* 2948114 wrote on Sun, Jan 30, 2000 at 20:39 +0100:
Hi Liste,
Hi 2948114!
eine der grossen Schwioerigkeiten beim Lesen der manuals - generell - ist, dass man - als blutige Anfaengerin - nur schwer unterscheiden kann, wie locker man die Rechte machen soll.
:) Ganz einfach: So locker wie nötig, und so streng wie möglich.
Einzelplatzrechner, 2 reale Benutzer, die beide alles duerfen.
Sicher nicht alles. Root darf alles. Nur root.
Einige virtuelle Benutzer, um nicht normal als "root" zu arbeiten, und fuer spezielle Zwecke eingerichtet.
Ja, das ist ein Konzept, das ich persönlich nicht so mag. Man kann natürlich Accounts wie "backup" "newsadm" verwenden, und diese dann sogar noch von verschiedenen Personen verwenden lassen, ich bevorzuge aber richtige Namen (also "steffen"), die dann über Gruppenzugehörigkeiten, sudo oder ähnliches die erforderlichen Rechte bekommen, die zum Arbeiten erforderlich sind. Bei einem gut konfiguriertem System sind das sehr wenige, bei kleinen Netzen reicht es meist auch aus, wenn "root hin- und wieder mal vorbeikommt".
Die Sicherheit soll so sein, dass ich nicht aus Schlamperei oder Unwissenheit als Benutzer Schaden anrichten kann - deshalb arbeite ich meist eben nicht als root.
Das ist sehr schön. Anders gehts auf Dauer sowieso nicht (oder schief).
Zweitens auch, dass evt. Viren aus dem Netz innerhalb eines Benutzerkontos "eingesperrt" bleiben.
Selbst das Vermehren innerhalb eines Benutzeraccounts ist nicht so ganz einfach, da Binaerfiles nicht von Benutzern schreibbar sind, und diese nicht kompromittiert werden können, vor allem sind Änderungen an einer Benutzerumgebung von einem Benutzer zwar vor diesem, aber nicht vor Root verbergbar. Das beudeutet, ein Virus könnte sich zwar vor dem Benutzer verstecken, aber ohne root-Rechte nicht vor diesem.
Welche Einstellung bzw. Rechtevergabe ist fuer mich sinnvoll, sodass ich nicht die halbe Zeit damit verbringe, als root Rechte umzuaendern, damit ich als Benutzer arbeiten kann ;-)
Normalerweise solltest Du mit den Filesystemberechtigungen, die SuSE defaultmäßig hat, leben können, besonders, wenn keine "Daten zu verstecken sind". Ein Benutzer macht eben keine Administrativen Aufgaben, und benötigt daher eigentlich keine Root-Rechte. Muß er doch was ausgewähltes machen dürfen (z.B. ISDN abschalten oder so), bekommt er genau dieses ausgewählte Privileg per sudo. Ein Praxisbeispiel: ein Benutzer soll den Namesserver administrieren. Also werden alle Dateien von root an diesen Benutzer "ge-chown-t", per sudo darf er zwei Sachen: die /etc/named.conf überschreiben und "ndc reload" audführen. Damit kann er seine Aufgabe vollständig erledigen (gut, er darf auch nocht "shutdown"/"reboot") - ohne volle root Rechte zu besitzen, und er kann maximal den DNS-Server abschießen. Und dann weiß man, wer "Schuld" ist...
Ich denke, dass diese Frage im Augenblick - wo Linux immer mehr von Einzelplatzbenutzern installiert wird - fuer viele Anfaenger interessant ist.
Vielleicht solltest Du sie konkreter stellen. Im Prinzip gibt es eben nur Benutzer. Wenn die jetzt was spezielles machen können müssen, was sonst nur root darf, muß man überlegen, wie man das einfach aber sicher hinbekommt. oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com