hi, kann man eigentlich die kompletten einstellungen eines users auf einen anderen übertragen? z.b. will ich einem neuen user anlegen, der aber diesselben programme/einstellungen (mail) und rechte hat wie ich. oder alles von hand richten? gruss andi -- Andreas Reinhold andi@nose-down.de http://www.nose-down.de
On Sun, 30 Dec 2001 the mental interface of Andreas Reinhold told:
hi, Hi! kann man eigentlich die kompletten einstellungen eines users auf einen anderen übertragen? z.b. will ich einem neuen user anlegen, der aber diesselben programme/einstellungen (mail) und rechte hat wie ich. oder alles von hand richten? Wenn Du all Deine Konfigurationen in Deinem Homeverzeichnis /home/userdu oder wie auch immer angelegt hast kannst Du als root das komplette Verzeichnis mit cp -r nach /home/userneu kopieren. Danach mit yast(2) den neuen user anlegen und das schon vorbereitete /home/userneu als home Verzeichnis angeben. Nun musst du ebenfalls als root den Eigentümer in /home/userneu noch mit chown -R userneu:users /home/userneu/ übertragen. Der Parameter -R überträgt in alle Unterverzeichnisse! Die Usernamen und die Gruppenzugehörigkeit (userneu:users) =uid:gid obliegen natürlich Deiner Wahl!
Guten Rutsch und ciao Elimar -- .~. /V\ L I N U X // \\ >Phear the Penguin< /( )\ ^^-^^ --
From: "Elimar Riesebieter" <elimar.riesebieter@t-online.de> Sent: Sunday, December 30, 2001 11:11 AM Subject: Re: user übertragen ? On Sun, 30 Dec 2001 the mental interface of Andreas Reinhold told:
hi, Hi!
Hallo !
kann man eigentlich die kompletten einstellungen eines users auf einen anderen übertragen? z.b. will ich einem neuen user anlegen, der aber diesselben programme/einstellungen (mail) und rechte hat wie ich. oder alles von hand richten? Wenn Du all Deine Konfigurationen in Deinem Homeverzeichnis /home/userdu oder wie auch immer angelegt hast kannst Du als root das komplette Verzeichnis mit cp -r nach /home/userneu kopieren. Danach mit yast(2) den neuen user anlegen und das schon vorbereitete /home/userneu als home Verzeichnis angeben. Nun musst du ebenfalls als root den Eigentümer in /home/userneu noch mit chown -R userneu:users /home/userneu/ übertragen. Der Parameter -R überträgt in alle Unterverzeichnisse! Die Usernamen und die Gruppenzugehörigkeit (userneu:users) =uid:gid obliegen natürlich Deiner Wahl!
So wie von Elimar gerade beschrieben würde ich das wahrscheinlich auch anstellen. Nehmen wir aba mal an in den Homeverzeichnis des Quellusers ist ne Datei die jemanden anderes gehört (z.B. konnte sich der ein chmod mit den Rechten 7755 des Users root irgendwann mal aneignen). Gut nun hat er das chmod, nur beim kopieren könnte dies evtl. verloren gehen (jedenfalls die User:Gid Beziehung). Spätestens geht das dann bei einem chown verloren. Gibt es nicht eine Möglichkeit etwas zu kopieren, wo die Zieldaten nicht die Eigenschaften des jeweiligen Users annehmen der gerade kopiert?
Guten Rutsch und
ciao
Elimar
Guten Rutsch & mfg Frank _________________________________________________________ Do You Yahoo!? Get your free @yahoo.com address at http://mail.yahoo.com
Hallo, * On Sun, Dec 30, 2001 at 12:32:21PM +0100, Frank Schmidt wrote:
From: "Elimar Riesebieter" <elimar.riesebieter@t-online.de> Sent: Sunday, December 30, 2001 11:11 AM Subject: Re: user übertragen ?
On Sun, 30 Dec 2001 the mental interface of Andreas Reinhold told: Spätestens geht das dann bei einem chown verloren. Gibt es nicht eine Möglichkeit etwas zu kopieren, wo die Zieldaten nicht die Eigenschaften des jeweiligen Users annehmen der gerade kopiert?
Meinst du sowas wie "umask" ? Oder man nutzt find fuer sowas: Bsp. $ find /home/user -type f | xargs -0 chown user:gruppe $ find /home/user -type f | xargs -0 chmod 640
Guten Rutsch und
Wuensch ich auch allen ... MfG, Clemens -- Der Befehl "list" oder "last <user>" listet alle logins der letzten Tage aus dem file "wtmp" auf. [ Info: man wtmp man list]
On Sun, 30 Dec 2001 the mental interface of Frank Schmidt told:
From: "Elimar Riesebieter" <elimar.riesebieter@t-online.de> Sent: Sunday, December 30, 2001 11:11 AM Subject: Re: user übertragen ?
On Sun, 30 Dec 2001 the mental interface of Andreas Reinhold told:
hi, Hi!
Hallo !
kann man eigentlich die kompletten einstellungen eines users auf einen anderen übertragen? z.b. will ich einem neuen user anlegen, der aber diesselben programme/einstellungen (mail) und rechte hat wie ich. oder alles von hand richten? Wenn Du all Deine Konfigurationen in Deinem Homeverzeichnis /home/userdu oder wie auch immer angelegt hast kannst Du als root das komplette Verzeichnis mit cp -r nach /home/userneu kopieren. Danach mit yast(2) den neuen user anlegen und das schon vorbereitete /home/userneu als home Verzeichnis angeben. Nun musst du ebenfalls als root den Eigentümer in /home/userneu noch mit chown -R userneu:users /home/userneu/ übertragen. Der Parameter -R überträgt in alle Unterverzeichnisse! Die Usernamen und die Gruppenzugehörigkeit (userneu:users) =uid:gid obliegen natürlich Deiner Wahl!
So wie von Elimar gerade beschrieben würde ich das wahrscheinlich auch anstellen. Nehmen wir aba mal an in den Homeverzeichnis des Quellusers ist ne Datei die jemanden anderes gehört (z.B. konnte sich der ein chmod mit den Rechten 7755 des Users root irgendwann mal aneignen). Gut nun hat er das chmod, nur beim kopieren könnte dies evtl. verloren gehen (jedenfalls die User:Gid Beziehung). Spätestens geht das dann bei einem chown verloren. Gibt es nicht eine Möglichkeit etwas zu kopieren, wo die Zieldaten nicht die Eigenschaften des jeweiligen Users annehmen der gerade kopiert? Home verzeichnis ist halt Homeverzeichnis! Hier gehören nur Daten rein die dem Besitzer des Homeverzeichnisses auch gehören!! ~/user sollte immer 700 haben!!
insgesamt 22 drwxr-xr-x 8 root root 183 Dez 1 16:43 . drwxr-xr-x 5 root root 78 Dez 27 20:58 .. drwx------ 33 user1 users 2915 Dez 30 12:12 user1 drwx------ 21 user2 users 1749 Dez 30 08:58 user2 drwx------ 25 user3 users 1976 Dez 30 08:59 user3 drwx------ 36 user4 users 2437 Dez 30 09:11 user4 drwx------ 83 user5 users 7296 Dez 30 12:50 user5 Ciao Elimar -- Alles was viel bedacht wird ist bedenklich!;-) Friedrich Nietzsche --
* Elimar Riesebieter schrieb am 30.Dez.2001:
Home verzeichnis ist halt Homeverzeichnis! Hier gehören nur Daten rein die dem Besitzer des Homeverzeichnisses auch gehören!! ~/user sollte immer 700 haben!!
Wieso das denn? Wenn mal ein Mitarbeiter in Urlaub ist, oder sonst nicht gerade da, kann es sehr wichtig sein, daß ein anderer Mitarbeiter auf die Daten des ersten zugreifen kann. Als Sysadmin hat man schon genug damit zu kämpfen, daß sich die Kollegen nicht ihre Paßwörter austauschen, wenn man die User die Rechte 700 gibt, dann zwingt man sie gerade zu solcher Handlung. Bernd -- LILO funktioniert nicht? Hast Du /etc/lilo.conf verändert und vergessen, lilo aufzurufen? Ist Deine /boot-Partition unter der 1024 Zylindergrenze? Bei anderen LILO Problemen mal in der SDB nachschauen: http://localhost/doc/sdb/de/html/rb_bootdisk.html |Zufallssignatur 6
Am Sonntag, 30. Dezember 2001 14:31 schrieb Bernd Brodesser:
Wieso das denn? Wenn mal ein Mitarbeiter in Urlaub ist, oder sonst nicht gerade da, kann es sehr wichtig sein, daß ein anderer Mitarbeiter auf die Daten des ersten zugreifen kann. Als Sysadmin hat man schon genug damit zu kämpfen, daß sich die Kollegen nicht ihre Paßwörter austauschen, wenn man die User die Rechte 700 gibt, dann zwingt man sie gerade zu solcher Handlung.
Das halte ich aber für Datenschutzrechtlich höchst bedenklich. An den Daten eines Mitarbeiters hat erstmal keiner rumzufingern, wenn er Sachen zu bearbeiten hat die andere brauchen dann gehören die nicht in sein privates Home sondern in ein gemeinsames Share. Zugriff auf das Homedir eines Mitarbeiters sollte es nur mit konkreter Einzelfall-Zustimmung des Betriebsrates geben, das könnte sonst böse ins Auge gehen. -- Erhard Schwenk http://www.fto.de - http://www.akkordeonjugend.de
* Erhard Schwenk schrieb am 30.Dez.2001:
Am Sonntag, 30. Dezember 2001 14:31 schrieb Bernd Brodesser:
Wieso das denn? Wenn mal ein Mitarbeiter in Urlaub ist, oder sonst nicht gerade da, kann es sehr wichtig sein, daß ein anderer Mitarbeiter auf die Daten des ersten zugreifen kann. Als Sysadmin hat man schon genug damit zu kämpfen, daß sich die Kollegen nicht ihre Paßwörter austauschen, wenn man die User die Rechte 700 gibt, dann zwingt man sie gerade zu solcher Handlung.
Das halte ich aber für Datenschutzrechtlich höchst bedenklich. An den Daten eines Mitarbeiters hat erstmal keiner rumzufingern, wenn er Sachen zu bearbeiten hat die andere brauchen dann gehören die nicht in sein privates Home sondern in ein gemeinsames Share.
Zugriff auf das Homedir eines Mitarbeiters sollte es nur mit konkreter Einzelfall-Zustimmung des Betriebsrates geben, das könnte sonst böse ins Auge gehen.
Wie ich die Dateien organisiere hat erst mal nichts mit Datenschutz zu tun. Wenn ich sage, ich richt hier und hier einen Bereich ein, wo jeder seine privaten Sachen haben kann, dann darf ich da auch nicht mehr ran, daß ist klar. Aber wenn ich sage, auf dem Rechner gibt es keinen privaten Bereich, dann verstößt das auch nicht gegen Datenschutz. Es ist ein Unterschied, ob ich einen Rechner betreue, auf dem Programmierer Programme erstellen, oder ob ich ein Rechner betreue, auf dem Schreibkräfte Briefe, Rechnungen und ähnliches erstellen. Denen erklärst Du mal, was ein gemeinsamer Share ist. Klar, kann man ihnen einrichten. Dann hat man irgendwo ein übergeordnetes Verzeichniß, unter der jede Sekritärin ihren eigenen Bereich hat, wo sie ihre Dokumente erstellt, aber jede andere auch zugreifen kann um die Sachen der Kollegin zu bearbeiten, falls sie mal nicht da ist. Das kann man dann auch getroßt /home nennen. Wenn allerdings der User ein eigenen zugesicherten persönlichen Bereich hat, dann darf man selbstverständlich nicht darauf zugreifen. Allerdings wäre ich da als Sysadmin auch vorsichtig sowas zuzusichern. Wenn ich feststelle, daß jemand eine übergroße Datei hat, dann möchte ich gerne wissen was da drin ist. Sonst laufen die Verzeichnisse schnell über. Auch hier ist es ein Unterschied, ob ich ein Rechner mit vielen oder mit wenigen User betreue. Sind es viele User, so bleibt mir so oder so nichts anderes über als feste quotas zu setzen. Sind es hingegen nur eine Handvoll User, so bringt das meist nicht, weil dann ständig einer ankommt, ob er nicht noch ein wenig mehr haben dürfte, und wenn das denn auch noch der Chef ist, der da ankommt, hat man als Sysadmin ein Problem. Bernd -- Probleme mit dem Drucker? Schon die Druckercheckliste beachtet? http://localhost/doc/sdb/de/html/drucker-howto.html | Auch lesenswert: Oder schon das Drucker-HOWTO gelesen? | man lpr file://usr/shar/doc/howto/de/DE-Drucker-HOWTO.txt.gz | Zufallssignatur 3
Bernd Brodesser wrote:
Wie ich die Dateien organisiere hat erst mal nichts mit Datenschutz zu tun. Wenn ich sage, ich richt hier und hier einen Bereich ein, wo jeder seine privaten Sachen haben kann, dann darf ich da auch nicht mehr ran, daß ist klar. Aber wenn ich sage, auf dem Rechner gibt es keinen privaten Bereich, dann verstößt das auch nicht gegen Datenschutz.
Naja, da wär' ich mir nicht so sicher...
Es ist ein Unterschied, ob ich einen Rechner betreue, auf dem Programmierer Programme erstellen, oder ob ich ein Rechner betreue, auf dem Schreibkräfte Briefe, Rechnungen und ähnliches erstellen. Denen erklärst Du mal, was ein gemeinsamer Share ist. Klar, kann man ihnen einrichten. Dann hat man irgendwo ein übergeordnetes Verzeichniß, unter der jede Sekritärin ihren eigenen Bereich hat, wo sie ihre Dokumente erstellt, aber jede andere auch zugreifen kann um die Sachen der Kollegin zu bearbeiten, falls sie mal nicht da ist. Das kann man dann auch getroßt /home nennen.
ACK.
Wenn allerdings der User ein eigenen zugesicherten persönlichen Bereich hat, dann darf man selbstverständlich nicht darauf zugreifen.
ACK.
Allerdings wäre ich da als Sysadmin auch vorsichtig sowas zuzusichern. Wenn ich feststelle, daß jemand eine übergroße Datei hat, dann möchte ich gerne wissen was da drin ist. Sonst laufen die Verzeichnisse schnell über. Auch hier ist es ein Unterschied, ob ich ein Rechner mit vielen
Das kannst Du doch auch bei 700 machen, du bist dann ja schließlich root und kannst schauen was das für eine Datei ist (mehr dann aber auch nicht)
oder mit wenigen User betreue. Sind es viele User, so bleibt mir so oder so nichts anderes über als feste quotas zu setzen. Sind es hingegen nur eine Handvoll User, so bringt das meist nicht, weil dann ständig einer ankommt, ob er nicht noch ein wenig mehr haben dürfte, und
Hehe. *g*
wenn das denn auch noch der Chef ist, der da ankommt, hat man als Sysadmin ein Problem.
Das stimmt allerdings, obwohl es bestimmt Admins gibt, die Quotas nicht extra für den Chef erhöhen erweitern oder sonstwas. In manchen Fällen mag es jedoch sinnvoll sein. Kommt auf den Einzelfall an und warum der Chef mehr Platz braucht. So würde ich es (voraussichtlich) zumindest handhaben, wenn ich mal root außerhalb meines eigenen Rechners bin... Rene -- Omnis enim res, quae dando non deficit, dum habetur et non datur, nondum habetur, quomodo habenda est [Aurelius Augustinus, 4. Jhd] Erklärung und Übsersetzung: http://fsfeurope.org/order/ öffentlicher GnuPG-Schlüssel: Mail an gnupgkey@rene-engelhard.de
* Rene Engelhard schrieb am 31.Dez.2001:
Bernd Brodesser wrote:
Wie ich die Dateien organisiere hat erst mal nichts mit Datenschutz zu tun. Wenn ich sage, ich richt hier und hier einen Bereich ein, wo jeder seine privaten Sachen haben kann, dann darf ich da auch nicht mehr ran, daß ist klar. Aber wenn ich sage, auf dem Rechner gibt es keinen privaten Bereich, dann verstößt das auch nicht gegen Datenschutz.
Naja, da wär' ich mir nicht so sicher...
Ach, meinst Du in einem Gesetz steht drin, daß man nicht in /home nachschauen darf? Da steht höchstens drin, daß man nicht private Dateien lesen darf. Was privat ist, und was nicht, kann doch das Unternehmen entscheiden. Natürlich kann es nicht jede Woche umentscheiden. Aber wenn es von vorneherein klar ist, das in /home nichts privates gehört.
Allerdings wäre ich da als Sysadmin auch vorsichtig sowas zuzusichern. Wenn ich feststelle, daß jemand eine übergroße Datei hat, dann möchte ich gerne wissen was da drin ist. Sonst laufen die Verzeichnisse schnell über. Auch hier ist es ein Unterschied, ob ich ein Rechner mit vielen
Das kannst Du doch auch bei 700 machen, du bist dann ja schließlich root und kannst schauen was das für eine Datei ist (mehr dann aber auch nicht)
Das allerdings würde massiv gegen Datenschutzrechte verstoßen. Wenn ein User einen privaten Bereich hat, so habe ich ihm auch als Sysadmin zu achten.
wenn das denn auch noch der Chef ist, der da ankommt, hat man als Sysadmin ein Problem.
Das stimmt allerdings, obwohl es bestimmt Admins gibt, die Quotas nicht extra für den Chef erhöhen erweitern oder sonstwas. In manchen Fällen mag es jedoch sinnvoll sein.
Es kommt doch ganz darauf an, welche Stellung man in einem Unternehmen hat. Wenn man verantwortlicher Sysadmin ist, hat man eine ganz andere Stellung als Studentische Hilfskraft, auch wenn man als solche genauso verantwortlich für einen Rechner ist.
Kommt auf den Einzelfall an und warum der Chef mehr Platz braucht.
Und auf dem Chef. Wenn er selber Der Unternehmer ist, dann hast Du zu machen, was er will, außer gegen geltendes Recht zu verstoßen, schließlich ist es sein Rechner und er kann damit machen, was er will. Wenn es Dein Vorgesetzter ist, gilt ähnliches. Bernd -- Umsteiger von Microsoft Windows xx? Hast Du schon file://usr/doc/howto/de/DE-DOS-nach-Linux-HOWTO.txt gelesen? Auch file://usr/doc/Books/Linuxhandbuch.dvi ist zu empfehlen. |Zufallssignatur 1
Hallo, * Am 30.12.2001 zauberte Elimar Riesebieter:
On Sun, 30 Dec 2001 the mental interface of Frank Schmidt told: [...]
So wie von Elimar gerade beschrieben würde ich das wahrscheinlich auch anstellen. Nehmen wir aba mal an in den Homeverzeichnis des Quellusers ist ne Datei die jemanden anderes gehört (z.B. konnte sich der ein chmod mit den Rechten 7755 des Users root irgendwann mal aneignen). Gut nun hat er das ^^^^ und das ist Dein Ernst?
chmod, nur beim kopieren könnte dies evtl. verloren gehen (jedenfalls die User:Gid Beziehung). Spätestens geht das dann bei einem chown verloren. Gibt es nicht eine Möglichkeit etwas zu kopieren, wo die Zieldaten nicht die Eigenschaften des jeweiligen Users annehmen der gerade kopiert?
Ist cp -p das, was Du meinst? -p, --preserve preserve file attributes if possible Bei cp -a ist es auch mit drin.
Home verzeichnis ist halt Homeverzeichnis! Hier gehören nur Daten rein die dem Besitzer des Homeverzeichnisses auch gehören!! ~/user sollte immer 700 haben!!
Hä? Warte mal bis Bernd das liest. Es mag vielleicht Gründe geben, das so zu machen, aber das ist nicht gleich die einzig richtige Lösung. Nimm ein Büro ein Mitarbeiter wird krank. Dieser Mitarbeiter verwaltet eine Datei, in der eine Information steht, die man jetzt dringend braucht. Problem. Wenn ein User ein privates Verzeichnis will, dann kann er sich das jederzeit anlegen: # cd # mkdir meine-privaten-daten # chmod 0700 meine-privaten-daten
insgesamt 22 drwxr-xr-x 8 root root 183 Dez 1 16:43 . drwxr-xr-x 5 root root 78 Dez 27 20:58 .. drwx------ 33 user1 users 2915 Dez 30 12:12 user1 drwx------ 21 user2 users 1749 Dez 30 08:58 user2 drwx------ 25 user3 users 1976 Dez 30 08:59 user3 drwx------ 36 user4 users 2437 Dez 30 09:11 user4 drwx------ 83 user5 users 7296 Dez 30 12:50 user5
-- Gruß Alex -- Du sollst nicht mit der 42 rumschmeissen, du Nasenbär. Jetzt hättest du sie fast kaputt gemacht. Das ist so etwas wie unsere Bibel. Verschrotte lieber deine 666. Diese Zahl ist Satanswerk. [WoKo in dag°]
On Sun, 30 Dec 2001 the mental interface of Alex Klein told: --->
Hä? Warte mal bis Bernd das liest. Es mag vielleicht Gründe geben, das so zu machen, aber das ist nicht gleich die einzig richtige Lösung. Nimm ein Büro ein Mitarbeiter wird krank. Dieser Mitarbeiter verwaltet eine Datei, in der eine Information steht, die man jetzt dringend braucht. Problem. Wenn ein User ein privates Verzeichnis will, dann kann er sich das jederzeit anlegen:
# cd # mkdir meine-privaten-daten # chmod 0700 meine-privaten-daten ---<
Daten, auf die andere auch Zugriff haben sollen, können, müssen gehören nicht in irgendwelche Homeverzeichnisse von Usern! Das ist nicht der Sinn des UNIX File Tree! In den Homeverzeichnissen stehen Mails (bei nicht IMAP oder doch auch) configs etc. Aber keine Daten! Ihr müsst eben Eure User dazu erziehen Daten (Dokumente, Projektdaten etc.) in entsprechende Arbeitsverzeichnisse zu speichern! # cd / # mkdir archiv # cd archiv archiv:# mkdir Projekt archiv:# chmod 0764 Projekt archiv:# chown projektleiter:projektgruppe Projekt Dann noch Projektmitglieder der projektgruppe zuordnen -> BINGO! Auch sollten die entsprechenden Anwendungen im Projektverzeichniss gestartet werden! Das archiv kann dann auch vom Admin bequem inkremental gesichert werden. Bei den Home Verzeichnissen genügt wohl eine wöchentliche! Aber ich will hier keine Abhandlungen über Systemadministration und Projektverwaltung machen........... Ciao Elimar -- .~. /V\ L I N U X // \\ >Phear the Penguin< /( )\ ^^-^^ --
Hallo, * Am 30.12.2001 zauberte Elimar Riesebieter:
On Sun, 30 Dec 2001 the mental interface of Alex Klein told: [...] Daten, auf die andere auch Zugriff haben sollen, können, müssen gehören nicht in irgendwelche Homeverzeichnisse von Usern! Das ist nicht der Sinn des UNIX File Tree! In den Homeverzeichnissen stehen Mails (bei nicht IMAP oder doch auch) configs etc. Aber keine Daten!
Achso. Nur die privaten Daten und die Mails des Users. Hab ich das so jetzt verstanden. Wenn nun ein User etwas aus einer Mail eines Kollegen benötigt? Wie löst Du das? Vor allem, wenn keiner die Mails als privat einstuft (nicht einmal der User selbst). Wenn ein User private Mails bekommt, dann soll er sie in eine private Maildatei verschieben.
Ihr müsst eben Eure User dazu erziehen Daten (Dokumente, Projektdaten etc.) in entsprechende Arbeitsverzeichnisse zu speichern!
Tja, woher sollte man auch annehmen, daß (zumindest bei SuSE) die Standardeinstellungen auch total falsch sind. Bei mir haben die Verzeichnisse unter /home nämlich 0755. Scheint SuSE ein Fehler unterlaufen zu sein.
# cd / # mkdir archiv # cd archiv archiv:# mkdir Projekt archiv:# chmod 0764 Projekt
Aha. Deine Mitarbeiter am Projekt sollen mit dem Verzeichnis nichts anfangen können. Hast Du das so schon mal gemacht?
archiv:# chown projektleiter:projektgruppe Projekt
Dann noch Projektmitglieder der projektgruppe zuordnen -> BINGO!
Jo, bei Samba echt total der BINGO. Da fliegste nämlich mit der Gruppe auf die Schnauze.
Auch sollten die entsprechenden Anwendungen im Projektverzeichniss gestartet werden!
Und wenn nur ein User an einem Projekt arbeitet?
Das archiv kann dann auch vom Admin bequem inkremental gesichert werden.
Die Homeverzeichnisse können auch einfach inkrementell gesichert werden. Ein Projektverzeichnis bringt da keinen Vorteil.
Bei den Home Verzeichnissen genügt wohl eine wöchentliche!
Das denke ich nicht. Wenn die User viel Mailverkehr haben, dann ist dem bestimmt nicht so. Es sei denn Du kannst als Admin schnell mal die Mails von einer halben Woche unter den Tisch fallen lassen.
Aber ich will hier keine Abhandlungen über Systemadministration und Projektverwaltung machen...........
Bis zum jetzigen Punkt hast Du mich nicht überzeugt. Daß ich auch ein Datenverzeichnis hab ist nicht erwähnenswert, nur deshalb mache ich nicht gleich alle Userverzeichnisse dicht. Wenn ein User das will, dann soll er sich das so einrichten. Dazu auch die Problematik in Bernds Mail. -- Gruß Alex -- Das ist keine Sigg, Zum Kuckuck noch mal! Und wenn du eine daraus machst, so ist das deine Schuld. [WoKo zu Michael Hoffmann in dag°]
From: "Alex Klein" <mansui@web.de> Cc: "Elimar Riesebieter" <elimar.riesebieter@t-online.de> Sent: Sunday, December 30, 2001 5:50 PM Subject: Re: user übertragen ?
Hallo,
Hallo !
* Am 30.12.2001 zauberte Elimar Riesebieter:
On Sun, 30 Dec 2001 the mental interface of Alex Klein told: [...] Daten, auf die andere auch Zugriff haben sollen, können, müssen gehören nicht in irgendwelche Homeverzeichnisse von Usern! Das ist nicht der Sinn des UNIX File Tree! In den Homeverzeichnissen stehen Mails (bei nicht IMAP oder doch auch) configs etc. Aber keine Daten!
Das ist doch erstmal totaler quark. Natürlich macht es durchaus Sinn in seinem Verzeichnis auch Daten von anderen Usern zu haben. Zum Beispiel, wenn ich (User A) Befehle unter dem Usernamen B ausführen möchte (z.B. wenn User B im Urlaub ist, soll User A die Blumen von User B geießen *g*). Man kann dieses Problem natürlich auch auf andere Weise lösen.
Achso. Nur die privaten Daten und die Mails des Users. Hab ich das so jetzt verstanden. Wenn nun ein User etwas aus einer Mail eines Kollegen benötigt? Wie löst Du das? Vor allem, wenn keiner die Mails als privat einstuft (nicht einmal der User selbst). Wenn ein User private Mails bekommt, dann soll er sie in eine private Maildatei verschieben.
genauso sehe ich das auch. Wozu gibt es denn eigentlich unter Linux/Unix Gruppenbeziehungen? Wenn jeder seine Dateien auf 0700 stellen würde, dann könnten wir doch das komplette Gruppenkonzept in die Tonne treten - oda? Ich sehe es immer wieder, dass es z.B. an Uni's bei Studenten sehr beliebt ist, ihr Homeverzeichnis auf 0700 zu stellen - naja ich sag da nur "wer's brauch".
Ihr müsst eben Eure User dazu erziehen Daten (Dokumente, Projektdaten etc.) in entsprechende Arbeitsverzeichnisse zu speichern!
also ich weiß nicht wie es die anderen Leute sehen, die diese Liste lesen, jedoch ich werde meine User nicht so umerziehen :). Sie sollen schließlich von den Angenehmlichkeiten eines UNIX Betriebssystems provitieren können (ich sag nur Gruppenbeziehungen).
Tja, woher sollte man auch annehmen, daß (zumindest bei SuSE) die Standardeinstellungen auch total falsch sind. Bei mir haben die Verzeichnisse unter /home nämlich 0755. Scheint SuSE ein Fehler unterlaufen zu sein.
naja ich denke nicht das das von SuSE falsch ist. Wenn Ihr drauf achtet stellt Ihr fest, das im Homeverzeichnis der einzelnen User, das Mailverzeichnis auf 0700 steht. Naja und ich denke mit den Startscripten kann niemand so richtig was anfangen. Desweiteren sollte man von jemanden der mit Linux arbeitet erwarten können, dass er, wenn er irgendwo einen neuen Login bekommt, diesen seinen Sicherheitswünschen entsprechend anpassen kann.
# cd / # mkdir archiv # cd archiv archiv:# mkdir Projekt archiv:# chmod 0764 Projekt
Aha. Deine Mitarbeiter am Projekt sollen mit dem Verzeichnis nichts anfangen können. Hast Du das so schon mal gemacht?
hm, ja also das finde ich auch etwas eigenartig. An einem Projekt arbeiten doch wohl mehr als 1 User - oda?
archiv:# chown projektleiter:projektgruppe Projekt
Dann noch Projektmitglieder der projektgruppe zuordnen -> BINGO!
also wenn ich das da jetzt richtig sehe, setzt Du die Rechte von Projekt auf rwxrw-r--. Naja und sollte das der Fall sein, dann bringt das Deiner Projektgruppe rein gar nix - da niemand ins Verzeichnis rein kann.
Jo, bei Samba echt total der BINGO. Da fliegste nämlich mit der Gruppe auf die Schnauze.
Auch sollten die entsprechenden Anwendungen im Projektverzeichniss gestartet werden!
Und wenn nur ein User an einem Projekt arbeitet?
Das archiv kann dann auch vom Admin bequem inkremental gesichert werden.
Die Homeverzeichnisse können auch einfach inkrementell gesichert werden. Ein Projektverzeichnis bringt da keinen Vorteil.
Bei den Home Verzeichnissen genügt wohl eine wöchentliche!
Das denke ich nicht. Wenn die User viel Mailverkehr haben, dann ist dem bestimmt nicht so. Es sei denn Du kannst als Admin schnell mal die Mails von einer halben Woche unter den Tisch fallen lassen.
Aber ich will hier keine Abhandlungen über Systemadministration und Projektverwaltung machen...........
Bis zum jetzigen Punkt hast Du mich nicht überzeugt. Daß ich auch ein Datenverzeichnis hab ist nicht erwähnenswert, nur deshalb mache ich nicht gleich alle Userverzeichnisse dicht. Wenn ein User das will, dann soll er sich das so einrichten. Dazu auch die Problematik in Bernds Mail.
genauso sehe ich das auch. Warum soll ich Usern einfach Standards wegnehmen die dazugehören? Ein bißchen persönliche Entscheidungsfreiheit möchte doch jeder User gern haben - oda? Ich ziehe mir bestimmt nicht eine grüne Jacke an, nur wenn der Admin das will *lol* So nun hab ich meinen Senf auch nochmal dazugegeben :) Ansonsten noch einen guten Rutsch mfg Frank _________________________________________________________ Do You Yahoo!? Get your free @yahoo.com address at http://mail.yahoo.com
" Frank Schmidt" wrote:
Wozu gibt es denn eigentlich unter Linux/Unix Gruppenbeziehungen? Wenn jeder seine Dateien auf 0700 stellen würde, dann könnten wir doch das komplette Gruppenkonzept in die Tonne treten - oda?
So weit ging die Diskussion bisher noch nicht. Die Frage, ob andere auf das Home-Verzeichnis eines Benutzers Zugriffsrechte haben sollen, ist ja unabhängig davon, ob *irgendwo* im System (z.B. in Projektverzeichnissen) das Gruppenkonzept benötigt wird.
Ich sehe es immer wieder, dass es z.B. an Uni's bei Studenten sehr beliebt ist, ihr Homeverzeichnis auf 0700 zu stellen - naja ich sag da nur "wer's brauch".
Mein Home-Verzeichnis in der Uni ist für alle zugänglich. Allerdings arbeite ich meist mit der umask 077, um versehentliche Freigabe neu angelegter Dateien zu vermeiden. Allem, was ich für unbedenklich halte (z.B. vielen Skripte oder Konfigurationsdateien), gebe ich dann nach dem Anlegen explizit allgemeine Zugriffsrechte. Eilert -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Eilert Brinkmann -- Universitaet Bremen -- FB 3, Informatik eilert@informatik.uni-bremen.de - eilert@tzi.org http://www.informatik.uni-bremen.de/~eilert/
Am Mon, 2001-12-31 um 14.16 schrieb Eilert Brinkmann:
" Frank Schmidt" wrote:
Wozu gibt es denn eigentlich unter Linux/Unix Gruppenbeziehungen? Wenn jeder seine Dateien auf 0700 stellen würde, dann könnten wir doch das komplette Gruppenkonzept in die Tonne treten - oda?
na na ;-) root, spezielle User (Bsp: Cyrus, Postfix, mysql etc.) ist nicht jeder, also macht dieses System sehr wohl Sinn
So weit ging die Diskussion bisher noch nicht. Die Frage, ob andere auf das Home-Verzeichnis eines Benutzers Zugriffsrechte haben sollen, ist ja unabhängig davon, ob *irgendwo* im System (z.B. in Projektverzeichnissen) das Gruppenkonzept benötigt wird.
Ich sehe es immer wieder, dass es z.B. an Uni's bei Studenten sehr beliebt ist, ihr Homeverzeichnis auf 0700 zu stellen - naja ich sag da nur "wer's brauch".
eben, wer es braucht ...das System gibt es her, also kann es nach Gusto der User genutzt werden. Ist der User in der Lage Dinge zu ändern, die die Produktivität des Systems / Unternehmens beeinträchtigen, so ist das System schlicht falsch konfiguriert (Aber Admins sind ja auch lernfähig und als Dienstleister ansprechbar ;-))
Mein Home-Verzeichnis in der Uni ist für alle zugänglich. Allerdings arbeite ich meist mit der umask 077, um versehentliche Freigabe neu angelegter Dateien zu vermeiden. Allem, was ich für unbedenklich halte (z.B. vielen Skripte oder Konfigurationsdateien), gebe ich dann nach dem Anlegen explizit allgemeine Zugriffsrechte.
das ist nett, wenn man sich was abgucken und lernen kann. Aber ich hoffe, dass an den Unis auch heute noch gelehrt wird, dass man Scripts oder Programme in fremden Home-Verzeichnissen nicht gutgläubig ausführen sollte ;-)
Eilert
[cut] MfG Benn -- #250319 - http://counter.li.org
Bernd Schmelter wrote:
Am Mon, 2001-12-31 um 14.16 schrieb Eilert Brinkmann:
Mein Home-Verzeichnis in der Uni ist für alle zugänglich. Allerdings arbeite ich meist mit der umask 077, um versehentliche Freigabe neu angelegter Dateien zu vermeiden. Allem, was ich für unbedenklich halte (z.B. vielen Skripte oder Konfigurationsdateien), gebe ich dann nach dem Anlegen explizit allgemeine Zugriffsrechte.
das ist nett, wenn man sich was abgucken und lernen kann. Aber ich hoffe, dass an den Unis auch heute noch gelehrt wird, dass man Scripts oder Programme in fremden Home-Verzeichnissen nicht gutgläubig ausführen sollte ;-)
Lehren kann man viel, das muß nicht unbedingt helfen. Es gibt auch immer wieder Leute, die sich an den Rechnern in den Praktikumsräumen nicht ausloggen, unsichere Paßwörter wählen, anderen Schreibrecht auf ihr Home-Verzeichnis geben usw., obwohl in den Einführungskursen deutlichst auf solche Punkte hingewiesen wird. Hm, man könnte natürlich einfach mal ein paar "lehrreiche" Skripte in Umlauf bringen, um auf das Risiko bei der unbesehenen Übernahme fremder Programme aufmerksam zu machen ;-) Eilert -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Eilert Brinkmann -- Universitaet Bremen -- FB 3, Informatik eilert@informatik.uni-bremen.de - eilert@tzi.org http://www.informatik.uni-bremen.de/~eilert/
Am 01/12/30@16:08 schrieb Elimar Riesebieter:
Daten, auf die andere auch Zugriff haben sollen, können, müssen gehören nicht in irgendwelche Homeverzeichnisse von Usern! Das ist nicht der Sinn des UNIX File Tree! In den Homeverzeichnissen stehen Mails (bei nicht IMAP oder doch auch) configs etc. Aber keine
Huch, gehören mails _standardmäßig_ nicht mehr nach /var/spool/mail/<user>? -- :wq-y Maik
Am Sonntag, 30. Dezember 2001 18:22 schrieb Maik Holtkamp:
Am 01/12/30@16:08 schrieb Elimar Riesebieter:
Daten, auf die andere auch Zugriff haben sollen, können, müssen gehören nicht in irgendwelche Homeverzeichnisse von Usern! Das ist nicht der Sinn des UNIX File Tree! In den Homeverzeichnissen stehen Mails (bei nicht IMAP oder doch auch) configs etc. Aber keine
Huch, gehören mails _standardmäßig_ nicht mehr nach /var/spool/mail/<user>?
Jein. Die Mail-Spools des SMTP-Servers gehören nach /var/spool/mail. Die Mailbox bzw. das Mailarchiv der einzelnen User liegt jedoch in der Regel in $HOME/Mail oder irgendwas in der Art (je nach Mailprogramm). Dort liegen auch Dateien, in denen User z.B. Passwörter ablegen könnten (Mozilla-Konfiguration etc.) oder andere persönliche Dinge, die natürlich Hinz und Kunz nix angehen. $HOME auf user.users 700 zu setzen ist daher mal grundsätzlich der richtige Ansatz, wenn man das nicht macht muß sich der user darum kümmern, daß in seinem Home die Rechte sinnvoll gesetzt werden. In jedem Fall sollte aber niemand in das Home eines Users schreiben können (!!). -- Erhard Schwenk http://www.fto.de - http://www.akkordeonjugend.de
Erhard Schwenk wrote:
$HOME auf user.users 700 zu setzen ist daher mal grundsätzlich der richtige Ansatz, wenn man das nicht macht muß sich der user darum kümmern, daß in seinem Home die Rechte sinnvoll gesetzt werden.
Man kann die Benutzer dabei ja unterstützen, z.B. indem man in neuen Home-Verzeichnissen von vornherein ein Verzeichnis "privat" mit entsprechend restriktiven Zugriffsrechten anlegt. Programme wie ssh oder gängige Mail-Clients setzen auch von sich aus zurückhaltende Zugriffsrechte, wenn sie Dateien mit für gewöhnlich privatem Inhalt anlegen.
In jedem Fall sollte aber niemand in das Home eines Users schreiben können (!!).
Richtig, das wäre ungefähr so, als würde man andere Einladen, sich seines Accounts zu bemächtigen. Eine neue .bashrc o.ä. wirkt sicherlich wunder... Manche Programme (gängig ist das z.B. bei sendmail oder sshd) prüfen daher neben den Zugriffsrechten der von ihnen verwendeten Konfigurationsdateien (z.B. ~/.forward oder ~/.shosts) auch die Zugriffsrechte der Pfade dieser Dateien auf deren Sicherheit. Eilert -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Eilert Brinkmann -- Universitaet Bremen -- FB 3, Informatik eilert@informatik.uni-bremen.de - eilert@tzi.org http://www.informatik.uni-bremen.de/~eilert/
Elimar Riesebieter wrote:
On Sun, 30 Dec 2001 the mental interface of Alex Klein told: --->
Hä? Warte mal bis Bernd das liest. Es mag vielleicht Gründe geben, das so zu machen, aber das ist nicht gleich die einzig richtige Lösung. Nimm ein Büro ein Mitarbeiter wird krank. Dieser Mitarbeiter verwaltet eine Datei, in der eine Information steht, die man jetzt dringend braucht. Problem. Wenn ein User ein privates Verzeichnis will, dann kann er sich das jederzeit anlegen:
# cd # mkdir meine-privaten-daten # chmod 0700 meine-privaten-daten ---<
Daten, auf die andere auch Zugriff haben sollen, können, müssen gehören nicht in irgendwelche Homeverzeichnisse von Usern!
Warum nicht? Das Home-Verzeichnis eines Benutzers ist für Dateien gedacht, die unter seiner Verfügungsgewalt stehen (und nicht in ein anderweitiges Projektverzeichnis o.ä. gehören). Es ist durchaus üblich, daß sich darunter Daten befinden, auf die andere Zugriff haben sollen -- allen voran z.B. persönliche Homepages. Auch sonst ist es keine Seltenheit, daß ein Benutzer über Dateien verfügt, deren Inhalt auch für andere verfügbar sein soll.
Das ist nicht der Sinn des UNIX File Tree! In den Homeverzeichnissen stehen Mails (bei nicht IMAP oder doch auch) configs etc. Aber keine Daten!
Was spricht dagegen, daß ein Benutzer andere z.B. von seinen Configs abgucken läßt? Daß manche Dateien (z.B. Mails, Konfigurationsdateien mit sensiblem Inhalt, Schlüsseldateien) geschützt werden müssen, ist klar und wird von zugehörigen Programmen für gewöhnlich auch durch das Setzen geeigneter Zugriffsrechte unterstützt.
Ihr müsst eben Eure User dazu erziehen Daten (Dokumente, Projektdaten etc.) in entsprechende Arbeitsverzeichnisse zu speichern!
Klar, daß man für feststehende Projekte und Arbeitsgruppen jeweils Projektverzeichnisse hat und/oder die zugehörigen Dateien mittels CVS o.ä. verwalten und die Benutzer sich Arbeitskopien anlegen, ist eine andere Sache. Aber das muß ja nicht alle Fälle abdecken, in denen mal mehrere Leute Zugriff auf eine Datei haben sollen.
Das archiv kann dann auch vom Admin bequem inkremental gesichert werden.
Geht bei Home-Verzeichnissen auch.
Bei den Home Verzeichnissen genügt wohl eine wöchentliche!
= "Mails dürfen ruhig verloren gehen!"? So meintest Du das sicherlich auch nicht.
Aber ich will hier keine Abhandlungen über Systemadministration und Projektverwaltung machen...........
Gut, lassen wir das. Ich wollte auch nur aufzeigen, daß es durchaus Gründe gibt, anders zu verfahren. Das sind ohnehin Fragen, auf die es verschiedene sinnvolle Antworten geben kann und die jeder bzw. jede Organisation für sich klären muß. (Und im Listenarchiv findet sich bestimmt schon reichlich Material dazu...) Eilert -- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Eilert Brinkmann -- Universitaet Bremen -- FB 3, Informatik eilert@informatik.uni-bremen.de - eilert@tzi.org http://www.informatik.uni-bremen.de/~eilert/
participants (11)
-
Alex Klein -
Andreas Reinhold -
B.Brodesser@t-online.de -
Bernd Schmelter -
Clemens Wohld -
Eilert Brinkmann -
Elimar Riesebieter -
Erhard Schwenk -
Frank Schmidt -
Maik Holtkamp -
Rene Engelhard