** Reply to message from Bernd Brodesser
* Michael Gerdelmann schrieb am 31.Mai.2001:
Wie wärs mit einem 'chmod g+w dateiname' ? Damit erlaubst Du der Gruppe Deine Datei zu bearbeiten.
Das ist immer gut. Vorausgesetzt man bastelt sich die richtige Gruppe.
Zur Not als root eine neue Gruppe erzeugen und nur die User in die Gruppe eintragen, die diese Datei bearbeiten dürfen.
Dann muß man aber erst mal die Superuserrechte haben. In größeren Unternehmen ist der Systemadminstrator nicht immer so einfach erreichbar.
Das kann nicht das Argument sein. Ein Admin muß für solche Sachen da sein.
Das Unterschieben, durch Änderung des Eigentümers, kann im Falle von z.B. illegalen Daten für den "Neueigentümer" erhebliche (u.a. rechtliche) Probleme bringen.
Nein. Denn Das Unix- und damit Linuxrechtesystem diente nie dazu die Urheberschaft zweifelsfrei festzustellen, sondern immer dazu jemanden was zu erlauben oder verbieten.
Ad Hoc fallen mir da einige Scenarien ein (Raubkopien, Pornographie,...).
Ja, und wenn irgendwo Dateien mit Kinderpornos auftauchen, dann kann man nicht davon ausgehen, daß der Besitzer überhaupt davon weiß. Immerhin kann es auch der Superuser angelegt haben.
Stimmt. Allerdings sollte sollten die su Rechte wirklich nur dem Admin gehören und nicht jeder mit diesen Passwörtern durch die Weltgeschichte hopsen. Weiterhin sollte der Admin eine Person sein, die über solche Zweifel erhaben ist. Wenn trotzdem so etwas mal passiert, dann ist auf Grund dieser Regeln der in Frage kommende Personenkreis sehr eingeschränkt.
Das HP-UX soetwas zulassen soll finde ich außerst bedenklich.
Nein, ich nicht. Bedenklich ist es ehr, daß Linux sowas nicht zuläßt, denn dadurch wird eine Sicherheit vorgegaukelt, die nicht besteht. Es ist leicht möglich einem was unterzuschieben. Zum Beispiel über temporäre Dateien in /tmp. Müßte man mal ausprobieren, ob es die Programme merken, wenn man da plötzlich ganz was anderes reinschiebt. Und was mit den Rechten passiert.
Um Zweifelsfrei sagen zu können, irgend eine Datei stammt von Mitarbeiter A und nicht von B ist imho nicht möglich. Vor allem ist der Sysadmin immer außen vor. Das mag ja in Betriblichen Belangen angehen, aber wenn es um Strafrecht geht, dann kann man das nicht mehr machen.
Natürlich ist der Admin nicht aussen vor. Aber auf Grund dessen, das solche Praktiken unter linux nicht möglich sind, wird sowas nicht so oft vorkommen. Wenn doch, dann muß der Admin natürlich auch seine Rübe hinhalten und sich Gedanken über sein Netz machen. -- mfg, Peter Küchler Planungsverband Frankfurt Region Rhein Main Systemadministrator