einheitliche UIDs/GIDs auf mehreren Systemen

[cosmac]

hi,

ursprünglich hat dirk11 die Frage in Grundsatzüberlegungen vor Neuinstallation gestellt, aber da geht sie etwas unter. Inzwischen frage ich mich, warum dieser grobe Missstand kaum jemanden stört, deshalb dieser neue Thread.

cosmac, das hat nur teilweise funktioniert. Sobald ich ein neues Paket installiere, werden die files ärgerlicherweise wieder überschrieben, und zwar mit eigenen Werten!

Bei einem kurzen Versuch ist das nur passiert, wenn die UIDs nicht lückenlos waren, ansonsten hat er die alte übernommen. Nicht sehr überzeugend...

http://debianforum.de/forum/viewtopic.p ... 60#p941955
http://debianforum.de/forum/viewtopic.p ... 60#p942007
http://debianforum.de/forum/viewtopic.p ... 60#p942031
http://debianforum.de/forum/viewtopic.p ... 60#p942110
http://debianforum.de/forum/viewtopic.p ... 60#p942114
http://debianforum.de/forum/viewtopic.p ... 75#p942265

[dirk11]

Danke, dass du einen neuen thread aufgemacht hast, das wird dem Thema sicherlich gerechter!

Was meinst du mit "nicht lückenlos"? Keine Lücke zwischen 100 und 1xx oder keine Lücke zwischen 1000 und 10xx,oder etwa keine Lücke zwischen 1 und 99? Das mit dem nicht lückenlos ist für group und password gemeinsam nur schwierig umzusetzen, denn es gibt immer mal wieder Einträge, welche nur eine UID oder nur eine GID benötigen. Und wenn man (was ich auch für sehr sinnvoll halte) je Dienst für UID und GID dieselbe Zahl vergeben will, kommt man da in "Schwulitäten", wie man hier so schön sagt...

Die files temporär schreibschützen wird auch nicht funktionieren, da ja u.U. auch mal eine neue UID oder GID angelegt wird, die man so noch nicht kannte, ist bei mir z.B. bei mlocate der Fall, das gab's vorher noch nicht in meinen Systemen.

[cosmac]

ich meinte lückenlos von 100 bis 1xx. Ich hatte die 105 in 108 geändert, also fehlten 106 und 107. Aber vergiss es, auf einem anderen wheezy ist es nicht reproduzierbar. Hier fehlten schon einzelne UIDs, bevor ich angefangen hab' zu experimentieren und er hat bei jedem Versuch die alte UID übernommen

[NAB]

hmmm ... ist das den Aufwand wert?
Es gibt ja betörend einfache Methoden, UIDs und GIDs nach der Installation zu ändern:
http://unix.stackexchange.com/questions ... attributes

[cosmac]

danke für den Link, chown --from= kannte ich noch nicht, das ist ja schon mal etwas. Für normale User, bei denen UID und GID gleich sind, mag das reichen. Aber bei den System-Usern ist das nicht so einfach, siehe z.B. exim4:

Code: Alles auswählen

root        root         /etc/exim4/conf.d
root        Debian-exim  /etc/exim4/passwd.client
Debian-exim adm          /var/log/exim4
Debian-exim Debian-exim  /var/spool/exim4
root        mail         /var/mail
janedoe     mail         /var/mail/janedoe

Also der Aufwand lohnt sich (für mich) nicht. Zwei Files während der Installation bearbeiten wäre schon einfacher (gewesen?).

[dirk11]

hmmm ... ist das den Aufwand wert?
Es gibt ja betörend einfache Methoden, UIDs und GIDs nach der Installation zu ändern:
http://unix.stackexchange.com/questions ... attributes

Na, ob das mit UID/GID unter 1000 funktioniert? Ich zitiere auch mal aus man usermod:
"You must make certain that the named user is not executing any processes when this command is being
executed if the user's numerical user ID, the user's name, or the user's home directory is being
changed."
Kann ich bei Diensten auch nicht immer beeinflussen. Meist gibt's unter /proc irgendwas mit der richtigen/falschen UID/GID. Ich hab das so gehandhabt, dass ich mich bei Änderung/Korrektur bzw. Anpassung von UID/GID schlichtweg nicht um die Prozesse gekümmert habe und einfach munter die UID/GID geändert habe. Dann rebootet. Nicht fein, aber geht. Ist schon mühsam genug, 40 UID/GID auf Linie zu bringen.

[dirk11]

Momentan habe ich das so gemacht:
Z.B. zur Kontrolle nach der vorhandenen UID 100 gesucht:
find . -user 100 -ls

Der soll in 148 geändert werden:
find . -user 100 -exec chown 148 {} \;

Oder dasselbe mit GID:
find . -group 100 -ls
find . -group 100 -exec chgrp 148 {} \;

Gibt es eine bessere Methode? Meine hat den Nachteil, dass Sachen unter proc oder run nicht mit geändert werden. Das System muss natürlich zwingend rebootet werden, ob es irgendwelche dauerhaften "Nebeneffekte" gibt, habe ich noch nicht feststellen können.

[NAB]

Genau dazu gibt es ja den Single-User-Mode.

Und es gibt tolle Scripte, die für dich die Migration von zig hundert Usern übernehmen. Du bist ja nicht der Erste auf dem Planeten mit diesem Problem.

Nur das Problem, dass auch UIDs von Systemdiensten übernommen werden sollen, das hatte ich so noch nie. Eigentlich müsste aber auch das funktionieren ... solange da nicht ne festverdrahtete UID/GID in irgendeinem Config-File steht. Das würde ich dann aber eher als Bug im Config-File ansehen.

Ich hab aber auch den Verdacht, dass dein Migrationsplan nicht sonderlich ausgereift ist. Angenommen, du hast im neuen System die gleichen UIDs/GIDs wie im alten System ... und dann? Einfach /etc/* und /var/* mit "cp -p -r" drüberkopieren? Dass das so pauschal nicht klappt, siehst du schon an der fstab.

Dies wäre die ideale Gelegenheit, deine anscheinend unüberschaubar gewordenen Änderungen am System mal zentral zu sammeln, auf Aktualität zu überprüfen und dir Scripte zu basteln, die diese Änderungen gleich mit den passenden Benutzer & Gruppennamen ausstatten (wohlgemerkt Namen, nicht Nummern).

Aber gut, zur eigentlichen Frage habe ich nichts beizutragen, darum halte ich mich hier raus

[dirk11]

Und es gibt tolle Scripte, die für dich die Migration von zig hundert Usern übernehmen. Du bist ja nicht der Erste auf dem Planeten mit diesem Problem.

Meine User-Anzahl liegt unter 5. Die sind mir vollkommen egal, das ist trivial.

Ich hab aber auch den Verdacht, dass dein Migrationsplan nicht sonderlich ausgereift ist. Angenommen, du hast im neuen System die gleichen UIDs/GIDs wie im alten System ... und dann? Einfach /etc/* und /var/* mit "cp -p -r" drüberkopieren? Dass das so pauschal nicht klappt, siehst du schon an der fstab.

Das habe ich auch nicht vor. Warum ich das will, habe ich schon erläutert. Es wird viel per nfs auf den Server zugegriffen, und da erwarte ich schlichtweg, das Files, kopiert von hier nach da, übersichtlich dieselben UID/GID haben und nicht auf einmal die exim-Files von Rechner X auf dem neuen Server dem lighttpd gehören. So als Beispiel.

Dies wäre die ideale Gelegenheit, deine anscheinend unüberschaubar gewordenen Änderungen am System mal zentral zu sammeln, auf Aktualität zu überprüfen und dir Scripte zu basteln, die diese Änderungen gleich mit den passenden Benutzer & Gruppennamen ausstatten (wohlgemerkt Namen, nicht Nummern).

U.a. deshalb wird ein 64Bit-System installiert. Davon ab haben meine Änderungen nur höchst selten irgendwas mit UID/GID zu tun. Nicht mal am Rande.