/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
UNIX - Brugere, grupper og rettigheder (Va~
Fra : Jesper Krogh


Dato : 07-07-03 20:43

I dk.edb.sikkerhed, skrev Klaus Ellegaard:
> Ja, men igen - hvis du har 50 grupper af personer (det er ikke
> særlig urealistisk, hvis du baserer din infrastruktur på Unix),
> hvordan holder du dem så ude fra hinanden? Og hvordan sikrer du,
> at management-gruppen kan læse personaleafdelingens filer, hvor
> de f.eks. har lister med folks IQ og eventuelle sygdomme, men at
> resten af firmaet ikke kan læse dem, samtidig med at kun dem i
> personaleafdelingen kan skrive i filerne?
>
> Det kan sagtens lade sig gøre, men det er langhåret at holde
> rede på.

I de fleste standard installationer får hver bruger sin egen gruppe. Så
sætter jeg normalt umask til 0022 så at det kun er ejeren der får skrive
og gruppe og ejer der får læse rettigheder.

Hvis så folk kører et projekt sammen eller lign så får det så deres egen
konto. Der sætter jeg så SGID bitten på deres home så nye filer bliver
oprettet med gruppen som ejer og med ovenstående umask vil de andre
medlemmer som gruppen så også have adgang til filerene.

Er det et helt tosset tilgangsvinkel, jeg syntes selv det virker meget
fornuftigt, men jeg må jo erkende at det er meget selvlært..

--
../Jesper Krogh, jesper@krogh.cc
Jabber ID: jesper@jabber.krogh.cc
Tøm din hjerne for Linuxviden på http://www.linuxwiki.dk


 
 
Kasper Dupont (08-07-2003)
Kommentar
Fra : Kasper Dupont


Dato : 08-07-03 08:20

Jesper Krogh wrote:
>
> I de fleste standard installationer får hver bruger sin egen gruppe. Så
> sætter jeg normalt umask til 0022 så at det kun er ejeren der får skrive
> og gruppe og ejer der får læse rettigheder.

Hvis du bruger umask 022 får alle læse rettigheder. De rettigheder du
beskriver kan opnås med en umask på 027.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
It is NOT portable (Linus Benedict Torvalds 1991)

Jesper Krogh (08-07-2003)
Kommentar
Fra : Jesper Krogh


Dato : 08-07-03 08:48

I dk.edb.sikkerhed, skrev Kasper Dupont:
> Jesper Krogh wrote:
> >
> > I de fleste standard installationer får hver bruger sin egen gruppe. Så
> > sætter jeg normalt umask til 0022 så at det kun er ejeren der får skrive
> > og gruppe og ejer der får læse rettigheder.
>
> Hvis du bruger umask 022 får alle læse rettigheder. De rettigheder du
> beskriver kan opnås med en umask på 027.

Der gik selvfølgeligt rod i det undervejs. Jeg vil have at der benyttes
umask 007 for at bruger og gruppe har læse og skrive rettigheder. Dette
gør at umask ikke skal ændres for at det virker i grupper også.



--
../Jesper Krogh, jesper@krogh.cc
Jabber ID: jesper@jabber.krogh.cc
Tøm din hjerne for Linuxviden på http://www.linuxwiki.dk


Kasper Dupont (08-07-2003)
Kommentar
Fra : Kasper Dupont


Dato : 08-07-03 21:03

Jesper Krogh wrote:
>
> Der gik selvfølgeligt rod i det undervejs. Jeg vil have at der benyttes
> umask 007 for at bruger og gruppe har læse og skrive rettigheder. Dette
> gør at umask ikke skal ændres for at det virker i grupper også.

Den umask er ikke helt uden problemer. F.eks. vil sshd (og vist også
andre dæmoner) ikke bryde sig om configurationsfiler med skriveretigheder
for andre end ejeren.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
It is NOT portable (Linus Benedict Torvalds 1991)

Klaus Ellegaard (09-07-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 09-07-03 08:17

Jesper Krogh <jesper@krogh.cc> writes:

>I de fleste standard installationer får hver bruger sin egen gruppe.

Det har altid undret mig. Hvad er det smarte i, at hver bruger
får sin egen gruppe?

Bevares, man kan hurtigt kaste usera ind i userb's gruppe, men hvis
der er 100 brugere, der skal have adgang til hinanden på kryds og
tværs, mister man overblikket totalt. Og ens /etc/group bliver ret
grim.

Mvh.
   Klaus.

Jesper Krogh (09-07-2003)
Kommentar
Fra : Jesper Krogh


Dato : 09-07-03 08:53

I dk.edb.sikkerhed, skrev Klaus Ellegaard:
> Jesper Krogh <jesper@krogh.cc> writes:
>
> >I de fleste standard installationer får hver bruger sin egen gruppe.
>
> Det har altid undret mig. Hvad er det smarte i, at hver bruger
> får sin egen gruppe?
>
> Bevares, man kan hurtigt kaste usera ind i userb's gruppe, men hvis
> der er 100 brugere, der skal have adgang til hinanden på kryds og
> tværs, mister man overblikket totalt. Og ens /etc/group bliver ret
> grim.

Jeg vil mene at langt de fleste installationer har under 10 virkelige
brugere og der er det ret nemt at overskue.

I et stort setup, hvad benytter du så som default gruppe til brugerne?
Bare en stor til alle?

Så alle enten ikke kan læse hinandens filer eller alle kan.



--
../Jesper Krogh, jesper@krogh.cc
Jabber ID: jesper@jabber.krogh.cc
Tøm din hjerne for Linuxviden på http://www.linuxwiki.dk


Klaus Ellegaard (09-07-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 09-07-03 08:58

Jesper Krogh <jesper@krogh.cc> writes:

>I et stort setup, hvad benytter du så som default gruppe til brugerne?
>Bare en stor til alle?

Jep.

>Så alle enten ikke kan læse hinandens filer eller alle kan.

Afhængig af setuppet enten mode 700, 770 eller 775 på brugerens
katalog. Hvad han så gør bagefter, må han selv ligge at rode
med.

Mvh.
   Klaus.

Kasper Dupont (09-07-2003)
Kommentar
Fra : Kasper Dupont


Dato : 09-07-03 09:20

Jesper Krogh wrote:
>
> Jeg vil mene at langt de fleste installationer har under 10 virkelige
> brugere og der er det ret nemt at overskue.
>
> I et stort setup, hvad benytter du så som default gruppe til brugerne?
> Bare en stor til alle?
>
> Så alle enten ikke kan læse hinandens filer eller alle kan.

Jeg bruger til dagligt et system med over 2000 brugere. Der er én
gruppe, som indeholder samtlige brugere. Og denne gruppe er default,
når man logger ind. Derudover har vi et kommandolinie værktøj, som
brugerne kan bruge til at oprette og ændre grupper.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
It is NOT portable (Linus Benedict Torvalds 1991)

Lars B. Dybdahl (09-07-2003)
Kommentar
Fra : Lars B. Dybdahl


Dato : 09-07-03 10:56

Jesper Krogh wrote:
> Jeg vil mene at langt de fleste installationer har under 10 virkelige
> brugere og der er det ret nemt at overskue.

Den bør du nok uddybe lidt - jeg går ud fra, at du mener 10 shell-brugere
eller GUI brugere, og så vil jeg give dig ret. En service server eller
desktop server har jo typisk væsentlig flere entries i /etc/passwd.

I øvrigt kan man jo lade /etc/passwd og /etc/group fremstille af et script -
på den måde kan man nemt simulere grupper af grupper osv.

Lars.

--
Dybdahl Engineering
http://dybdahl.dk/

GnuPG nøgle: http://dybdahl.dk/lars/gpg/

Alex Holst (09-07-2003)
Kommentar
Fra : Alex Holst


Dato : 09-07-03 09:17

Klaus Ellegaard <klausellegaard@msn.com> wrote:
> Jesper Krogh <jesper@krogh.cc> writes:
>
>>I de fleste standard installationer får hver bruger sin egen gruppe.
>
> Det har altid undret mig. Hvad er det smarte i, at hver bruger
> får sin egen gruppe?

Paa mine systemer goer jeg det fordi jeg er fortaler for en umask der
giver gruppen fulde rettigheder til filer og directories. Det tillader
nemlig at den enkelte bruger har sit privatliv i $HOME og samtidigt kan
deltage i de projekter der hostes i f.eks. CVS paa samme system.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Kasper Dupont (09-07-2003)
Kommentar
Fra : Kasper Dupont


Dato : 09-07-03 09:42

Alex Holst wrote:
>
> Klaus Ellegaard <klausellegaard@msn.com> wrote:
> > Jesper Krogh <jesper@krogh.cc> writes:
> >
> >>I de fleste standard installationer får hver bruger sin egen gruppe.
> >
> > Det har altid undret mig. Hvad er det smarte i, at hver bruger
> > får sin egen gruppe?
>
> Paa mine systemer goer jeg det fordi jeg er fortaler for en umask der
> giver gruppen fulde rettigheder til filer og directories. Det tillader
> nemlig at den enkelte bruger har sit privatliv i $HOME og samtidigt kan
> deltage i de projekter der hostes i f.eks. CVS paa samme system.

CVS giver da automatisk skriverettigheder til gruppen på alle de
directories der oprettes i repositoryet, også selvom umask er sat
til at ikke tillade det. Så man skal bare sætte den rigtige gruppe
på det øverste directory, når repository oprettes, og en umask på
2775 eller 0770 afhængig af om man vil tillade læseadgang for alle
personer udenfor gruppen.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
It is NOT portable (Linus Benedict Torvalds 1991)

Alex Holst (09-07-2003)
Kommentar
Fra : Alex Holst


Dato : 09-07-03 12:00

Kasper Dupont <kasperd@daimi.au.dk> wrote:
> CVS giver da automatisk skriverettigheder til gruppen på alle de
> directories der oprettes i repositoryet, også selvom umask er sat
> til at ikke tillade det.

Det har jeg aldrig oplevet. Baade CVS info siderne og Karl Fogel's CVS
bog indikerer det modsatte. Da jeg kiggede i koden for at prikke lidt
til umask behandlingen fandt jeg heller ikke spor af den opfoersel.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Kasper Dupont (09-07-2003)
Kommentar
Fra : Kasper Dupont


Dato : 09-07-03 13:05

Alex Holst wrote:
>
> Kasper Dupont <kasperd@daimi.au.dk> wrote:
> > CVS giver da automatisk skriverettigheder til gruppen på alle de
> > directories der oprettes i repositoryet, også selvom umask er sat
> > til at ikke tillade det.
>
> Det har jeg aldrig oplevet. Baade CVS info siderne og Karl Fogel's CVS
> bog indikerer det modsatte. Da jeg kiggede i koden for at prikke lidt
> til umask behandlingen fandt jeg heller ikke spor af den opfoersel.

På RedHat 7.3 og 9 opfører den sig som jeg har beskrevet:

[kasperd:pts/5] umask
0027
[kasperd:pts/5] mkdir -p /tmp/cvs.test/a/b/c
[kasperd:pts/5] cvs -d /tmp/cvs.test/repository init
[kasperd:pts/5] cd /tmp/cvs.test/a
[kasperd:pts/5:/tmp/cvs.test/a] cvs -d /tmp/cvs.test/repository import -m "" testing foo bar
cvs import: Importing /tmp/cvs.test/repository/testing/b
cvs import: Importing /tmp/cvs.test/repository/testing/b/c

No conflicts created by this import

[kasperd:pts/5:/tmp/cvs.test/a] ls -lR /tmp/cvs.test | grep '^d'
drwxr-x--- 3 kasperd kasperd 4096 Jul 9 14:01 a
drwxrwxr-x 4 kasperd kasperd 4096 Jul 9 14:01 repository
drwxr-x--- 3 kasperd kasperd 4096 Jul 9 14:01 b
drwxr-x--- 2 kasperd kasperd 4096 Jul 9 14:01 c
drwxrwxr-x 3 kasperd kasperd 4096 Jul 9 14:01 CVSROOT
drwxrwxr-x 3 kasperd kasperd 4096 Jul 9 14:01 testing
drwxrwxr-x 2 kasperd kasperd 4096 Jul 9 14:01 Emptydir
drwxrwxr-x 3 kasperd kasperd 4096 Jul 9 14:01 b
drwxrwxr-x 2 kasperd kasperd 4096 Jul 9 14:01 c
[kasperd:pts/5:/tmp/cvs.test/a]

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:aaarep@daimi.au.dk
It is NOT portable (Linus Benedict Torvalds 1991)

Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408926
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste