[akzeptiert] Berechtigungen für den Home-Ordner

[kalamazoo]

Wie mache ich die Änderung der Berechtigungen für den Home-Ordner permanent?
# chmod -v 777 /home funktioniert nur bis zum nächsten reboot, gleichgültig ob home eine eigene Partition besitzt oder ein Verzeichnis ist.
Die Basisordner anderer eingehängter Partitionen behalten die geänderten Recht bei.

[MSfree]

Wie mache ich die Änderung der Berechtigungen für den Home-Ordner permanent?
# chmod -v 777 /home funktioniert nur bis zum nächsten reboot

Warum willst du dir dein Linux kaputt machen?

[kalamazoo]

Warum willst du dir dein Linux kaputt machen?

Das steht mir fern. Es betrifft auch nur den Home-Basisordner, in dem ich als Root manchmal Skripte ablege, die ich auch als normaler User editieren können möchte. Wo siehst Du hier die große Gefahr (die Berechtigungen des eigentlichen Homeverzeichnisses /home/user/ und der darin enthaltenen Dateien und Ordner bleibt ja unverändert)? Und weiters: wo siehst Du hier den Zusammenhang mit meiner anderen Frage, von der Du hierher verlinkt hast? Ich sehe es eher als einen Gewinn an Sicherheit, wenn ich auf /home nicht immer nur als root sondern auch als normaler user zugreifen kann, da mir als root im CLI schon so manche Typos untergekommen sind.

Aber okay: welche Gefahren wären damit verbunden?

[cosinus]

Was sollen denn das für Scripte sein, die du als root erstellst und auch als root offensichtlich ausführen musst?
Überleg was passiert wenn mit root ein Script ausgeführt wird, das jeder beliebige User manipuliert haben könnte. Na?

[GregorS]

Warum willst du dir dein Linux kaputt machen?

Wieso unterstellst Du dem OP, dass er das will? Inwiefern hilft dem OP diese dämliche Frage?

Gruß

Gregor

[cosinus]

Wieso unterstellst Du dem OP, dass er das will? Inwiefern hilft dem OP diese dämliche Frage?

Ein 777 auf /home ist aber wirklich sehr fragwürdig - denn das erlaubt eine Änderung (zB rename) der darin enthaltene Unterverzeichnisse
Man könnte /home einfach in Ruhe lassen und ein neues Verzeichnis wie zB /script ins Leben rufen oder die Scripte nach /opt schieben. Dann bleibt aber unbedingt zu klären, wieso ein Script, das für root prädestiniert ist, von allen Benutzern manipulierbar sein darf.

Mit Schreibrechten auf solchen Verzeichnissen muss man vorsichtig sein.

[Livingston]

Mal abgesehen davon, dass /home nicht das Homeverzeichnis des Benutzers ist, sondern das Verzeichnis, in welchem sich das Homeverzeichnis befindet.
Wäre ich ein weiterer Benutzer, bekäme ich es spätestens jetzt mit der Angst zu tun.

[MSfree]

Wieso unterstellst Du dem OP, dass er das will? Inwiefern hilft dem OP diese dämliche Frage?

Ein chmod 777 hat noch nie zur Erhöhung der Sicherheit beigetragen, genau das Gegenteil ist der Fall.
In /home gehören weder Skripte noch irgendwelche anderen Dateien, und darum ist es auch schreibgeschützt.

Es gibt so viele Orte, wo man Skripte ablegen kann:
/urr/local/bin
~/bin
/opt/bin
/root/bin

Alles andere ist ein Kaputtmachen von Linux. Aber, wenn man das so will

[GregorS]

Wieso unterstellst Du dem OP, dass er das will? Inwiefern hilft dem OP diese dämliche Frage?

Ein chmod 777 hat noch nie zur Erhöhung der Sicherheit beigetragen, genau das Gegenteil ist der Fall.
In /home gehören weder Skripte noch irgendwelche anderen Dateien, und darum ist es auch schreibgeschützt.
Es gibt so viele Orte, wo man Skripte ablegen kann:
/urr/local/bin
~/bin
/opt/bin
/root/bin
Alles andere ist ein Kaputtmachen von Linux. Aber, wenn man das so will

Das beantwortet keine meiner beiden Fragen. Vermutlich hast Du sie nicht verstanden.

[Livingston]

Das beantwortet keine meiner beiden Fragen. Vermutlich hast Du sie nicht verstanden.

Man kann sich doch denken, was die Beteiligten hier eigentlich aussagen (wollen).

Zur Sache: Kann gut sein, dass es einen systemd-Service gibt, der die Rechte von /home und anderen essentiellen Ordnern beim Systemstart korrigiert.
Die bereits genannten Alternativen bieten verschiedene Vor- und Nachteile:
/root gehört ausschließlich root, hier pfuscht niemand von außen rein, und daher ist es der natürliche Ort für alles, was der User root erledigen möchte.
/usr/local/{bin/sbin} Hier packt man üblicherweise selbstgebaute Scripte oder Fremdsoftware rein, die regelmäßig genutzt werden, und vom Debian-System selbst nicht angerührt werden.
/opt bietet sich für eigene Scripte/Programme an, wenn man nicht die Verzeichnisstruktur unter /usr/local nutzen möchte. Hier packt man Selbstgebautes meist in Verzeichnisse wie /opt/<MeinEigenesDing>
~/bin Scripte aller Art, die man nur mit den Rechten eines einfachen Users in seinem eigenen Homeverzeichnis nutzen kann.

Alternativ baust Du ein komplett neues Verzeichnis direkt ins Wurzelverzeichnis wie z.B. /meins und vergibst "freihändig" User-/Gruppenzugehörigkeit und Rechte.

[cosinus]

Das beantwortet keine meiner beiden Fragen. Vermutlich hast Du sie nicht verstanden.

Ich glaube @MSFree hat da schon sehr gut verstanden. Berechtigung 777 ist einfach zu offen. Du kannst es ja gerne mal ausprobieren, mach doch mal ein chmod 777 auf dein /home und versuch dann mit $user2 das Verzeichnis /home/$user1 umzubenennen.
Und Scripte die nur root ausführen soll, sollten auch nicht unbedingt von jedem User manipulierbar sein.

[reox]

Aber egal welche Rechte da gesetzt sind - sie sollten einen reboot überleben. Oder funkt da neuerdings irgendwas rein (systemd?) und setzt beim reboot die Rechte zurück?

[cosinus]

Aber egal welche Rechte da gesetzt sind - sie sollten einen reboot überleben. Oder funkt da neuerdings irgendwas rein (systemd?) und setzt beim reboot die Rechte zurück?

Ich teste das gleich mal in einer VM. Ist aber ein Debian unstable/sid mit eingebundenen Paketquellen von siduction.

Edit: So, Test ist durch: /home wird nach einem reboot wieder auf 755 gesetzt
Ich empfehle für eigene Scripte sowas wie /scripte oder /opt/scripte

[GregorS]

Ich empfehle für eigene Scripte sowas wie /scripte oder /opt/scripte

Ich lege meine Sachen üblicherweise unter /usr/local/... ab.

Gruß

Gregor

[cosinus]

Klar, /usr/local/irgandwas geht auch. Jeder wie er mag. Aber ein /home mit 777 ist nicht so prickelnd

[reox]

So, Test ist durch: /home wird nach einem reboot wieder auf 755 gesetzt

Danke für den Test. Das ist interessant! War das schon immer so? Und was stößt das an?
Ich hab nur versehntlich mal mit Berechtigungen gespielt und damit das System geschossen - das es jetzt offenbar ein paar Reparaturmechanismen gibt ist mir neu.

[Livingston]

Müsste irgendein systemd-service sein. Auf einem Devuan-System ohne systemd mit gutem, alten sysv passiert das nicht.

[JTH]

Oder funkt da neuerdings irgendwas rein (systemd?) und setzt beim reboot die Rechte zurück?

Müsste irgendein systemd-service sein.

Ja, systemd-tmpfiles steckt dahinter, festgelegt ist die immer wieder gesetzten Berechtigung in /usr/lib/tmpfiles.d/home.conf. Lokal überschreiben kann man sowas in /etc/tmpfiles.d.

[kalamazoo]

Puuh, da hat mich ja der Bannstrahl der Ächtung getroffen!

Obwohl es mit dem Thema nichts zu tun hat und die geschätzten Debianforisten auch kaum beruhigen wird, sei folgendes gesagt:

-- Default Working Directory ist ja das Home-Verzeichnis (also /home/Mein_Benutzername). Dort befinden sich aber bereits jede Menge Systemdateien sowie Ordner, und ausserdem speichern einige Anwendungen Log-Dateien etc. auch auf dieser Ebene. Mir war das immer schon zu unaufgeräumt, weshalb ich eine Ebene höher gegangen bin und meine unerledigten Sachen in /home gespeichert habe. Nachdem mir das ständige Authorisieren als root mit der Zeit auf die Nerven gegangen ist, habe ich einfach den Besitzer von root auf user geändert. Im Gegensatz zur Rechteänderung wurde die Benutzeränderung bei Neustart nie rückgängig gemacht. Im Grunde mache ich das schon seit ich Debian benutze, und das ist nun doch schon einige Jahre.

-- zu den Sicherheitsbedenken: ich sitze hier an einem Heim-PC zu dem nur ich Zugang habe; Änderungen könnten also von mir als root oder von mir als user durchgeführt werden; sollte da jemand anderer Zugriff haben, dann hätte ich wohl ein größeres Sicherheitsproblem als das, das durch die Freigabe des home-Verzeichnisses entsteht
-- dass das Home-Verzeichnis /home/Mein_Benutzername geändert oder gelöscht werden könnte, war und ist mir bewußt; ich sehe das aber eher gelassen, solange man ein aktuelles Back-Up von /home einspielen kann
-- ich fand und finde es nicht unangenehm, mehr oder weniger alles, was ich als user mache, im home-Verzeichnis zu finden und das im Gegensatz zum Verzeichnis /home/Mein_Benutzername nicht mit von Anwendungen generierten Dateien verquickt zu bekommen; bisher habe ich nicht die Rechte, sondern einfach den Besitzer von /home geändert; das funktioniert auch jetzt noch und ist wohl ein wenig sicherer

Was sollen denn das für Scripte sein, die du als root erstellst und auch als root offensichtlich ausführen musst?

Das sind etwa Skripte mit denen ich die Anzahl der Inotify Watches abfrage, was für root und user naturgemäß unterschiedliche Ergebnisse liefert, Backup-Scripts, je nachdem ob ich als root ein Full Backup mache oder bloß als user das Wesentlichste sichere, etc.

Wieso unterstellst Du dem OP, dass er das will? Inwiefern hilft dem OP diese dämliche Frage?

Danke, das sehe ich ähnlich. Insbesondere der Ton dieses Vorbringens ist mir etwas unangenehm aufgestossen. Aber so wie in jedem Schulhof gibt es wohl auch in jedem Forum einen Bully ...

Mit Schreibrechten auf solchen Verzeichnissen muss man vorsichtig sein.

Danke für den angemessenen Tonfall. Ich komme von Windows und habe mich da immer gleich als Administrator am GUI angemeldet, Probleme gab es dadurch keine -- die Rechteverwaltung unter Linux ist wahrscheinlich überhaupt das Ungewohnteste bei so einem Umstieg.

Mal abgesehen davon, dass /home nicht das Homeverzeichnis des Benutzers ist, sondern das Verzeichnis, in welchem sich das Homeverzeichnis befindet.

Habe nie etwas anderes behauptet ...

Ein chmod 777 hat noch nie zur Erhöhung der Sicherheit beigetragen, genau das Gegenteil ist der Fall.

Dazu war es ja auch nicht gedacht.

Aber egal welche Rechte da gesetzt sind - sie sollten einen reboot überleben. Oder funkt da neuerdings irgendwas rein (systemd?) und setzt beim reboot die Rechte zurück?

Ja, das finde ich auch am Interessantesten. Es wird aber letztlich von Debian offenbar doch nicht konsistent umgesetzt.

War das schon immer so? Und was stößt das an?

Ich habe das soeben auf einem Oldoldstable (Buster) ausprobiert: ja, die Berechtigungen werden auch da bereits zurückgesetzt.
Im Unterschied zur Änderung der Berechtigungen bleibt allerdings ein Besitzerwechsel von root auf user bestehen (was ich ja bisher immer vorgenommen hatte). Das System kontrolliert dabei aber offenbar nur den absoluten Pfadnamen. Ich habe nämlich das Home-Verzeichnis und den übergeordneten home-Ordner auf eine eigene Partition migriert und als /HOME eingehängt, den alten, leeren Ordner /home aber aus irgendeinem Grund bestehen gelassen. Zurückgesetzt werden lediglich die Rechte von /home, nicht aber diejenigen von /HOME, auf den bzw. auf dessen Unterordner /HOME/Mein_Benutzername aber auch die Umgebungsvariablen etc. verweisen.

Ja, systemd-tmpfiles steckt dahinter, festgelegt ist die immer wieder gesetzten Berechtigung in /usr/lib/tmpfiles.d/home.conf. Lokal überschreiben kann man sowas in /etc/tmpfiles.d.

Danke, äusserst interessant, werde ich vorerst aber trotzdem nicht ausprobieren

[GregorS]

...
-- zu den Sicherheitsbedenken: ich sitze hier an einem Heim-PC zu dem nur ich Zugang habe; Änderungen könnten also von mir als root oder von mir als user durchgeführt werden; sollte da jemand anderer Zugriff haben, dann hätte ich wohl ein größeres Sicherheitsproblem als das, das durch die Freigabe des home-Verzeichnisses entsteht
...

Demnach bist Du dann wohl ein „Single-User-Typ“ wie viele. Also der Typ von Nutzer, der seinen Computer als einziger Nutzer benutzt und nicht so recht weiß, wie „man“ üblicherweise mit den Multiuser-Fähigkeiten von Unix umgeht bzw. wie man sie sinnvoll nutzt.

<Rambo>Dass sich einer wie Du hier blicken lässt ...tsts</Rambo>

Solltest Du den PC fernab jeglichen (!) Netzwerks benutzen, ist das ansich okay. Problematisch wird's halt, wenn Du gegen „Stahlbeton-Regeln“ verstößt, weil man Dir dann nur schwer helfen kann. Als Helfender kann man sich dann halt sehr viel weniger „in Dein System“ eindenken und „spezielle“ Zusammenhänge oder Gegebenheiten sind einem wie mir vollkommen unbekannt.

Hältst Du Deine Daten denn sonst in Ordnung? D.h. könntest Du ohne Datenverlust auf ein frisch installiertes System umziehen (ich meine jetzt „Deine“ Daten, Fotos usw.)?

Wenn ja, würde ich Dir genau das empfehlen. Sprich: Daten sichern, System vollkommen neu aufsetzen, ein bisschen was über Datei-/User-Rechte lernen, und Deine eigenen Daten und/oder Scripte dann „ordentlich“ dort einsortieren und künftig „Unix-konform“ pflegen.

Gruß

Gregor

[cosinus]

Ich komme von Windows und habe mich da immer gleich als Administrator am GUI angemeldet, Probleme gab es dadurch keine -- die Rechteverwaltung unter Linux ist wahrscheinlich überhaupt das Ungewohnteste bei so einem Umstieg.

Ja, das ist bei Windows auch normal. Alteingesessene UNIX- und Linux-Leute können das schonmal vergessen.
Die Rechteverwaltung ist zwar anders, aber im Vergleich zu den ACLs, die man in einem NTFS-Dateisystem v.a. in den Katakomben des berüchtigten system32-Ordner so vorfindet, eigentlich viel verständlicher. (Von Sonderrechten wie setuid, setgid und sticky bit abgesehen aber du willst ja nur ein gemeinsam genutztes Verzeichnis)

Du könntest das Script nach /usr/local/bin ablegen und dann:

Code: Alles auswählen

chown $user:$user /usr/local/bin/$script
chmod 600 /usr/local/bin/$script

Und daaaan kann nur root und dein $user was damit anstellen. Ausführbarkeit (x) braucht es nicht, du kannst es ja als root mit "bash $script" ausführen.

[kalamazoo]

Demnach bist Du dann wohl ein „Single-User-Typ“ wie viele. Also der Typ von Nutzer, der seinen Computer als einziger Nutzer benutzt und nicht so recht weiß, wie „man“ üblicherweise mit den Multiuser-Fähigkeiten von Unix umgeht bzw. wie man sie sinnvoll nutzt.

<Rambo>Dass sich einer wie Du hier blicken lässt ...tsts</Rambo>

Ja, und nicht nur das: ich bin hier wohl auch einer der wenigen -- vielleicht sogar der einzige -- ohne IT-Background, ohne einschlägige technische Erfahrung oder überhaupt naturwissenschaftliche Ausbildung.

Solltest Du den PC fernab jeglichen (!) Netzwerks benutzen, ist das ansich okay. Problematisch wird's halt, wenn Du gegen „Stahlbeton-Regeln“ verstößt, weil man Dir dann nur schwer helfen kann.

Nun ja, ich hänge am NAS und im Netz ...

ad "Stahlbetonregel": okay, akzeptiert; dagegen verstößt wohl auch schon der Besitzerwechsel von root auf user bei /home, womit ich allerdings bisher noch nie Probleme hatte; ich glaube im übrigen auch nicht so ganz, dass die home-Ordner Berechtigung mit dem im anderen Thread angesprochenen Anmeldeproblem etwas zu tun hat -- wenigstens verstehe ich den Zusammenhang nicht (ich bin aber gerne bereit, dazuzulernen, und daher für jegliche Erklärung dankbar)

Hältst Du Deine Daten denn sonst in Ordnung? D.h. könntest Du ohne Datenverlust auf ein frisch installiertes System umziehen (ich meine jetzt „Deine“ Daten, Fotos usw.)?

ad "Ordnung": ich denke schon, dass dem so ist, zumindest was chmod und chown betrifft

obwohl ich im allgemeinen den PC als Arbeitsgerät benutze (ich hatte anfangs hier im Forum die ironisch gemeinte Signatur, dass ich der Heim-PC-Anwender sei, um den sich Linux verstärkt bemüht), habe ich teilweise schon die Tendenz, das System "auszureizen", also zu sehen, was geht und was nicht mehr -- übrigens nicht bloß bei Linux, sondern schon unter Windows (das hier natürlich enorm viel weniger hergibt, selbst mit Spezialprogrammen); ich glaube auch, dass man nur so etwas dazulernt; mein ganzes Computerwissen habe ich mir eigentlich nur durch das Lösen oft durchaus selbst verschuldeter Probleme angeeignet, sonst hätte ich kaum Veranlassung, mich mit dem "Hintergrundwissen" abseits der Anwenderprogramme zu beschäftigen

ad "frisch installiertes System": ja, das wäre möglich; wie mir aber relativ lange zurück jemand hier im Debianforum gesagt hat: "Neuinstallation -- das ist Microsoftdenken, in Linux löst man die Probleme systematisch" (das Zitat ist zumindest sinngemäß); also: solange ich da noch irgendwie herumfummeln kann, versuche ich zu reparieren und dadurch zu lernen, wenn wirklich nichts mehr geht, dann steht immer noch das Neuaufsetzen des Systems zur Verfügung

Meine bereits oben zumindest ähnlich gestellte Verständnisfrage: Wenn ich jetzt lediglich die Berechtigungen für /home ändere (und somit abgesehen von User-Systemeinstellungen nichts anderes) -- was kann hier am System kaputt gehen ausser dass eben alle angelegten User-Verzeichnisse kompromittiert sein könnten, d.h. würde ich diese löschen und einen neuen User anlegen (jetzt unter Einhaltung der "Stahlbetonregeln") sollte doch wieder alles im Lot sein? Oder übersehe ich da was Fundamentales?

Ja, das ist bei Windows auch normal. Alteingesessene UNIX- und Linux-Leute können das schonmal vergessen.

Nicht nur Windows-User, sondern Windows-GUI-Root-User Mein Windows XP habe ich zuletzt 2004 aufgesetzt und es läuft heute noch ohne Probleme (GSmartControl von Windows sagt mir 11.998 Power-Cycle-Counts und 42.354 Power-On-Hours, alles klarerweise "old_age" und "pre_fail").

Die Rechteverwaltung ist zwar anders, aber im Vergleich zu den ACLs, die man in einem NTFS-Dateisystem v.a. in den Katakomben des berüchtigten system32-Ordner so vorfindet, eigentlich viel verständlicher. (Von Sonderrechten wie setuid, setgid und sticky bit abgesehen

D'accord, selbst setuid, setgid, sticky bit, etc. sind nicht so schwierig zu verstehen -- ich komm halt von einem Susi-Sorglos-M$-System und da hat es mich schon ein wenig überrascht, wie hier alle in Schnappatmung verfallen sind. Gemach, Gemach, ich lerne ja dazu!

[cosinus]

Nicht nur Windows-User, sondern Windows-GUI-Root-User Mein Windows XP habe ich zuletzt 2004 aufgesetzt und es läuft heute noch ohne Probleme (GSmartControl von Windows sagt mir 11.998 Power-Cycle-Counts und 42.354 Power-On-Hours, alles klarerweise "old_age" und "pre_fail").

42k Stunden ist doch nix
Meine SSD im Büro-PC mit Debian hat nun schon fast 60k Stunden aufm Tacho

Code: Alles auswählen

Device Model:     Samsung SSD 850 EVO 120GB
Firmware Version: EMT01B6Q
  5 Reallocated_Sector_Ct   PO--CK   100   100   010    -    0
  9 Power_On_Hours          -O--CK   088   088   000    -    57085
190 Airflow_Temperature_Cel -O--CK   071   056   000    -    29
241 Total_LBAs_Written      -O--CK   099   099   000    -    11397419974

Aber was machst du jetzt noch mit XP, das ist doch zu nix mehr zu gebrauchen heute.

Gemach, Gemach, ich lerne ja dazu!

[thunder11]

Wenn du KDE nutzt, wäre auch noch die Möglichkeit, innerhalb von Dolphin Rootrechte zu erlangen.
dazu muss das Paket kio-admin installiert sein.
Kannst dir dann in Dolphin einen Eintrag in der Seitenleiste anlegen.
Mit z.B.
Dolphin Root (Name)
und admin:/// (Adresse)
Klick auf den Eintrag: Damit hast du root-Rechte in deinem System (PW wird aber abgefragt.)

Kannst admin:/// natürlich auch in die Adressleiste eingeben,

[kalamazoo]

42k Stunden ist doch nix
Meine SSD im Büro-PC mit Debian hat nun schon fast 60k Stunden aufm Tacho

Hast Du da auch die ganze Zeit brav gearbeitet oder nur den PC laufen lassen
Ich habe ja, wie man sieht, immer verlässlich ausgeschaltet oder gehibernated (knapp 12.000x)

Aber was machst du jetzt noch mit XP, das ist doch zu nix mehr zu gebrauchen heute.

Alles was von Windows danach gekommen ist, ist noch weniger zu gebrauchen!

Eines der von mir am meisten verwendeten Programme ist M$ Excel, und das ist -- okay, ich erwarte jetzt wieder einen ordentlichen Shit-Storm -- wirklich gut. Es läuft in einer alten Windows Office 2003 Version und ich kann gar nicht so schnell tippen, wie das alte System die Daten verarbeitet! Sollte ich da mal den PC überfordern, dann muss ich wohl wirklich wechseln

Das ganze hängt natürlich nicht mehr im Netz, nicht einmal am NAS. Die Funktionalität von LibreOffice, OpenOffice, etc. hinkt hier leider sehr nach. Für kleinere Dinge verwende ich sie, aber nicht, wenn es ums Eingemachte geht. Als ich auf Linux umgestiegen bin, habe ich sogar mit den Entwicklern Kontakt aufgenommen, um zu erfahren, wie etwas, das in Excel Standard ist, auch unter LibreOffice funktioniert (ich meinte, da sei ein Bug ). Die freundliche Antwort einer Maintainerin war "It's not a bug, it's a feature!" sowie dass ich dies ja ohnedies nicht bräuchte, da es ja einen Work-Around gäbe ... Na ja, letztlich zurück zu meinem alten Excel -- nur ein Neueres mag ich mir nicht kaufen, die kenne ich, die sind -- wie Windows insgesamt -- auch nicht besser geworden.

Ach ja, die Virtual Machine läuft bei mir noch nicht unter Bookworm ... es wäre dann aber trotzdem Excel