[lug-ld] Frage zu Ubuntu: Benutzer private Gruppennamen! Sinn oder Unsinn?

Christian Boltz lug-ld at cboltz.de
Sa Apr 18 22:07:16 CEST 2009 

Hallo Jean-Jacques, hallo Leute,

vorweg: ich bin als openSUSE-Nutzer gewohnt, dass jeder in "users" ist. 
Eine Gruppe pro User bin ich nicht gewohnt, und ehrlich gesagt hatte 
ich auch nie Bedarf dafür ;-)

Bitte diese Mail nicht falsch verstehen - mir geht es nicht um 
irgendeinen Distri-Krieg oder "meine Methode ist besser". Ich 
will "nur" die Sinnhaftigkeit dieser Methode kritisch beleuchten.
Vielleicht findet sogar jemand Gegenargumente zu meinen Statements - 
würde mich sogar freuen.

Und am Besten diese Mail mit einem Augenzwinkern lesen - ich habe gerade 
eine Runde blog.fefe.de gelesen und noch seinen Schreibstil im Kopf.
Und meine Zufallssig(!) passt auch wieder wie die Faust aufs Auge...

Am Samstag, 18. April 2009 schrieb Jean-Jacques Sarton:
> Wilhelmshavener schrieb:
> > Benutzer die unter Ubuntu angelegt werden ("marcus", "nicole", etc)
> > bekommen als Hauptgruppe nicht "users" sondern die gleiche
> > Bezeichnung ("marcus", "nicole", etc).
> >
> > Was für ein Sinn macht dies?
>
> Dies soll der Sicherheit dienen. Wenn die Gruppen rechte für user
> rw-r?--- wären
> könnte Nicole die Dateien von Marcus lesen, dies könnte unter
> Umständen peinlich
> sein.

Dann setzt man eben keine Leserechte für die Gruppe.

Davon abgesehen: Was ist, wenn es Leserechte für alle gibt (rw-r--r--)? 
Dann nützt die beste Gruppen[nicht]zugehörigkeit nichts ;-)

IMHO regelt man diese Frage über chmod, nicht über chgrp ;-)

Zur Klärung der Sinnhaftigkeit: Was sind die _Standard_-Berechtigungen 
unter Ubuntu (z. B. fürs Home-Verzeichnis)? Und was ist standardmäßig 
als umask gesetzt?

> DU kannst allerdings nicole als mitglied der Gruppe marcus bestimmen
> (und auch
> umgekehrt) das dass der gegenseitugen Zugriff auf nicht optimal
> geschützte Dateien wieder gewährt wird.

OK, das ist ein echter Vorteil. Oder war es zumindest, solange ACL noch 
nicht überall unterstützt wurden.

Der Nachteil bei den Gruppen ist, dass root die entsprechenden Leute in 
die Gruppen aufnehmen muss und dass man chgrp nur zu Gruppen, in denen 
man selbst ist, aufrufen kann. (Root wie immer ausgenommen, klar.)
Mindestens einer der Beteiligten muss also root nerven.

Und was mache ich, wenn ich per chgrp Rechte für zwei Leute vergeben 
will? *g*

Per ACL ist das flexibler: Ich kann ohne root-Rechte anderen Usern und 
Gruppen Rechte geben, auch wenn ich selbst nicht in diesen Gruppen bin.
Und ich kann auch einzelne Dateien oder Verzeichnisse "freigeben", 
während mit der Gruppenzugehörigkeit gleich alle Dateien verfügbar sind 
(sofern Rechte für die Gruppe gesetzt sind). Und natürlich kann ich 
auch mehreren Leuten gleichzeitig Zugriffsrechte geben.


Gruß

Christian Boltz
-- 
I read the BOFH texts long time ago and remember them, but this attitude
is unfortunately not really called for business Linux versions ;)
"In the new SUSE Linux release we are now standardizing on the 'netcat'
 browser. It is fully costumable to your viewing experience." ;)
[Marcus Meissner in suse-security]