![](https://seccdn.libravatar.org/avatar/8848f5018288b38403f82a44ace0ba46.jpg?s=120&d=mm&r=g)
Hi! Ich versuche gerade etwas mit Benutzerrechten zu basteln... hast du evtl. 'ne gute Dokuseite zu dem Thema? Das ganze ist ja recht komplex... Im Detail: Benutzer A hat sein /home/a ganz normal angelegt bekommen. Benutzter B soll sein /home als ein Unterverzeichnis von A bekommen. Das Verzeichnis von B soll aber für A weiterhin les- u. schreibbar sein. Nutzer B darf allerdings nicht aus seinem /home herrauskommen und in seinem /home auch nur lesen. Ich finde im Handbuch leider quasi gar nichts zum Thema Rechte verwalten... Jemand eine Idee? Gruß, Jörg --- Samstag, 12. Januar 2002 16:39 mailto:linux@vague.de http://www.vague.de
![](https://seccdn.libravatar.org/avatar/7be202ac1466155126a769cbf32702c0.jpg?s=120&d=mm&r=g)
Am Samstag, 12. Januar 2002 16:40 schrieb Jörg Nehls:
Hi!
Ich versuche gerade etwas mit Benutzerrechten zu basteln... hast du evtl. 'ne gute Dokuseite zu dem Thema? Das ganze ist ja recht komplex...
Im Detail: Benutzer A hat sein /home/a ganz normal angelegt bekommen. Benutzter B soll sein /home als ein Unterverzeichnis von A bekommen. Das Verzeichnis von B soll aber für A weiterhin les- u. schreibbar sein. Nutzer B darf allerdings nicht aus seinem /home herrauskommen und in seinem /home auch nur lesen.
Ich finde im Handbuch leider quasi gar nichts zum Thema Rechte verwalten...
Hallo Jörg Da solltest Du liber eine neue Gruppe (Name z.B. user2) anlegen, die dann nur leserecht auf das Verzeichnis hat. Damit muss B allerdings auch lesezugriff auf /home/A haben, sonst kann er nicht in /home/A/home/B wechseln. Nutzer A muss also seine Dateien und Verzeichnisse in Unterverzeichnissen von /home/A anlegen auf die wiederrum die Gruppe user2 und der User B keinerlei Zugriff haben. Eine Ähniche Geschichte ist übrigens die Absicherung von /home/$USERNAME, wenn Du $HOME/public_html freigeben willst. Das steht sehr wohl im Handbuch. CU Thorsten -- Thorsten Körner || info@thorstenkoerner.de Dannenkoppel 51 || thorstenkoerner@thorsti.org 22391 Hamburg || GNU-GPG Key: 2D2C4868C007C4FA http://www.123tk.de || reg. Linux-User:#187283
![](https://seccdn.libravatar.org/avatar/2a347b18c06ada0bdb2501b5a3e9a8cf.jpg?s=120&d=mm&r=g)
Moin,
* Jörg Nehls
Im Detail: Benutzer A hat sein /home/a ganz normal angelegt bekommen. Benutzter B soll sein /home als ein Unterverzeichnis von A bekommen. Das Verzeichnis von B soll aber für A weiterhin les- u. schreibbar sein. Nutzer B darf allerdings nicht aus seinem /home herrauskommen und in seinem /home auch nur lesen. Dürfte schwierige werden, schließlich sind alle Programme außerhalb von Bs $HOME.
Ich finde im Handbuch leider quasi gar nichts zum Thema Rechte verwalten...
Jemand eine Idee? Anderes Handbuch. Ist das Rechtesystem im Kofler beschrieben?
Thorsten -- Question Authority!
![](https://seccdn.libravatar.org/avatar/8848f5018288b38403f82a44ace0ba46.jpg?s=120&d=mm&r=g)
Saturday, January 12, 2002, 5:03:39 PM, Thorsten Haude wrote:
Dürfte schwierige werden, schließlich sind alle Programme außerhalb von Bs $HOME. Nun, vielleicht war das ganze nicht so 100% deutlich: B ist kein User, der sich via Shell auf der Box einloggen kann. Es ist ein reiner ftp user, der den Account nur nutz, um Sachen runterzuladen.
Ich finde im Handbuch leider quasi gar nichts zum Thema Rechte verwalten...
Jemand eine Idee? Anderes Handbuch. Ist das Rechtesystem im Kofler beschrieben? Bitte was?
Gruß, jörg --- Sonntag, 13. Januar 2002 11:26 mailto:linux@vague.de http://www.vague.de
![](https://seccdn.libravatar.org/avatar/2a347b18c06ada0bdb2501b5a3e9a8cf.jpg?s=120&d=mm&r=g)
Moin,
* Jörg Nehls
Saturday, January 12, 2002, 5:03:39 PM, Thorsten Haude wrote: Nun, vielleicht war das ganze nicht so 100% deutlich: B ist kein User, der sich via Shell auf der Box einloggen kann. Es ist ein reiner ftp user, der den Account nur nutz, um Sachen runterzuladen. Dann würde ich mal in den Dokumentationen der FTP-Server blättern, das ist bestimmt der bessere Ansatz.
Ich finde im Handbuch leider quasi gar nichts zum Thema Rechte verwalten...
Jemand eine Idee? Anderes Handbuch. Ist das Rechtesystem im Kofler beschrieben? Bitte was? 'Der Kofler' ist ein recht bekanntes Buch über Linux.
Thorsten -- As far as the USA is concerned, it has both an absolute right for its citizens to live in peace and safety, and also an absolute right to protect its "valid strategic interests". Unfortunately, the second of these "rights" prevents any other country from enjoying the first.
![](https://seccdn.libravatar.org/avatar/c65f0a9d70486d425ffd4799ddb379fc.jpg?s=120&d=mm&r=g)
* Jörg Nehls schrieb am 12.Jan.2002:
Im Detail: Benutzer A hat sein /home/a ganz normal angelegt bekommen. Benutzter B soll sein /home als ein Unterverzeichnis von A bekommen.
Du meinst $HOME, nicht /home. /home ist ein Verzeichniß, in dem die Homeverzeichnisse der User liegen, so auch die des Users A, wie Du oben selber geschrieben hast. Erst einmal kein Problem, das anzulegen, aber was soll das? Letztendlich ist es doch egal, wo B sein Home hat, oder etwa nicht.
Das Verzeichnis von B soll aber für A weiterhin les- u. schreibbar sein. Nutzer B darf allerdings nicht aus seinem /home herrauskommen und in seinem /home auch nur lesen.
Warum soll B in seinem $HOME nicht schreiben dürfen. Bedenke, daß es dort auch Konfigdateien gibt, die B verändern können soll. So wie Du es beschreibst ist es kein Problem. Gib als Homeverzeichniß /home/a/b an, und als Besitzer von /home/a/b ist a, die Rechte sind entweder 755 oder 750. Wenn sie 750 sind, dann muß b zu der Gruppe des Verzeichnisses gehören. Du kanst praktisch nicht vermeiden, daß b aus seinem home herauskommt, er könnte ja absolute Pfade angeben. Es gibt zwar die Möglichkeit der restrictet shell, damit geht es, aber Du müßtest b einen eigenen Pfad geben mit eigens für ihm geschriebene Befehle, sonst kann er es umgehen. Aber ich sehe nicht ganz den Sinn. Bernd -- Homepages von deutschsprachigen Linux-Gurus: Kristian Köhntopp: http://www.koehntopp.de/kris/artikel/ Sven Guckes: http://www.math.fu-berlin.de/~guckes/sven Robin S Socha: http://socha.net/index2.html |Zufallssignatur 10
![](https://seccdn.libravatar.org/avatar/2a347b18c06ada0bdb2501b5a3e9a8cf.jpg?s=120&d=mm&r=g)
Moin,
* Bernd Brodesser
So wie Du es beschreibst ist es kein Problem.
Du kanst praktisch nicht vermeiden, daß b aus seinem home herauskommt Was denn nun?
Ich denke, es geht prinzipiell, wird aber einen Haufen Probleme bringen, zB. weil kein Werkzeug damit rechnet, daß der Benutzer keine Schreibrechte in $HOME hat. Thorsten -- Whenever there is a conflict between human rights and property rights, human rights must prevail. - Abraham Lincoln
![](https://seccdn.libravatar.org/avatar/c65f0a9d70486d425ffd4799ddb379fc.jpg?s=120&d=mm&r=g)
* Thorsten Haude schrieb am 12.Jan.2002:
Moin,
* Bernd Brodesser
[02-01-12 19:59]: So wie Du es beschreibst ist es kein Problem.
Du kanst praktisch nicht vermeiden, daß b aus seinem home herauskommt Was denn nun?
Das Einrichten unter /home/a/b ist kein Problem, und das mit der Rechtevergabe, außer b in ~ zu halten. Probleme könnte es später geben.
Ich denke, es geht prinzipiell, wird aber einen Haufen Probleme bringen, zB. weil kein Werkzeug damit rechnet, daß der Benutzer keine Schreibrechte in $HOME hat.
Problematisch ist den User in ~ zu halten. Es geht prinzipiell mit einer restrictet shell. Siehe man bash. Aber auch dann kann man etwa ls / machen und er kann das /-Verzeichniß lesen. Er kommt nicht aus seinem Homeverzeichniß heraus, aber er kann ja volle Pfadnamen angeben. Das kann man vermeiden, indem man ihm ein eigenes ls bastelt, und nur dieses im Pfad steht. So wie so sollte man aufpassen ob es keinen Befehl gibt, mit dem er sie restrictet shell umgehen kann. Zum Beispiel darf die bash selber nicht in seinem Pfad stehen, sonst ruft er einfach die auf. Er kann aber nur Sachen in seinem Pfad aufrufen. Sowas wie /bin/bash darf er nicht. Wenn man das wirklich macht, so sollte man sich damit befassen. Bernd -- Welches Buch ist zu empfehlen? Schon mal bei SuSE vorbeigesehen? http://www.suse.de/de/products/books/index.html oder die Empfehlungen der SuSE-Entwickler auf dem eigenen Rechner? file:///usr/share/doc/sdb/de/html/literatur.html |Zufallssignatur 5
![](https://seccdn.libravatar.org/avatar/7be202ac1466155126a769cbf32702c0.jpg?s=120&d=mm&r=g)
Am Samstag, 12. Januar 2002 21:01 schrieb Thorsten Haude:
Moin,
* Bernd Brodesser
[02-01-12 19:59]: So wie Du es beschreibst ist es kein Problem.
Du kanst praktisch nicht vermeiden, daß b aus seinem home herauskommt
Was denn nun?
Ich denke, es geht prinzipiell, wird aber einen Haufen Probleme bringen, zB. weil kein Werkzeug damit rechnet, daß der Benutzer keine Schreibrechte in $HOME hat.
Hallo Thorsten Der Character der vergebenen Rechte auf Verzeichnisse ist so, dass jeder User, der Zugriff auf ein Verzeichnis / Datei hat, damit automatisch auch die Zugriffsrechte für alle darüberliegenden Verzeichnisse bis hin zu "/" hat. Man kann ihm nur den Zugriff auf die Verzweigenden verzeichnisse innerhalb dieser Hierarchie verweigern. Also: Wenn User "B" das Leserecht für Dateien innerhalb von /home/a/home/b bekommen soll, dann hat er auch Zugriff auf /home/a. Er hat aber nicht automatisch auch Zugriff auf z.B. /home/a/Dokumente etc. Also man muss bei solchen Geschichten schon sehr genau aufpassen, ob man die Rechte korrekt vergeben hat. CU Thorsten -- Thorsten Körner || info@thorstenkoerner.de Dannenkoppel 51 || thorstenkoerner@thorsti.org 22391 Hamburg || GNU-GPG Key: 2D2C4868C007C4FA http://www.123tk.de || reg. Linux-User:#187283
![](https://seccdn.libravatar.org/avatar/2a347b18c06ada0bdb2501b5a3e9a8cf.jpg?s=120&d=mm&r=g)
Moin,
* Thorsten Körner
Der Character der vergebenen Rechte auf Verzeichnisse ist so, dass jeder User, der Zugriff auf ein Verzeichnis / Datei hat, damit automatisch auch die Zugriffsrechte für alle darüberliegenden Verzeichnisse bis hin zu "/" hat. Stimmt, hatte ich übersehen.
Thorsten -- In dem Augenblick, wo wir anfangen unsere Freiheitsrechte einzuschränken, besorgen wird das Geschäft der Terroristen. - Günter Grass
![](https://seccdn.libravatar.org/avatar/8848f5018288b38403f82a44ace0ba46.jpg?s=120&d=mm&r=g)
Saturday, January 12, 2002, 7:59:01 PM, Bernd Brodesser wrote:
Du meinst $HOME, nicht /home. /home ist ein Verzeichniß, in dem die Homeverzeichnisse der User liegen, so auch die des Users A, wie Du oben selber geschrieben hast.
Erst einmal kein Problem, das anzulegen, aber was soll das? Letztendlich ist es doch egal, wo B sein Home hat, oder etwa nicht. Nein. User B soll nur ein bestimmtes Verzeichnis (also mache ich das zu seinem $HOME nur lesen können, mehr nicht. Der User kann sich auch via shell nicht auf der Box einloggen, weil ich das einfach nicht vorgesehen habe.
Warum soll B in seinem $HOME nicht schreiben dürfen. Bedenke, daß es dort auch Konfigdateien gibt, die B verändern können soll. Weil B ein reiner ftp User ist, der nur Daten liest, sprich runterläd.
So wie Du es beschreibst ist es kein Problem. Gib als Homeverzeichniß /home/a/b an, und als Besitzer von /home/a/b ist a, die Rechte sind entweder 755 oder 750. Wenn sie 750 sind, dann muß b zu der Gruppe des Verzeichnisses gehören.
Du kanst praktisch nicht vermeiden, daß b aus seinem home herauskommt, er könnte ja absolute Pfade angeben. Es gibt zwar die Möglichkeit der restrictet shell, damit geht es, aber Du müßtest b einen eigenen Pfad geben mit eigens für ihm geschriebene Befehle, sonst kann er es umgehen. Wie gesagt, B ist kein User, der an dem Linuxrechner selbst arbeiten kann. Er kann nur per ftp auf den Rechner, mehr nicht.
Gruß, Jörg --- Sonntag, 13. Januar 2002 11:28 mailto:linux@vague.de http://www.vague.de
![](https://seccdn.libravatar.org/avatar/c65f0a9d70486d425ffd4799ddb379fc.jpg?s=120&d=mm&r=g)
* Jörg Nehls schrieb am 13.Jan.2002:
Saturday, January 12, 2002, 7:59:01 PM, Bernd Brodesser wrote:
Du meinst $HOME, nicht /home. /home ist ein Verzeichniß, in dem die Homeverzeichnisse der User liegen, so auch die des Users A, wie Du oben selber geschrieben hast.
Erst einmal kein Problem, das anzulegen, aber was soll das? Letztendlich ist es doch egal, wo B sein Home hat, oder etwa nicht. Nein. User B soll nur ein bestimmtes Verzeichnis (also mache ich das zu seinem $HOME nur lesen können, mehr nicht. Der User kann sich auch via shell nicht auf der Box einloggen, weil ich das einfach nicht vorgesehen habe.
Warum soll B in seinem $HOME nicht schreiben dürfen. Bedenke, daß es dort auch Konfigdateien gibt, die B verändern können soll. Weil B ein reiner ftp User ist, der nur Daten liest, sprich runterläd.
Das ist doch was völlig anderes. Warum schreibst Du das nicht? Dazu gibt es eine ftp-Dokumentation, kann ich aber weiter nichts zu sagen. Bernd -- Homepages von deutschsprachigen Linux-Gurus: Kristian Köhntopp: http://www.koehntopp.de/kris/artikel/ Sven Guckes: http://www.math.fu-berlin.de/~guckes/sven Robin S Socha: http://socha.net/index2.html |Zufallssignatur 10
![](https://seccdn.libravatar.org/avatar/c3746755fcfd20f1965253162a7ae9a2.jpg?s=120&d=mm&r=g)
Hallo Jörg, * Am 12.01.2002 um 16:40 Uhr schrieb Jörg Nehls:
Im Detail: Benutzer A hat sein /home/a ganz normal angelegt bekommen. Benutzter B soll sein /home als ein Unterverzeichnis von A bekommen. Das Verzeichnis von B soll aber für A weiterhin les- u. schreibbar sein. Nutzer B darf allerdings nicht aus seinem /home herrauskommen und in seinem /home auch nur lesen.
Ich würde vielleicht folgendes versuchen... - Warum muß die Gruppe in den Benutzerverzeichnissen <users> sein? Also würde ich kurzerhand für jeden Benutzer eine eigene Gruppe anlegen und die Benutzerverzeichnisse entsprechend neu zuordnen: z.B. chown -R peter.peter /home/peter z.B. chown -R hugo.hugo /home/hugo - Als nächstes wäre es vorteilhaft in den Benutzerverzeichnissen den Zugriff der Gruppe <others> zu entfernen: z.B. chmod -R o-rwx /home/peter z.B. chmod -R o-rwx /home/hugo - Damit defaultmäßig keine Rechte für <others> gesetzt werden, sollte man auch umask anpassen: z.B. umask=026 Um nun Peter die Möglichkeit zur Änderung von Dateien/Verzeichnissen von Hugo zu geben, sollte es genügen, Peter in die Gruppe von Hugo aufzunehmen. Alternativ könnte natürlich für Hugo auch noch eine weitere, aussagekräftigere Gruppe angelegt werden: z.B. chown -R hugo.dau /home/hugo Das 'Einsperren des Benutzer' auf sein Homeverzeichnis ist nicht so einfach. Hier hat Bernd ja schon den entscheidenen Hinweis mit der 'Restricted Shell' gegeben. Jürgen PS. Bevor Du nun mit dem Ändern der Zugriffsrechte beginnst, wäre es sicherlich nicht verkehrt, eine Datensicherung anzulegen ;-) -- Freunde kommen und gehen, aber Feinde sammeln sich an. / Registered Linux-User #130804 http://counter.li.org \ \ Linux Stammtisch Bremerhaven http://linux.hs-bremerhaven.de /
participants (5)
-
B.Brodesser@t-online.de
-
Juergen Schwarting
-
Jörg Nehls
-
Thorsten Haude
-
Thorsten Körner