählen

dpkg-reconfigure adduser

[feldmaus]

Für zukünftige neue Benutzer

Code: Alles auswählen

DIR_MODE=700

in /etc/adduser.conf.

oder per

Code: Alles auswählen

dpkg-reconfigure adduser

das ist auch gut. Den dpkg-reconfigure Befehl kenne ich ja, nur
wußte ich das mit adduser nicht bzw. ich habe es mir nicht notiert.

Danke und Grüße Markus

[roth]

Grüß Gott,

da möchte ich mich mal mit dranhängen.

Für die Benutzerverzeichnisse "/home/benutzername" soll es in meinem Fall "700" sein (obwohl da nur Einstellungen usw. gespeichert sein sollen; keine Daten), für eine gemeinsame Dateiablage "/srv/daten/ablage" soll jeder zur Gruppe "users" (gid 100) gehörende lesen, schreiben und löschen dürfen (770 ?), für eine individuelle Dateiablage "/srv/daten/benutzername" wieder "700". Die Dateien darin brauchen allesamt nicht ausführbar zu sein (somit 600 respektive 660, oder?). Von Benutzern neu angelegte Verzeichnisse und Dateien sollen diese Rechte ebenfalls so haben / bekommen.
Die oben genannte Lösung mit "DIR_MODE=700" in "/etc/adduser.conf" gilt doch nur für die Benutzerverzeichnisse "/home/benutzername" bei neu angelegten Benutzern, nicht aber für die Verzeichnisse sonstwo im Verzeichnisbaum (hier: "/srv/daten/benutzername").
Meines Erachtens komme ich mit "umask" in "/etc/profile" da nicht weiter, weil ich damit ja systemweit die Rechte festlege. Kann das für Verzeichnis-Zweige mit irgendeinem Kniff individuell festgelegt werden?


Gruß
Sven

[feldmaus]

@Roth
Das ist ein guter und wichtiger Punkt den Du ansprichst. Natürlich wäre es schön
wenn man selektiver Rechte einstellen könnte. Für mich hatte die obige Lösung
gereicht. Da ich das Home Verzeichnis mit den Rechten 700 eingestellt habe,
kann kein Benutzer in das Homeverzeichnis oder einem Unterverzeichnis rumstöbern.
Ich habe mit meinem Benutzer markus ein Verzeichnis angelegt,

mkdir ~/test
chmod a+rwx ~/test

Und habe dann mit einem anderen benutzer versucht dort reinzuwechseln und zu lesen,

ls /home/markus/test
ls: Zugriff auf /home/markus/test nicht möglich: Keine Berechtigung
cd /home/markus/test
bash: cd: /home/markus/test: Keine Berechtigung

Das anlegen eines Verzeichnisses im HOME Verzeichnis ergibt die folgenden
Berechtigungen,

mkdir ~/test2
ls -l ~/ | grep test
drwxr-xr-x 2 markus markus 4096 26. Sep 15:17 test2

Trotzdem kann nur der Benutzer markus in dem Verzeichnis test2 rumstöbern und lesen,
genauso wie im Verzeichnis test.
Du hast allerdings recht, dass von dem Benutzer erstellte Verzeichnisse mit der
Option "DIR_MODE=700" nicht eingestellt werden. Dies finde ich auch verwirrend,
da dies so in der Manual steht,

DIR_MODE
If set to a valid value (e.g. 0755 or 755), directories created will have the specified permissions
as umask. Otherwise 0755 is used as default.

Grüße Markus

[feldmaus]

Mit der Option DIR_MODE wird anscheinend nur das Home Verzeichnis eingestellt.
Ich habe mal einen neuen Benutzer angelegt mit "DIR_MODE=700",

markus@feld-bert:/home$ ls -l
drwx------ 2 test test 4096 26. Sep 15:37 test

Die Manual ist also falsch In der Manual müsste stehen,

DIR_MODE
If set to a valid value (e.g. 0755 or 755), Home directories created will have the specified permissions
as umask. Otherwise 0755 is used as default.

Grüße Markus

[Meillo]

Die Manual ist also falsch In der Manual müsste stehen,

DIR_MODE
If set to a valid value (e.g. 0755 or 755), Home directories created will have the specified permissions
as umask. Otherwise 0755 is used as default.

"falsch" ist so ein hartes Wort. "Ungenau" oder "nicht exakt" sind wohl treffender.
Du meinst wohl die Manpage adduser.conf(5). Dort steht dass dort die Standardeinstellungen für das Programm `adduser' aufgeführt sind. Und alle Verzeichnisse, die `adduser' anlegt haben habe den angegebenen DIR_MODE. Somit kann man auch argumentieren, dass das Manual korrekt ist.
Nichts desto trotz wäre es anders wohl genauer.


However
zum Problem:
suche mal nach `umask' in bash(1).
Einen geeigneten Wert musst du dann z.B. in der `.bashrc' eintragen.

[uwepr]

Schaut mal, hatten wir gerade erst:
http://www.debianforum.de/forum/viewtop ... 7&t=102546
Viele Grüße! Uwe Pr.

[roth]

Hallo,

zunächst schönen Dank für die Antworten.
Eine umask "002" schmeckt mir mit der Gießkanne über das ganze Dateisystem verteilt nicht wirklich. Hmja, für's erste zumindest aber mal ein Arbeitsbehelf.
*amkopfkratz*
Da muß ich wohl doch noch mal in Richtung ACL schielen...


Gruß
Sven

[uwepr]

Hallo roth,
wie wäre es dann mit
http://wiki.ubuntuusers.de/chmod#SGID-Bit ?
Viele Grüße! Uwe Pr.

[roth]

Hallo Uwe,

ja eben. Aber das SGID-Bit bringt's nur in Kombination mit umask (z.B. 002), welche wiederum systemweit wirkt.


Gruß
Sven

[Simmel]

Hallo Uwe,

ja eben. Aber das SGID-Bit bringt's nur in Kombination mit umask (z.B. 002), welche wiederum systemweit wirkt.


Gruß
Sven

Richtig,

aber du kannst ja im /home Gruppen-Verzeichnisse anlegen, mit SGID belegen und die User zu der Gruppe hinzufügen. Jeder der Berechtigung hat darauf zuzugreifen, würde mit dem SGID-Bit schreiben.

Ich weiss ja nicht was du vorhast, aber für meine Zwecke reicht das meist aus.

Sowas wie

/vertrieb und /buchhaltung und /einkauf wäre doch durchaus sinnvoll umsetzbar. Du musst doch nur die User den Gruppen hinzufügen?

Der Chef kommt in allen Gruppen
Der Vertriebler nur in Vertrieb
Seine Sekretärin in Vertrieb und Buchhaltung
Der Einkäufe kommt nur in Einkauf
Seine Sekretärin in Einkauf und Buchhaltung

Mal so als Beispiel.....

[cosmac]

hi,

dass umask systemweit wirkt, ist zwar richtig, aber es muss ja nur für die Benutzern geändert werden, die die speziellen Rechte brauchen. Oder gibt es konkrete Beispiele, dass dadurch zuviel erlaubt wird? Eigentlich wird doch alles über die Gruppenrechte geregelt (vorausgesetzt, die User haben jeweils ihre eigene Gruppe).

[roth]

Hallo,

Oder gibt es konkrete Beispiele, dass dadurch zuviel erlaubt wird? Eigentlich wird doch alles über die Gruppenrechte geregelt (vorausgesetzt, die User haben jeweils ihre eigene Gruppe).

mit der umask "007" wäre dann meines Erachtens auf den ersten Blick alles in Ordnung, mit "022" oder auch "002" jedoch nicht.

Gruß
Sven