[SuSE 7.3] Benutzer anlegen - Yast1 erlaubt mehr ?!
Hi, ich habe mit "Yast2/Sicherheit&Benutzer/Bearbeiten und Anlegen Benutzern" versucht mehrere Benutzer anzulegen, die das gleiche Homeverzeichnis benutzen sollen. Yast2 hat sich beim 2 Nutzer geweigert, diesen anzulegen, da das gewählte Homeverzeichins schon mal benutzt wird. Das soll ja aber gerade so sein ! Ebenso ist Yast2 mit den Passwörtern recht pingelig (min 5 Zeichen). In Yast1 konnte ich mehrere Benutzer anlegen, die das gleiche Homeverzeichnis nutzen. Auch konnte ich Passwörter mit <5 Zeichen vergeben. Ist das normal ? Hat es jemand geschaft mit Yast2 mehrere Benutzer anzulegen, die das gleiche Homeverzeichnis nutzen ? Ciao Tobias
* Tobias Geis schrieb am 25.Okt.2001:
ich habe mit "Yast2/Sicherheit&Benutzer/Bearbeiten und Anlegen Benutzern" versucht mehrere Benutzer anzulegen, die das gleiche Homeverzeichnis benutzen sollen. Yast2 hat sich beim 2 Nutzer geweigert, diesen anzulegen, da das gewählte Homeverzeichins schon mal benutzt wird. Das soll ja aber gerade so sein ! Ebenso ist Yast2 mit den Passwörtern recht pingelig (min 5 Zeichen).
Laß doch yast weg und mach es mit useradd. Ich schätze mal, yast benutzt das auch. Du willst kein Paßwort mit weniger als 8 Zeichen, da es sonst nicht sicher ist. Diese acht Zeichen sollen aus Groß- *und* Kleinbuchstaben, Zahlen und Sonderzeichen bestehen. Bernd -- LILO funktioniert nicht? Hast Du /etc/lilo.conf verändert und vergessen, lilo aufzurufen? Ist Deine /boot-Partition unter der 1024 Zylindergrenze? Bei anderen LILO Problemen mal in der SDB nachschauen: http://localhost/doc/sdb/de/html/rb_bootdisk.html |Zufallssignatur 6
Tobias Geis schrieb am Thu, 25 Oct 2001 01:13:43 +0200: [SuSE 7.3] Benutzer anlegen - Yast1 erlaubt mehr ?!
Hi, ich habe mit "Yast2/Sicherheit&Benutzer/Bearbeiten und Anlegen Benutzern" versucht mehrere Benutzer anzulegen, die das gleiche Homeverzeichnis benutzen sollen. Yast2 hat sich beim 2 Nutzer geweigert, diesen anzulegen, da das gewählte Homeverzeichins schon mal benutzt wird. Das soll ja aber gerade so sein ! Ebenso ist Yast2 mit den Passwörtern recht pingelig (min 5 Zeichen).
In Yast1 konnte ich mehrere Benutzer anlegen, die das gleiche Homeverzeichnis nutzen. Auch konnte ich Passwörter mit <5 Zeichen vergeben.
Ist das normal ?
Hat es jemand geschaft mit Yast2 mehrere Benutzer anzulegen, die das gleiche Homeverzeichnis nutzen ?
Ciao Tobias
Hi, IMHO ging das bei yast1 früher (6.3) auch nicht, ist doch aber nun wirklich kein Problem! Lösung: Nutzer anlegen, Home-verzeichnis in /etc/passwd von Hand ändern (wenn das nicht zum völligen Durcheinander führen soll - wahrsacheinlich sollen die User ja auch die Dateien gemeinsam haben? - mußt Du auch die user-id gleichsetzen. Das "überflüssige" home-Verz. kannst Du ja löschen. Eigentlich ist es logisch, daß klicki-bunti nicht auch noch von vornherein jede Manipulation an sicherheitskritischen Bereichen zuläßt, das betrifft auch die mind. 5-Zeichen pwd. Schließlich soll Yast2 ja gerade den mausliebenden Win-Umsteigern ein halbwegs sicheres System schaffen. Wer nur mit der Maus administrieren (?) kann, dem sollte man schon ein paar Grenzen setzen ... (Du mußt Dich nicht persönlich angesprochen fühlen...) -- may the tux be with You! Joerg Thuemmler sysadmin@vordruckleitverlag.de Vordruck Leitverlag GmbH Berlin, ZNL Freiberg Halsbruecker Str. 31b, 09599 Freiberg, Germany Tel. +49 (0)3731/303121
* Joerg Thuemmler schrieb am 25.Okt.2001:
Lösung: Nutzer anlegen, Home-verzeichnis in /etc/passwd von Hand ändern (wenn das nicht zum völligen Durcheinander führen soll - wahrsacheinlich sollen die User ja auch die Dateien gemeinsam haben? - mußt Du auch die user-id gleichsetzen. Das "überflüssige" home-Verz. kannst Du ja löschen.
Dann ist es viel sinniger, einfach eine Zeile in /etc/passwd zu kopieren, und in /etc/shadow auch noch mal, und nur den Namen ändern. Wie es aber auch gemacht wird. Es ist letztendlich keine zwei User mit der gleichen UID, sondern ein User mit zwei Namen und zwei Paßwörter. Denn das System unterscheidet die User nur nach der UID. So steht z.B in der I-Node einer Datei die UID des Besitzers und nicht der Klarname. Wenn einer UID in der /etc/passwd zwei Namen zugeordnet sind, so ist es Zufall, welcher Name bei ls -l angezeigt wird. Damit meine ich nicht, daß jedesmal ein anderer angezeigt wird. Wahrscheinlich wird einfach der erste genommen, ausprobiert habe ich es aber nicht. Jedenfalls ist es gleich, wer von beiden die Datei angelegt hat, es wird immer der eine Name angezeigt. Bernd -- Bitte die Etikette beachten: http://home.t-online.de/~f.walle/etikette.html Bitte Realnamen angeben, kein Vollquoting, kein Html, PGP oder Visitenkarten benutzen. Signatur mit "-- " abtrennen, bei Antworten "Re: " voranstellen, sonst nichts. |Zufallssignatur 4
Bernd Brodesser schrieb am Thu, 25 Oct 2001 09:30:31 +0200: [SuSE 7.3] Benutzer anlegen - Yast1 erlaubt mehr ?!
* Joerg Thuemmler schrieb am 25.Okt.2001:
Lösung: Nutzer anlegen, Home-verzeichnis in /etc/passwd von Hand ändern (wenn das nicht zum völligen Durcheinander führen soll - wahrsacheinlich sollen die User ja auch die Dateien gemeinsam haben? - mußt Du auch die user-id gleichsetzen. Das "überflüssige" home-Verz. kannst Du ja löschen.
Dann ist es viel sinniger, einfach eine Zeile in /etc/passwd zu kopieren, und in /etc/shadow auch noch mal, und nur den Namen ändern.
ACK. Aber Leute, die mit Yast2 Benutzer managen, sollten wenigstens vipw für die /etc/passwd nehmen, vishadow gibts doch nicht! Außerdem kannst Du mit Deiner Methode keine verschiedenen Paßwörter für die user generieren, Deine user müssen ja schließlich nicht wissen, daß sie die gleiche uid haben... Dazu müßtest Du mindestens noch chpasswd aufrufen...
Wie es aber auch gemacht wird. Es ist letztendlich keine zwei User mit der gleichen UID, sondern ein User mit zwei Namen und zwei Paßwörter. Denn das System unterscheidet die User nur nach der UID. So steht z.B in der I-Node einer Datei die UID des Besitzers und nicht der Klarname. Wenn einer UID in der /etc/passwd zwei Namen zugeordnet sind, so ist es Zufall, welcher Name bei ls -l angezeigt wird. Damit meine ich nicht, daß jedesmal ein anderer angezeigt wird. Wahrscheinlich wird einfach der erste genommen, ausprobiert habe ich es aber nicht. Jedenfalls ist es gleich, wer von beiden die Datei angelegt hat, es wird immer der eine Name angezeigt.
Bernd
Ich glaube, das stimmt so nicht ganz. Sehr wohl "weiß" linux nämlich immer, welches Homeverzeichnis wem von beiden gehört (jedenfalls, falls derjenige eingeloggt ist) und zeigt Dateien immer als dem jeweilig eingeloggten Benutzer gehörig an, liest ein fremder Benutzer die Eigentümer (z.B. root), wird IMHO der _erste_ Benutzername lt. /etc/passwd genommen (sollte aus getpwent() folgen, oder wie der C-Call jetzt heißt...) whoami liefert im übrigen stets den korrekten Login-Namen. Ich nutze das in einer sehr speziellen Kombination, um verschiedene Terminal-Einstellungen und .netrc´s einfach unter den Hut zu bekommen, weil es unsere Datenbank (mit eigener Nutzerverwaltung) nicht so mag, wenn sie verschiedene uid hat... Zugegebenermaßen muß man - z.B. bei den .netrc´s ein bißchen aufpassen. Und es gibt IMHO keinen erkennbaren Sicherheitsmangel einer solchen Konfig, man muß nur wissen, was man tut und warum. -- may the tux be with You! Joerg Thuemmler sysadmin@vordruckleitverlag.de Vordruck Leitverlag GmbH Berlin, ZNL Freiberg Halsbruecker Str. 31b, 09599 Freiberg, Germany Tel. +49 (0)3731/303121
* Joerg Thuemmler schrieb am 26.Okt.2001:
Bernd Brodesser schrieb am Thu, 25 Oct 2001 09:30:31 +0200:
Wie es aber auch gemacht wird. Es ist letztendlich keine zwei User mit der gleichen UID, sondern ein User mit zwei Namen und zwei Paßwörter. Denn das System unterscheidet die User nur nach der UID. So steht z.B in der I-Node einer Datei die UID des Besitzers und nicht der Klarname. Wenn einer UID in der /etc/passwd zwei Namen zugeordnet sind, so ist es Zufall, welcher Name bei ls -l angezeigt wird. Damit meine ich nicht, daß jedesmal ein anderer angezeigt wird. Wahrscheinlich wird einfach der erste genommen, ausprobiert habe ich es aber nicht. Jedenfalls ist es gleich, wer von beiden die Datei angelegt hat, es wird immer der eine Name angezeigt.
Ich glaube, das stimmt so nicht ganz. Sehr wohl "weiß" linux nämlich immer, welches Homeverzeichnis wem von beiden gehört
Beim Einloggen wird der eingegebene Name mit /etc/passwd verglichen. Die Umgebungsvariable $HOME bekommt den Eintrag im sechsten Feld. /etc/passwd, /etc/shadow sind aber auch die einzigen Stellen, wo der Klarname auftaucht.
(jedenfalls, falls derjenige eingeloggt ist) und zeigt Dateien immer als dem jeweilig eingeloggten Benutzer gehörig an, liest ein
Ja, kann schon sein, aber es ist nicht möglich dem einen irgend ein Recht zu geben, dem anderen nicht.
fremder Benutzer die Eigentümer (z.B. root), wird IMHO der _erste_ Benutzername lt. /etc/passwd genommen (sollte aus getpwent() folgen, oder wie der C-Call jetzt heißt...) whoami liefert im übrigen stets den korrekten Login-Namen.
Es wird aus /var/run/utmp gelesen, dort wird der Loginname abgelegt.
Ich nutze das in einer sehr speziellen Kombination, um verschiedene Terminal-Einstellungen und .netrc´s einfach unter den Hut zu bekommen, weil es unsere Datenbank (mit eigener Nutzerverwaltung) nicht so mag, wenn sie verschiedene uid hat... Zugegebenermaßen muß man - z.B. bei den .netrc´s ein bißchen aufpassen. Und es gibt IMHO keinen erkennbaren Sicherheitsmangel einer solchen Konfig, man muß nur wissen, was man tut und warum.
Bist Du Dir da sicher? Bernd -- Bitte die Etikette beachten: http://home.t-online.de/~f.walle/etikette.html Bitte Realnamen angeben, kein Vollquoting, kein Html, PGP oder Visitenkarten benutzen. Signatur mit "-- " abtrennen, bei Antworten "Re: " voranstellen, sonst nichts. |Zufallssignatur 4
Bernd Brodesser schrieb am Fri, 26 Oct 2001 09:16:27 +0200: [SuSE 7.3] Benutzer anlegen - Yast1 erlaubt mehr ?!
* Joerg Thuemmler schrieb am 26.Okt.2001:
Bernd Brodesser schrieb am Thu, 25 Oct 2001 09:30:31 +0200:
Wie es aber auch gemacht wird....
Beim Einloggen wird der eingegebene Name mit /etc/passwd verglichen. Die Umgebungsvariable $HOME bekommt den Eintrag im sechsten Feld. /etc/passwd, /etc/shadow sind aber auch die einzigen Stellen, wo der Klarname auftaucht.
ACK
(jedenfalls, falls derjenige eingeloggt ist) und zeigt Dateien immer als dem jeweilig eingeloggten Benutzer gehörig an, liest ein
Ja, kann schon sein, aber es ist nicht möglich dem einen irgend ein Recht zu geben, dem anderen nicht.
ACK
Es wird aus /var/run/utmp gelesen, dort wird der Loginname abgelegt.
AFAIK ja
Ich nutze das in einer sehr speziellen Kombination, um verschiedene Terminal-Einstellungen und .netrc´s einfach unter den Hut zu bekommen, weil es unsere Datenbank (mit eigener Nutzerverwaltung) nicht so mag, wenn sie verschiedene uid hat... Zugegebenermaßen muß man - z.B. bei den .netrc´s ein bißchen aufpassen. Und es gibt IMHO keinen erkennbaren Sicherheitsmangel einer solchen Konfig, man muß nur wissen, was man tut und warum.
Bist Du Dir da sicher?
Sicher... wer ist schon sicher... ich halte es, unter der Voraussetzung, daß die user letztendlich dasselbe auf dem Server dürfen und die speziellen Abweichungen mehr oder weniger aus Ort und Art des Clients herrühren, für sicher... Aber, wenn Du einen ernsten Mangel siehst, einem erfahrenen Linuxer (für den ich Dich wohl nicht zu Unrecht halte...) bin ich für jeden Hinweis dankbar! -- may the tux be with You! Joerg Thuemmler sysadmin@vordruckleitverlag.de Vordruck Leitverlag GmbH Berlin, ZNL Freiberg Halsbruecker Str. 31b, 09599 Freiberg, Germany Tel. +49 (0)3731/303121
* Joerg Thuemmler schrieb am 26.Okt.2001:
Bernd Brodesser schrieb am Fri, 26 Oct 2001 09:16:27 +0200:
* Joerg Thuemmler schrieb am 26.Okt.2001:
Ich nutze das in einer sehr speziellen Kombination, um verschiedene Terminal-Einstellungen und .netrc´s einfach unter den Hut zu bekommen, weil es unsere Datenbank (mit eigener Nutzerverwaltung) nicht so mag, wenn sie verschiedene uid hat... Zugegebenermaßen muß man - z.B. bei den .netrc´s ein bißchen aufpassen. Und es gibt IMHO keinen erkennbaren Sicherheitsmangel einer solchen Konfig, man muß nur wissen, was man tut und warum.
Bist Du Dir da sicher?
Sicher... wer ist schon sicher... ich halte es, unter der Voraussetzung, daß die user letztendlich dasselbe auf dem Server dürfen und die speziellen Abweichungen mehr oder weniger aus Ort und Art des Clients herrühren, für sicher...
Aber, wenn Du einen ernsten Mangel siehst, einem erfahrenen Linuxer (für den ich Dich wohl nicht zu Unrecht halte...) bin ich für jeden Hinweis dankbar!
Nun zu Deiner Datenbank kann ich Dir wohl kaum etwas sagen. Finde es aber merkwürdig, daß sie nicht verschiedene UID verwalten kann. Ist da nichts mit GRANT zu machen? Ansonsten kann man viel mit Gruppen machen. Bernd -- Probleme mit dem Drucker? Schon die Druckercheckliste beachtet? http://localhost/doc/sdb/de/html/drucker-howto.html | Auch lesenswert: Oder schon das Drucker-HOWTO gelesen? | man lpr file://usr/shar/doc/howto/de/DE-Drucker-HOWTO.txt.gz | Zufallssignatur 3
Bernd Brodesser schrieb am Fri, 26 Oct 2001 11:53:25 +0200: [SuSE 7.3] Benutzer anlegen - Yast1 erlaubt mehr ?! ..
Nun zu Deiner Datenbank kann ich Dir wohl kaum etwas sagen. Finde es aber merkwürdig, daß sie nicht verschiedene UID verwalten kann. Ist da nichts mit GRANT zu machen?
Ansonsten kann man viel mit Gruppen machen.
Bernd
Sicher könnte man das alles über Gruppen regeln. Aber ich sehe den Sinn nicht so recht - alle Gruppenmitglieder müssen dann mit mit den gleichen Rechten bzgl. der Datendateien ausgestattet werden, lediglich ein paar Umgebungsvariablen - Terminal etc. sind anders, dann verschiebe ich doch das Problem auch bloß um eine Ebene. Shells werden eh´ nicht genutzt und die Rechte an bestimmten Programmen und Daten verwaltet die DB ja selbst... -- may the tux be with You! Joerg Thuemmler sysadmin@vordruckleitverlag.de Vordruck Leitverlag GmbH Berlin, ZNL Freiberg Halsbruecker Str. 31b, 09599 Freiberg, Germany Tel. +49 (0)3731/303121
Hallo Tobias, Tobias Geis schrieb:
Hi, ich habe mit "Yast2/Sicherheit&Benutzer/Bearbeiten und Anlegen Benutzern" versucht mehrere Benutzer anzulegen, die das gleiche Homeverzeichnis benutzen sollen.
Wozu? Ohne dir zu nahe treten zu wollen, aber wenn man ein Verzeichnis mehreren Benutzern gleichzeitig zur Verfügung stellen will, macht man eine Gruppe, weist dieser Gruppe ein Verzeichnis zu und gut ist. Im ~-Verzeichnis stehen persönliche Daten und Einstellungen. Das Chaos ist damit vorprogrammiert. Solltest du diese Art der System- Administration fort führen, werden dich IMHO bald die Probleme einholen.
Ciao Tobias
Gruß Thomas -- ./no_signature
Hi,
Hallo Tobias,
Tobias Geis schrieb:
Hi, ich habe mit "Yast2/Sicherheit&Benutzer/Bearbeiten und Anlegen Benutzern" versucht mehrere Benutzer anzulegen, die das gleiche Homeverzeichnis benutzen sollen.
Wozu? Ohne dir zu nahe treten zu wollen, aber wenn man ein Verzeichnis mehreren Benutzern gleichzeitig zur Verfügung stellen will, macht man eine Gruppe, weist dieser Gruppe ein Verzeichnis zu und gut ist. Im ~-Verzeichnis stehen persönliche Daten und Einstellungen. Das Chaos ist damit vorprogrammiert. Solltest du diese Art der System- Administration fort führen, werden dich IMHO bald die Probleme einholen.
Ich habe eine FTP-Server laufen, und ich habe Benutzer mit der Hauptgruppe "ftpuser" angelegt. Das ist auch die einzige GRuppe in der sie drin sind. Nun habe ich jedem dieser "ftpuser" das gleiche Homeverzeichnis zugeordnet, damit ich nicht so viele verschieden eHomeverz. auf der Platte habe. Ciao Tobias -- GMX - Die Kommunikationsplattform im Internet. http://www.gmx.net
Hallo Tobias, * Tobias Geis schrieb am 25.Okt.2001: bitte alle Vorredner, die Du zitierst, erwähnen, so wie hier. (Ich laß es mal stehen, obwohl ich das Zitat weggenommen habe.)
Tobias Geis schrieb:
Ich habe eine FTP-Server laufen, und ich habe Benutzer mit der Hauptgruppe "ftpuser" angelegt. Das ist auch die einzige GRuppe in der sie drin sind. Nun habe ich jedem dieser "ftpuser" das gleiche Homeverzeichnis zugeordnet, damit ich nicht so viele verschieden eHomeverz. auf der Platte habe.
Äh, wie groß ist Deine Platte? Kleiner als 10 MB? Oder warum muß Du soviel Platz sparen, daß Du noch nicht mal ein paar Homepages anlegen kanst? Die nehmen doch so gut wie keinen Platz weg. Oder brauchst Du einen anonymen ftp-user, das ist was ganz anderes. Bernd -- Probleme mit dem Drucker? Schon die Druckercheckliste beachtet? http://localhost/doc/sdb/de/html/drucker-howto.html | Auch lesenswert: Oder schon das Drucker-HOWTO gelesen? | man lpr file://usr/shar/doc/howto/de/DE-Drucker-HOWTO.txt.gz | Zufallssignatur 3
Hallo Tobias, Hallo Liste, Tobias Geis wrote: Thursday, October 25, 2001 1:13 AM Subject: [SuSE 7.3] Benutzer anlegen - Yast1 erlaubt mehr ?!
Hi, ich habe mit "Yast2/Sicherheit&Benutzer/Bearbeiten und Anlegen Benutzern" versucht mehrere Benutzer anzulegen, die das gleiche Homeverzeichnis benutzen sollen.
Warum willst Du das Sicherheitskonzept aushebeln?
Yast2 hat sich beim 2 Nutzer geweigert, diesen anzulegen, da das gewählte Homeverzeichins schon mal benutzt wird. Das soll ja aber gerade so sein ! Ebenso ist Yast2 mit den Passwörtern recht pingelig (min 5 Zeichen).
Suse hat anscheinend den Verschlüsselungsalgorithmus geändert (MD5?). Debian hat das schon länger.
In Yast1 konnte ich mehrere Benutzer anlegen, die das gleiche Homeverzeichnis nutzen. Auch konnte ich Passwörter mit <5 Zeichen vergeben.
Ist halt noch der alte Verschlüsselungsalgorithmus.
Ist das normal ?
Jau.
Hat es jemand geschaft mit Yast2 mehrere Benutzer anzulegen, die das gleiche Homeverzeichnis nutzen ?
Würde mich wundern. Mal zum allgemeinen Verständnis der Sicherheitsphilosophie unter Unix-Systemen (Linux, Minix, Open-Step, BSD ...). Ich richte mich an alle Newbies. Unix (nehme ich jetzt stellvertretend für Unix, Linux, Mandrake - was auch Linux is - und alle anderen Derivate) ist ein Server-Betriebssystem. Der Multimedia-Kram ist zwar ganz nett, ist aber erst jüngeren Datums und verglichen mit Win 95/98 etwas umständlich zu handhaben (obwohl die Nürnberger sich echt bemühen). Zurück zum Thema. In einem Serverumfeld ist es absolut undenkbar (obwohl möglich) das ein Sysadmin die Benutzerdaten öffentlich zugänglich macht (oder willst Du, dass Dein Chef Deine Liebesbriefe/Bewerbungen an die Konkurrenz liest - nur so als Beispiel). Damit zB. Projekt-Teams Zugriff auf Dateien erhalten, die eigentlich jemand anderem gehören (von jemand anderem erstellt wurden), die aber alle angehen, wurde dann der Trick mit der Gruppenverwaltung eingeführt. Projekt-Teams/Abteilungen bekommen ein eigenes Verzeichnis, wo sie schalten und walten können, wie sie wollen. Die persönlichen Daten bleiben geschützt. Bevor Ihr, liebe Newbies, Euch an Benutzerverwaltung macht, solltet ihr Euch ein wenig mit der Sicherheitsphilosophie von Unix befassen (das Handbuch gibt da ganz nette Hinweise). Liebe erfahreneren Pinguine, legt bitte nicht alles auf die Goldwaage, was da oben steht. Ich habe es bewußt einfach gehalten, da das Thema eine Mail bequem sprengen würde (gibt nicht umsonst tonnenweise Literatur zu genau diesem Thema). Wär aber schön, wenn der eine oder andere noch etwas ergänzen würde. Gruß Guido
>>>>>>>>>>>> Ursprüngliche Nachricht <<<<<<<<<<<<<<<<<<
Am 25.10.01, 20:10:31, schrieb Guido Schiffer
Hallo Tobias, Hallo Liste,
Tobias Geis wrote: Thursday, October 25, 2001 1:13 AM Subject: [SuSE 7.3] Benutzer anlegen - Yast1 erlaubt mehr ?!
Hi, ich habe mit "Yast2/Sicherheit&Benutzer/Bearbeiten und Anlegen Benutzern" versucht mehrere Benutzer anzulegen, die das gleiche Homeverzeichnis benutzen sollen.
Warum willst Du das Sicherheitskonzept aushebeln?
Yast2 hat sich beim 2 Nutzer geweigert, diesen anzulegen, da das gewählte Homeverzeichins schon mal benutzt wird. Das soll ja aber gerade so sein !
[...]
Zurück zum Thema. In einem Serverumfeld ist es absolut undenkbar (obwohl möglich) das ein Sysadmin die Benutzerdaten öffentlich zugänglich macht (oder willst Du, dass Dein Chef Deine Liebesbriefe/Bewerbungen an die Konkurrenz liest - nur so als Beispiel). Damit zB. Projekt-Teams Zugriff auf Dateien erhalten, die eigentlich jemand anderem gehören (von jemand anderem erstellt wurden), die aber alle angehen, wurde dann der Trick mit der Gruppenverwaltung eingeführt. Projekt-Teams/Abteilungen bekommen ein eigenes Verzeichnis, wo sie schalten und walten können, wie sie wollen. Die persönlichen Daten bleiben geschützt.
Nunja, das stimmt. Letztendlich hat aber immer noch einer (oder mehrer) Zugang zu den !gesamten! Daten eines Anwenders: Der/Die Adminins! Drum ist es immer so eine Sache, private Daten auf Home-Verzeichnissen der Unternehmensserver zu halten. Natürlich darf der Admin sich diese Daten nicht zugänglich machen (Datenschutzt), will aber nicht sicher gehen, das dies der Eine oder Andere vielleicht dochmal macht - sich dabei aber nicht erwischen lassen darf. Zumal werden i. d. R. Backups (tägl., wöchentl, monatl.) gemacht und die Daten ggf. über Jahre hinweg gesichert. Somit weis der User letztendlich nie, ob, wann und wie auf seine Daten zugegriffen wird. Auch, nachdem err vielleicht aus dem Unternehmen ausgeschieden ist! Dies ist gängige und zulässige Praxis. Die Fehlerquelle der Mensch letztendlich selbst. Mit freundlichen Grüßen, Martin
Hallo Martin, Hallo Liste, Martin Pitsch wrote: Thursday, October 25, 2001 8:54 PM Subject: Re: [SuSE 7.3] Benutzer anlegen - Yast1 erlaubt mehr ?!
Hi, ich habe mit "Yast2/Sicherheit&Benutzer/Bearbeiten und Anlegen Benutzern" versucht mehrere Benutzer anzulegen, die das gleiche Homeverzeichnis benutzen sollen.
Warum willst Du das Sicherheitskonzept aushebeln?
Yast2 hat sich beim 2 Nutzer geweigert, diesen anzulegen, da das gewählte Homeverzeichins schon mal benutzt wird. Das soll ja aber gerade so sein !
[...]
Zurück zum Thema. In einem Serverumfeld ist es absolut undenkbar (obwohl möglich) das ein Sysadmin die Benutzerdaten öffentlich zugänglich macht (oder willst Du, dass Dein Chef Deine Liebesbriefe/Bewerbungen an die Konkurrenz liest - nur so als Beispiel). Damit zB. Projekt-Teams Zugriff auf Dateien erhalten, die eigentlich jemand anderem gehören (von jemand anderem erstellt wurden), die aber alle angehen, wurde dann der Trick mit der Gruppenverwaltung eingeführt. Projekt-Teams/Abteilungen bekommen ein eigenes Verzeichnis, wo sie schalten und walten können, wie sie wollen. Die persönlichen Daten bleiben geschützt.
Nunja, das stimmt. Letztendlich hat aber immer noch einer (oder mehrer) Zugang zu den !gesamten! Daten eines Anwenders: Der/Die Adminins!
Im Unix-Umfeld stimmt das.
Drum ist es immer so eine Sache, private Daten auf Home-Verzeichnissen der Unternehmensserver zu halten.
ACK, aber es gibt noch andere Daten (Personaldaten, Buchhaltung, Kalkulation)
Natürlich darf der Admin sich diese Daten nicht zugänglich machen (Datenschutzt), will aber nicht sicher gehen, das dies der Eine oder Andere vielleicht dochmal macht - sich dabei aber nicht erwischen lassen darf.
Machen die das wirklich? SCND :-) AFAIK kann man den Admin aber mit z.B. Domino als File-Server aussperren (im Umkehrschluß die User vom System fernhalten - kost aber wie gesagt richtig vieckig Dollars).
Zumal werden i. d. R. Backups (tägl., wöchentl, monatl.) gemacht und die Daten ggf. über Jahre hinweg gesichert. Somit weis der User letztendlich nie, ob, wann und wie auf seine Daten zugegriffen wird. Auch, nachdem err vielleicht aus dem Unternehmen ausgeschieden ist!
Dies ist gängige und zulässige Praxis. Die Fehlerquelle der Mensch letztendlich selbst.
Leider. Willst Du Fehler vermeiden, vermeide Dich selbst (frei nach T. Hobbes: der Mensch ist des Menschen Wolf). Gruß Guido
participants (6)
-
B.Brodesser@t-online.de -
Guido Schiffer -
Joerg Thuemmler -
Martin Pitsch -
Thomas Schürmann -
Tobias Geis