hallo Andre,

Ich bin jetzt am überlegen, wie ich dem Benutzer "trulla" am _besten_ den Zugriff auf alle Verzeichnisse verbiete. trulla soll sich nur unterhalb des Verzeichnisses "/www/domain_fuer_außen/" bewegen können.

"Am besten" geht das meiner Meinung nach, indem du ihn in eine neue Gruppe steckst, für die die gewünschte Rechtevergabe gilt. Solange du mit deiner Gruppe "extern" noch anderes vorhast, ist die Einschränkung der Rechte für ein einzelnes Mitglied dieser Gruppe zwar theoretisch möglich, aber praktisch mit relativ viel Aufwand verbunden.

Ich könnte die "Other" auf 0 (z.B. rwx-r-x----) setzen, also nicht lesen, schreiben und ausführen. Ich überlege aber gerade ob ich das wirklich will

Ich nehme an, daß du inzwischen darauf gekommen bist, daß du das tatsächlich nicht unbedingt willst  -  hängt aber bissel davon ab, wer noch in dieser Gruppe enthalten ist. (Und _ganz_ leise: "rwx-r-x----" ist keine exakte Angabe, was du meinst, ist so etwas wie 721)

und ich nicht etwas entscheidenes vergesse und eventuell somit Systemdienste "aussperre". Die böse Erwachung kommt dann sicherlich erst beim Neustart.

Wie du deine Gruppen zusammengestellt hast, kannst nur du alleine wissen. Systemdienste sollten allerdings alle in anderen Gruppen stecken. Und das "böse Erwachen" kannst du überprüfen, indem du dich einfach auf einer anderen Konsole mal als Benutzer "trulla" anmeldest. Neustart ist dafür nicht zwingend nötig.

Grüße aus Berlin

Christoph S.