Foldery - Uprawnienia

[ippo]

Witam ponownie,

 

mam pytanie dotyczące uprawnień:

mam w systemie 2 użyszkodników: ja i żona. Każdy ma swój folder w /home, powiedzmy prywatny. Natomiast cała wspólnota majątkowa, czyli muzyka, zdjęcia i takie tam wrzuciłem do /home/DANE. Jako właściciel mam do niego swobodny dostęp. Jak nadać uprawnienia dla żony (ma mieć pełny dostęp) - czy nadać prawa odczytu i zapisu dla inni?

Skąd wątpliwość? Bo pod archem dodałbym siebie i żonę do grupy users i nadałbym prawo zapisu i odczytu grupie, a nie reszcie świata. Tak - IMO - byłyby bezpieczniej. Który sposób jest bardziej kanoniczny/lepszy?

 

Druga wątpliwość dot. dodawania użytkownika do grup. Pod archem robiłem to tak:

 useradd -m -G [groups] -s [login_shell] [username]

Z tym, że w miejsce grup wpisywałem: users, storage (pendraki), lp (drukarki), camera, wheel (sudo), audio, video, optical, power/shutdown. Załatwiało to dostęp użyszkodnika do urządzeń, z kolei dzięki users można było nadawać uprawnienia na foldery. Stąd wziął się pomysł, aby dodać siebie i żonę do grupy users. Zauważyłem że fedorą user jest tylko w "swojej" grupie, a mimo to montują się dyski/pendraki/cd. Czyli nic tu nie trzeba już ulepszać?

[thof]

Czyli nic tu nie trzeba już ulepszać?

Nie, pod fedorą chyba PolicyKit się tym zajmuje. Co do praw /home/DANE to po prostu stwórz sobie grupę users, dodaj użytkowników i po sprawie. Chociaż jeśli to jest osobna partycja to można skorzystać z gnome-mount, który automatycznie rozwiąże problem odpowiednich praw dostępu.

 

[ippo]

Dzięki, nie kombinowałem nic z partycjami, /home/DANE jest na /home

 

Czyli lepiej jest stworzyć grupę users (ze mna i żoną) i nadać jej prawa zapisu i odczytu niż nadawać te prawa obcym innym

[@WalDo]

Tak - IMO - byłyby bezpieczniej.

Zdecydowanie grupa.

Pod archem robiłem to tak:

 useradd -m -G [groups] -s [login_shell] [username]

W ten sposób - jak sam napisałeś - dodajesz użytkowników a tych jak rozumiem już masz w systemie.

Wg mnie najprostszym sposobem jest edycja pliku /etc/group i ręczne dopisanie uzytkowników do odpowiedniej grupy. Stosowna linijka po edycji powinna wyglądać mniej więcej tak

users:x:100:ja,zona,babcia

Czyli nic tu nie trzeba już ulepszać?

Na ogół nie.

 

[EDIT]

Użytkowników do grupy można też dodać "graficznie" jak ktoś lubi. system-config-users, zakładka "użytkownicy", dwuklik na nazwie usera, zakładka "Grupy", zahaczyć, do których ma należeć.

Edytowane Kwiecień 17, 2009 przez WalDo

[sokar620]

Ja dodałbym żonę do twojej grupy i dał tej grupie pełne uprawnienia, bez tworzenia nowej grupy users.

[ippo]

tych jak rozumiem już masz w systemie.

 

Tak, już utworzyłem. Chodziło mi o to, że tworząc użyszkodnika pod archem od razu przypisywałem go do grup. W fedorze utworzyłem żonę "graficznie" Zajrzałem z ciekawości do /etc/group i zobaczyłem, że moi użytkownicy nie są przypisani do tych grup, które nadałbym ich w archu.

 

To mnie trochę zbiło z tropu, bo:

1) czy mam się dodać do tych grup w znany mi sposób - ale skoro wszystko (no prawie, pozostała drukarka) działa, więc chyba nie ma potrzeby;

2) skoro nie ma potrzeby, to czy ma sens z tym nadawaniem uprawnień poprzez grupę users - i tak oto - cytując klasyka - "straciłem grunt pod tak zwanymi nogami".

 

Dodałem użytkowników do grupy users i następnie dostęp do /home/DANE z prawami odczytu i zapisu przydzieliłem grupie users.

 

Dzięki

[sOLVED]

 

Edyta:

W trakcie pisania ukazał się wpis sokar620

A dlaczego tak?

[@Sorror]

sokar620: wtedy żona otrzymuje uprawnienia grupy również do pozostałych plików, a nie o to chodziło.

[ippo]

sokar620: wtedy żona otrzymuje uprawnienia grupy również do pozostałych plików, a nie o to chodziło.

 

o, to to!!

[thof]

A dlaczego tak?

W fedorze jest zastosowany taki trik (o którym zapomniałem), że każdy użytkownik posiada swoją grupę, której nazwa jest taka sama jak nazwa użytkownika. Dlatego często można się spotkać z zapisem chown user:user plik, w innych dystrybucjach chyba tak nie ma.

[96th]

Chyba tak jest ;P W Ubu chyba tak jest.

[ysio]

sa trzy rozwiazania (ktore mi przychodza na szybko do glowy):

 

najprostszy - jeżeli w systemie jest tylko 2 użytkowników - Ty i Żona

chmod -c 777 -R /home/Dane

nie jest to zbyt bezpieczne i nie nadaje się jeżeli macie syna któremu nie chcecie pokazywać wszystkich zdjęć. Oczywiście możesz dostosować prawa dostępu np. 775 zamiast 777

jeżeli w systemie jest więcej użytkownikow wtedy najlepiej wg mnie zastosować reguły ACL

 

 

hmm możesz jeszcze rozwiązać problem wspólną grupą

man usermod

- zainteresuj się opcją "-G"

np: w /etc/group:

mąż:x:500:rodzina
żona:x:501:rodzina

czyli "rodzina" to nazwa wspólnej grupy

następnie

chown -c ja.rodzina -R /home/DANE

czyli ustawiasz właściciela (grupę)

no i trzeba by nadać jeszcze prawa

chmod -c 750 /home/DANE

 

trzeci sposób - według mnie najlepszy

man chacl
man getfacl
man setfacl

 

Tak czy siak selinux może się przyczepić, więc warto logi sprawdzić

[ippo]

sa trzy rozwiazania (ktore mi przychodza na szybko do glowy):

 

[ciach]

nie jest to zbyt bezpieczne i nie nadaje się jeżeli macie syna któremu nie chcecie pokazywać wszystkich zdjęć. [ciach]

użytkowników jest tylko dwóch, syna jeszcze nie mamy

 

hmm możesz jeszcze rozwiązać problem wspólną grupą

[ciach]

mąż:x:500:rodzina
żona:x:501:rodzina

rozumiem, że ten sposób jest jeszcze bezpieczniejszy od grupy users? dlaczego?

 

trzeci sposób - według mnie najlepszy

man chacl
man getfacl
man setfacl

 

Tak czy siak selinux może się przyczepić, więc warto logi sprawdzić

Dzięki, poczytam

[ysio]

rozumiem, że ten sposób jest jeszcze bezpieczniejszy od grupy users? dlaczego?

dlatego ze nie zmienisz głownych grup męża i żony, tzn

mąż jest w grupie mąż

żona jest w gupie żona

tworzysz nową grupę rodzina (addgroup rodzina)

dopisujesz jako dodatkowych użytkowników do tej grupy usermod -G rodzina mążsawwwwwwww

najważniejsze jest by ustawić właściwie grupę dla /home/Dane tj mąż.rodzina - dzięki czemu mąż nie ma dostępu do ~żona i odwrotnie natomiast oboje mają dostęp do /home/Dane (np. 750)

[ippo]

najważniejsze jest by ustawić właściwie grupę dla /home/Dane tj mąż.rodzina - dzięki czemu mąż nie ma dostępu do ~żona i odwrotnie natomiast oboje mają dostęp do /home/Dane (np. 750)

Tak właśnie jest teraz: ja nie zajrzę do żony, żona do mnie ale do /home/DANE zaglądamy bez problemu. Każde z nas jest w swojej grupie i w users. Users ma prawa rw do /home/DANE

[plomka]

Witam ponownie,

 

mam pytanie dotyczące uprawnień:

mam w systemie 2 użyszkodników: ja i żona. Każdy ma swój folder w /home, powiedzmy prywatny. Natomiast cała wspólnota majątkowa, czyli muzyka, zdjęcia i takie tam wrzuciłem do /home/DANE. Jako właściciel mam do niego swobodny dostęp. Jak nadać uprawnienia dla żony (ma mieć pełny dostęp) - czy nadać prawa odczytu i zapisu dla inni?

Skąd wątpliwość? Bo pod archem dodałbym siebie i żonę do grupy users i nadałbym prawo zapisu i odczytu grupie, a nie reszcie świata. Tak - IMO - byłyby bezpieczniej. Który sposób jest bardziej kanoniczny/lepszy?

 

Druga wątpliwość dot. dodawania użytkownika do grup. Pod archem robiłem to tak:

 useradd -m -G [groups] -s [login_shell] [username]

Z tym, że w miejsce grup wpisywałem: users, storage (pendraki), lp (drukarki), camera, wheel (sudo), audio, video, optical, power/shutdown. Załatwiało to dostęp użyszkodnika do urządzeń, z kolei dzięki users można było nadawać uprawnienia na foldery. Stąd wziął się pomysł, aby dodać siebie i żonę do grupy users. Zauważyłem że fedorą user jest tylko w "swojej" grupie, a mimo to montują się dyski/pendraki/cd. Czyli nic tu nie trzeba już ulepszać?

 

 

Co do dodawania użytkownika do nalezy wykorzystac narzedzie usermod

 

usermod -g nazwagrupy nazwa_uzytkownika

 

 

Aby rozwiazac twoj problem, ja uzylbym mechnizmu ACL - nie wymaga on tworzenia dodatkowych grup czy dodawania uzytkownika do innych grup. Poadto pozwala na ustawienie dowolnych uprawnien do dowolnych plikow (w katalogu) dla dowolnej liczby roznych uzytkownikow. Chmod i grupy ograniczaja nas tylko do uprawnien rwxrwxrwx - czyli wlasciciel grupa lub pozostali. ACL - ustawi dla dowolnego usera wlacznie.

Czyli tak: zainstaluj sobie ACL jesli nie masz, nastepnie w fstab musisz na partycji wlaczyc acl - poprzez dodanie wpisu do

/dev/hda1 /home ext3 quiet,defaults 0 0

zmien na

 

/dev/hda1 /home ext3 quiet,acl,defaults 0 0

czyli dodajesz tylko wspi acl, po zaladowaniu sie systemu

jako root wydajesz polecenie:

 

#setfacl -m u:nazwausera:rwx /home/DANE {dla pelnych uprawnien}

aby odjac jakies uprawnienia wstawiasz na odpowiednim miejscu '-' np aby odjac uprawnienie do katalogu 'wx' dla dodolnego uzytkownika

 

#setfacl -m u:nazwausera:r-- /home/DANE {zamiast wx wstawiasz -- i wtedy user podany w poleceniu bedzie mogl tylko odczytac zawartosc katalogu}

 

polecam jeszcze polecenie

 

#getfacl /nazwakatalogu_lub-PLiku {odczytanie uprawnien}

 

 

A ponadto :

 

man acl - podrecznik