[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Dateirechte

[Thread Prev] | [Thread Next]
[Date Prev] | [Date Next]
Subject: Dateirechte
From: Markus Hochholdinger <Markus@xxxxxxxxxxxxxxxxx>
Date: Wed, 17 Dec 2008 20:22:43 +0100
To: uugrn@xxxxxxxxxxxxxxx
Hallo,

wie verwaltet ihr normalerweise die Datei- und Verzeichnisrechte auf einem 
System? Vorallem geht es mir um folgende Szenarien:
* Erhalt der Dateirechte wenn neue Dateien oder Verzeichnisse angelegt werden.
* Verhindern dass die Benutzer selbst Dateirechte aendern.
* Definieren der Zugriffsmoeglichkeiten, z.B. Gruppe A nur lesen, Gruppe B
  lesen und schreiben und alle anderen kein Zugriff.

Ich kaempfe gerade mit folgendem Problem:
* Die Benutzer haben mit ssh, scp/sftp, ftp, samba und AppleTalk Zugriff auf
  die Verzeichnisse und Dateien. (Dies kann ich leider nicht ohne weiteres
  aendern.)
* Benutzer legen Dateien an und ohne ihr Wissen werden andere Dateirechte
  gesetzt wie gewuenscht (z.B. beim Entpacken eines tgz).
* Benutzer verschieben Dateien (mv) von ihrem Homeverzeichnis in ein
  Verzeichnis wo auch andere Zugriff haben sollen.

Ich denke ca. 90% davon habe ich im Griff. Im wesentlichen versuche ich mich 
auf die Unix typische Verwendung von Benutzer/Gruppe/Andere zu beschraenken.
Mit dem Attribut g+s auf ein Verzeichnis kann man schonmal definieren dass neu 
angelegte Dateien und Verzeichnisse dieselbe Gruppe haben und neu angelegte 
Verzeichnisse auch gleich g+s gesetzt haben. Dies geht leider schief wenn 
jemand mit tar entpackt oder mit mv etwas hineinverschiebt.
Damit die Gruppe auch immer schreiben darf muss man schauen dass die umask der 
Benutzer immer stimmt. Bei ftp und samba kann man das schoen definieren. scp 
hat leider per default nur lese Rechte fuer die Gruppe. Auch AppleTalk laesst 
sich dahingehend nicht gut konfigurieren und die Mac Clients versuchen seit 
Leopard selbst die Rechte auf Freigaben zu setzen und ich habe noch keine 
Moeglichkeit gefunden dies auf Client-Seite zu beeinflussen.
Also verwende ich zusaetzlich noch ACLs, aber hauptsaechlich wegen der Vererbung 
der Rechte und versuche mich soweit moeglich an den Unix-Rechten zu 
orientieren. Damit ist das Problem der umask schoen umgangen und die Gruppe 
wird mit der ACL weitervererbt.

Problematisch ist immer noch wenn mit tar ein Archiv entpackt wird oder mit mv 
etwas verschoben wird. Wenn Benutzer A ein tgz entpackt und im tgz die Rechte 
der Gruppe auf readonly stehen, dann haben die entpackten Dateien genau diese 
Rechte. Und wenn jetzt Benutzer B diese schreiben will darf er das nicht! 
Auch die Rechte darf Benutzer B nicht neusetzen. Mit mv ist es noch 
schlimmer, da mit mv keine Dateirechte geaendert werden!
Probleme kann es auch noch mit Programmen geben, die mit ACLs nichts anfangen 
koennen (es ist moeglich (wenn g+s nicht gesetzt ist) dass die standard Gruppe 
nicht die gewuenschte Gruppe ist und die gewuenschte Gruppe nur in der ACL 
auftaucht). Zum Glueck hatte ich da bisher kaum Probleme.

Am liebsten waere es mir, ich koennte im Dateisystem genau definieren wie die 
Rechte auszusehen haben und dass die Benutzer keine Moeglichkeit haben diese 
zu aendern. Ist soetwas moeglich?

Oder was habt ihr so fuer Ansaetze fuer korrekte Dateirechte?


PS: Bitte erzaehlt mir nichts von cronjobs!


-- 
Gruss
                                                          \|/
       eMHa                                              (o o)
------------------------------------------------------oOO--U--OOo--
 Markus Hochholdinger
 e-mail  mailto:Markus@xxxxxxxxxxxxxxxxx             .oooO
 www     http://www.hochholdinger.net                (   )   Oooo.
------------------------------------------------------\ (----(   )-
                                                       \_)    ) /
                                                             (_/



--
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: http://wiki.uugrn.org/wiki/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/