Datenverzeichnis

[AlexDausF]

Hallo Forum,

ich möchte eine Datenverzeichnis für alle User lesbar und schreibbar machen. Z.B. /daten und dort sollen alle am System vorhandenen Nutzer lesen und schreiben können. Jetzt habe ich mir das so überlegt: Der Besitzer ist gerade root also ändere ich den auf einen Nutzer und die Grupper user
chown -cR alex:user *.*
Dann muss ich noch lesen und schreiben ermöglichen:
chmod -R 660 /daten

Stimmt das so? Ich bräuchte nur eine kurze Profi Antwort....
Angeblich gibts ja keine dummen Fragen.....

Alex

[peschmae]

Wenn du allen Zugriff erlauben willst ist der Besitzer/Gruppe des Ordners recht egal.

Allerdings muss das execute-bit für Verzeichnisse gesetzt sein, damit man da reinwechseln kann. Ausserdem ist 660 ungeschickt, weil dann der Besitzer alex keinen Zugriff hat (dafür alle anderen). Also eher sowas wie chmod -R 777 /daten.

Ich würde aber eher eine Gruppe anlegen, der alle User die da Zugriff haben sollen angehören, und dann die Rechte auf 770 setzen.

MfG Peschmä

[AlexDausF]

Hallo Peschmä,

Ok, eine Gruppe anlegen ist kein Problem. Muss ich dann die Gruppe als Besitzer des Ordners angeben?
Wie mache ich das mit dem execute bit?

Besten Dank!

Alex

[peschmae]

Du musst dann die Gruppe als Gruppe des Ordners angeben, also

Code: Alles auswählen

chown -R alex:group /daten
chmod -R 770 /daten

damit haben "alex" und alle Mitglieder von "group" lese-, schreib- und ausführrechte in /daten

MfG Peschmä

P.S. um das mit der Gruppe noch kurz zu begründen: einerseits kannst du damit kontrollieren, welche Nutzer darauf Zugriff haben, andererseits verhinderst du damit auch dass irgendwelche wildgewordenen Daemons darauf Zugriff haben (die meisten - Mailserver, Http-Server, etc geben ihre Root-Rechte nach dem Start ab und können somit nicht mehr in /daten rumwursteln...)

[Bequimao]

Ich würde mich über das SGID-Bit informieren (Set Group ID).

Code: Alles auswählen

 # find . -type d -exec chmod g+rws {} \;

Damit erhalten dann alle neu angelegten Dateien die Standardgruppe (z.B users) und alle neu angelegten Verzeichnisse die Rechte des darunterliegenden Verzeichnisses.

Viele Grüße
Bequimão

[AlexDausF]

Ich würde aber eher eine Gruppe anlegen, der alle User die da Zugriff haben sollen angehören, und dann die Rechte auf 770 setzen.
MfG Peschmä

OK, das mit dem execute bit habe ich mir inzwischen angelesen. Bei Verzeichnissen bedeutet es dass ich reinwechseln kann, nicht ausführen wie bei Dateien... Aber ich verstehe noch nicht wie ich die Gruppe xy jetzt mit dem Verzeichnis verknüpfe.

chown : xy -R /daten

Ginge das so?

Alex

P.S. aha Danke Bequimao das ist genau das was ich die ganze Zeit nicht verstanden habe. Jetzt suche ich nur noch wie man das segid setzt.
Und voila: http://www.library.yale.edu/wsg/docs/pe ... s/sgid.htm
Aber ich sehe nicht wie das auf Verzeichnisse zutrifft?

[AlexDausF]

Hallo,

ich habe das jetzt so probiert:

chgrp xy /daten/
ls -l
insgesamt 16
drwx------ 2 root root 16384 Mai 25 16:54 lost+found

funzt leider nicht....
Irgendjemand eine Idee? Danke!

Alex

[AlexDausF]

OK juhu!

Code: Alles auswählen

chown -R alex:xy /daten
ls -l
insgesamt 16
drwx------ 2 alex xy 16384 Mai 25 16:54 lost+found
chmod -R 770 /daten
ls -l /daten
insgesamt 16
drwxrwx--- 2 alex xy 16384 Mai 25 16:54 lost+found

das sollte es gewesen sein.... Besten Dank an peschmae und Bequimao!

das chmod g+s /daten ergibt dann auch endlich:
drwxrws--- 3 alex xy 4096 Mai 25 16:54 /daten

Alles ist gut! Aber eine erzeugte Datei ist nicht für alle in der Gruppe beschreibbar:
-rw-r--r-- 1 alex xy 415 Mai 30 18:12 Datei

Warum bleiben die Dateien nur für Benutzer beschreibbar und die Gruppe darf nur lesen?

Alex

[Bequimao]

Die einzelnen User müssen auch umask gleichgesetzt haben, z.B.

Code: Alles auswählen

$ umask 0007

Gelegentlich schreibt ein Programm auch Dateien ohne Gruppenrechte. Das habe ich z.B. bei Iceweasel festgestellt.

Viele Grüße
Bequimão

[AlexDausF]

Die einzelnen User müssen auch umask gleichgesetzt haben, z.B.

Code: Alles auswählen

$ umask 0007

Gelegentlich schreibt ein Programm auch Dateien ohne Gruppenrechte. Das habe ich z.B. bei Iceweasel festgestellt.

Viele Grüße
Bequimão

Muss ich das in der /etc/fstab ändern?
Heisst es dann:

Code: Alles auswählen

/dev/mapper/root-daten /daten          ext4    defaults, umask=007        0       2

Und das ist doch eine Null zuviel?

Besten Dank!

[Bequimao]

Hi,

umask als mount-Option für ext-Filesysteme ist mir nicht bekannt, und wenn, dann müssen die Mountoptionen nur mit Komma ohne Leerzeichen verbunden werden. umask 0007 und umask 007 ist gleichbedeutend.

umask gilt für die Session. Ich füge eine Zeile in der ~/.profile an. Dann gelten die Berechtigungen generell, auch für das Home-Verzeichnis. Ich nutze das Verfahren für ein gemeinsames Datenverzeichnis in meinem Multi-Boot-System mit mehreren Linuxinstallationen.

Viele Grüße
Bequimão

[AlexDausF]

Hallo Bequimão,

das gilt aber doch systemweit. Ich möchte doch nur /daten für alle Mitglieder der Gruppe les- und schreibbar machen. Das muss doch irgendwie gehen. Es wird im Ordner ja auch angezeigt und ich habe das gid gesetzt. Leider wird jede Datei trotzdem nur dem Nutzer der sie erzeugt hat schreibbar gemacht.

Besten Dank!
Alex

[AlexDausF]

Hallo,

ich möchte das Thema nun abschließen. Es bleibt leider dabei, dass ich es nicht schaffe, dass neu erzeugte Dateien für alle Gruppenmitglieder xy schreibbar sind. Die Rechte sind aber nun so weit offen, dass es der Besitzer dahingehend umstellen kann. Für mich ist die Sache somit teilweise gelöst.

Besten Dank!

Alex

[peschmae]

Stimmt, an das Problem hatte ich noch gar nicht gedacht. Wie du schon festgestellt hast bist du hiermit am Ende dessen angelangt was mit traditionellen Unix-Zugriffsrechten möglich ist.

Um zu erreichen, dass Dateien die in den Ordner geschrieben werden automatisch für alle Gruppenmitglieder les/schreibbar sind brauchst du Access Control Lists - entsprechende Tools finden sich im Paket acl.

In dem konkreten Fall sowas wie setfacl -R -d -m g:gruppenname:rwx /daten erlaubt allen Mitgliedern der Gruppe gruppenname lese/schreib/ausführzugriff auf alle Dateien in /daten. Ist aber ein Thema mit dem ich mich auch noch nie ausführlicher beschäftigt habe - viel Spass!

MfG Peschmä

[AlexDausF]

Stimmt, an das Problem hatte ich noch gar nicht gedacht. Wie du schon festgestellt hast bist du hiermit am Ende dessen angelangt was mit traditionellen Unix-Zugriffsrechten möglich ist.

Wow, das bin ich jetzt echt ein kleines bisschen stolz, dass ich so weit gekommen bin.
Ich sehe mich als echten Linux-Desktopnutzer und bin vor allem von Debian sehr überzeugt. Das ich da an die Grenzen des Machbaren stoße sehe ich als Zeichen, etwas in dieser Materie vorgedrungen zu sein.... Ich dachte ich habe das nicht richtig verstanden und etwas übersehen.

Besten Dank!

Alex

[peschmae]

Was ich noch vergessen hatte: die umask systemweit zu ändern ist in dem konkreten Fall natürlich auch möglich.

In den meisten Ordnern (wo das setgid bit nicht gesetzt ist) wird dann die zum User gehörende Hauptgruppe benutzt. In Debian heisst die gleich wie der user, und das einzige Gruppenmitglied ist der user...

MfG Peschmä