[lug-ld] Frage zu Ubuntu: Benutzer private Gruppennamen! Sinn oder Unsinn?

[Jean-Jacques Sarton]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hallo Christian,

Christian Boltz schrieb:
> Hallo Jean-Jacques, hallo Leute,
>
> vorweg: ich bin als openSUSE-Nutzer gewohnt, dass jeder in "users" ist.
> Eine Gruppe pro User bin ich nicht gewohnt, und ehrlich gesagt hatte
> ich auch nie Bedarf dafür ;-)
>
> Bitte diese Mail nicht falsch verstehen - mir geht es nicht um
> irgendeinen Distri-Krieg oder "meine Methode ist besser". Ich
> will "nur" die Sinnhaftigkeit dieser Methode kritisch beleuchten.
> Vielleicht findet sogar jemand Gegenargumente zu meinen Statements -
> würde mich sogar freuen.
Ich habe mich nicht auf eine bestimmte Distribution festgelegt, nach
meine Erfahrungen, wird aber von viele einw Gruppe für den Anwender
immer angelegt wobei das Defaultverhalten geändert werden kann.
Als ich dies zum ersten mal gesehen habe, war ich auch ein wenig
überrascht, und den Sinn dafür habe ich auch nicht gerade verstanden.
>
> Und am Besten diese Mail mit einem Augenzwinkern lesen - ich habe gerade
> eine Runde blog.fefe.de gelesen und noch seinen Schreibstil im Kopf.
> Und meine Zufallssig(!) passt auch wieder wie die Faust aufs Auge...
>
> Am Samstag, 18. April 2009 schrieb Jean-Jacques Sarton:
>> Wilhelmshavener schrieb:
>>> Benutzer die unter Ubuntu angelegt werden ("marcus", "nicole", etc)
>>> bekommen als Hauptgruppe nicht "users" sondern die gleiche
>>> Bezeichnung ("marcus", "nicole", etc).
>>>
>>> Was für ein Sinn macht dies?
>> Dies soll der Sicherheit dienen. Wenn die Gruppen rechte für user
>> rw-r?--- wären
>> könnte Nicole die Dateien von Marcus lesen, dies könnte unter
>> Umständen peinlich
>> sein.
>
> Dann setzt man eben keine Leserechte für die Gruppe.
>
> Davon abgesehen: Was ist, wenn es Leserechte für alle gibt (rw-r--r--)?
> Dann nützt die beste Gruppen[nicht]zugehörigkeit nichts ;-)
Du hast natürlich recht umask sollte dementsprechend auf 007 gesetzt
werden.
>
> IMHO regelt man diese Frage über chmod, nicht über chgrp ;-)
>
> Zur Klärung der Sinnhaftigkeit: Was sind die _Standard_-Berechtigungen
> unter Ubuntu (z. B. fürs Home-Verzeichnis)? Und was ist standardmäßig
> als umask gesetzt?
Auf Ubuntu ist umask auf 022 gesetzt, auf meine Fedora auf 002.
Die Home Verzeichnisse sind mit Rechte rwx-r-xr-x aud Ubuntu und
rwx------ auf Fedora gesetzt. Bei Ubuntu ist es im Sinn eines Schutztes
nicht optimal auf Fedora passt es.

Sollte eine Verzeischniss für verschiedene Anwender angelegt werden,
könnte auf beide Systeme jederman zum minmdest alles lesen.
>
>> DU kannst allerdings nicole als mitglied der Gruppe marcus bestimmen
>> (und auch
>> umgekehrt) das dass der gegenseitugen Zugriff auf nicht optimal
>> geschützte Dateien wieder gewährt wird.
>
> OK, das ist ein echter Vorteil. Oder war es zumindest, solange ACL noch
> nicht überall unterstützt wurden.
Ich kenne momentan keine Distribution die POSIX ACL nicht unterstützt,
wobei
dies einer Eingenschaft des Dateisystem ist. Bei ältere Linux Systeme sind
POSIX ACL unter Umstände nicht implementiert oder nicht freigeschalten.
>
> Der Nachteil bei den Gruppen ist, dass root die entsprechenden Leute in
> die Gruppen aufnehmen muss und dass man chgrp nur zu Gruppen, in denen
> man selbst ist, aufrufen kann. (Root wie immer ausgenommen, klar.)
> Mindestens einer der Beteiligten muss also root nerven.
Und hier haben ACL klare Vorteile,
>
> Und was mache ich, wenn ich per chgrp Rechte für zwei Leute vergeben
> will? *g*
Nachteil des einfachen UNIX Recht System, eine gruppe für diese beide
Anwender anlegen und diese als Mitglied aufnehmen.
POSIX ACL ist von diese Restriktion nicht betroffen und klar im Vorteil.
>
> Per ACL ist das flexibler: Ich kann ohne root-Rechte anderen Usern und
> Gruppen Rechte geben, auch wenn ich selbst nicht in diesen Gruppen bin.
> Und ich kann auch einzelne Dateien oder Verzeichnisse "freigeben",
> während mit der Gruppenzugehörigkeit gleich alle Dateien verfügbar sind
> (sofern Rechte für die Gruppe gesetzt sind). Und natürlich kann ich
> auch mehreren Leuten gleichzeitig Zugriffsrechte geben.
Geben oder wegnehmen, dies ist ein weiteren Vorteil. Zum Beispiel könnte
Anton auf die Dateien A, B und C die im Vrezeichniss shared_data sind
ganz unterschiedliche Rechte erhalten z.B. rw- für A, r-- für B und
- --- für C

Ein kleinen Manko haben jedoch die ACL, den Anzahl an Einträge ist
begrenzt,
auf ext3 können in etwa 16 Einträge vorhanden sein, bei andere FS ist
die Lage
besser.

Gruß,

Jean-Jacques
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEARECAAYFAknqxiIACgkQM9JbiR3CwQtrfQCggTAYuNba6uuQuEGw/uV+rZVO
g/wAniBpy03TB2ocQOJZcfUYUxgBnhky
=1HwX
-----END PGP SIGNATURE-----