nicht angemeldet
Festplatten unter Linux sperren
Hallo,
ich möchte für bestimmte User bei meinem Suse Linux die Festplatten (C:D:) sperren, so dass diese nur etwas in ihrem Home-Verzeichnis anrichten können :)
Allerdings habe ich so einen Punkt "Nichtfreigabe" nicht gefunden, da die Festplatten immer gemountet werden.
Wo kann man das einstellen, dass die Festplatten gar nicht mehr sichtbar oder nicht mehr freigegeben sind?
Danke und Gruss
max
-
Hallo max,
ich möchte für bestimmte User bei meinem Suse Linux die Festplatten (C:D:) sperren, so dass diese nur etwas in ihrem Home-Verzeichnis anrichten können :)
Ich glaube, du hast das System unter Linux noch nicht ganz verstanden: Es gibt keine separaten »Laufwerke« wie C: oder D:. Stattdessen werden die Festplatten in den Verzeichnisbaum an einer beliebigen Stelle eingebunden, "gemounted". Für den Anwender ist es erstmal nicht zu bemerken, ob es sich nur um ein anderes Verzeichnis handelt, oder ob es eine gesamte andere Festplatte oder Partition ist.
Allerdings habe ich so einen Punkt "Nichtfreigabe" nicht gefunden, da die Festplatten immer gemountet werden.
Das ist auch so. Wenn du verhindern willst, dass bestimmte User keinen Zugriff auf die Daten auf der Festplatte haben, solltest du die Zugriffsrechte der Dateien mit chmod anpassen. Natürlich kannst du auch in /etc/fstab verhindern, dass eine Festplatte automatisch gemounted werden, in der Regel ist das aber keine gute Idee, da dann auch andere User nicht darauf zugreifen können. Außerdem gibt es auch außerhalb des Home-Verzeichnisses Dateien, die jeder User zumindest lesen können muss.
Schöne Grüße,
Johannes
--
ss:| zu:) ls:[ fo:) de:] va:) ch:) n4:| rl:) br:< js:| ie:{ fl:( mo:}-
Das ist auch so. Wenn du verhindern willst, dass bestimmte User keinen Zugriff auf die Daten auf der Festplatte haben, solltest du die Zugriffsrechte der Dateien mit chmod anpassen.
Hallo,
Danke für eure Hilfe, allerdings habe ich von Linux noch wenig Ahnung. Kannst Du mir helfen, wie denn der Befehl denn dann lauten muss, wenn ich als administrator für einen User beispiel ein Verzeichnis sperren will:
chmod beips
-
Hallo Max,
Danke für eure Hilfe, allerdings habe ich von Linux noch wenig Ahnung. Kannst Du mir helfen, wie denn der Befehl denn dann lauten muss, wenn ich als administrator für einen User beispiel ein Verzeichnis sperren will:
chmod beips
Nein, so einfach geht das nicht. Dazu musst du erstmal genauer wissen, welche Attribute eine Datei unter Linux haben kann. Die Rechte einer Datei kannst du dir mit dem Befehl ls -l anzeigen.
-rwxr-xr-- 1 johannes users 329 Apr 28 15:10 test.sh
Bei diesem Beispiel ist johannes der Benutzer und users die Gruppe, zu der die Datei gehört. »-rwxr-xr--« sind die Rechte, die die verschiedenen Klassen von Benutzern an der Datei haben.
»r« bedeutet, dass die Datei geöffnet und gelesen werden kann; »w«, dass der User die Datei auch verändern kann und »x«, dass der User die Datei ausführen kann - also als Programm ablaufen lassen.
Bei Verzeichnissen bedeutet »r«, der Benutzer kann den Inhalt des Verzeichnisses lesen (z.B. mit ls); »w«, dass er neue Dateien in dem Verzeichnis anlegen kann (oder bestehende löschen) und »x«, dass er mit cd in das Verzeichnis wechseln kann.
Nun gibt es für jede Datei drei verschiedene Klassen von Usern: 1. Der Benutzer, dem die Datei gehört (»user«); 2. Alle Benutzer, die in der Gruppe sind, zu der die Datei gehört (»group«) und 3. Alle anderen Benutzer (»other«).
Im obigen Beispiel kann der Eigentümer die Datei lesen, schreiben und ausführen (»rwx«), Benutzer der Gruppe »users« können die Datei nur lesen und ausführen (»r-x«) während alle übrigen Benutzer die Datei nur lesen können (»r--«).
Mit chmod kannst du die Rechte der verschiedenen Benutzergruppen an der Datei ändern. Die geschieht nach dem Schema:
chmod benutzer[+|-]rechte
»benutzer« ist in diesem Fall entweder »u« für user, »g« für group, »o« für others oder »a« für alle Gruppen. Mit + bzw. - gibt's du an, ob du für diese Gruppe, die entsprechenden Rechte hinzufügen oder entfernen willst. »rechte« ist schließlich eine beliebige Kombination aus »r«, »w« und »x«.
Wenn du also die Datei oben für alle Benutzer unausführbar machen wolltest, könntest du dies mit dem Befehl
chmod a-x
tun.
Ich hoffe ich konnte dir helfen - weitere Informationen erhälst du auch mit man chmod.
Schöne Grüße,
Johannes
--
ss:| zu:) ls:[ fo:) de:] va:) ch:) n4:| rl:) br:< js:| ie:{ fl:( mo:}-
Hi,
weitere Informationen erhälst du auch mit man chmod.
Nein, so funktioniert das bei einem Anfänger nicht, mit einer Manpage kann der nichts anfangen ;-)
Nein, so einfach geht das nicht. Dazu musst du erstmal genauer wissen, welche Attribute eine Datei unter Linux haben kann. Die Rechte einer Datei kannst du dir mit dem Befehl ls -l anzeigen.
-rwxr-xr-- 1 johannes users 329 Apr 28 15:10 test.sh
Da der Kollege Johannes die Details schon klärte, mache ich mich mal an das Allgemeine - keine Angst, Antwort auf Deine Frage ist auch mit drin ;-)
Ich erlaube mir mal, Dein Beispiel zu nehmen Johannes, ja?
So eine Angabe aus 'ls -l' kann man in Gruppen aufteilen, Mein Trenner sei hier das kaufmännische Und, auch Ampersand genannt:"&"
-&rwx&r-x&r--&1&johannes&users&329&Apr 28 15:10&test.sh
1. Ist ein Verzeichnis 'd', ein Unix Socket 's' oder eine Datei '-'.
2. Das ist die Gruppe des Besitzers, in diesem Fall "johannes" aus der Gruppe "users". Die Reihenfolge der Symbole ist immer gleich auch bei den folgenden Gruppen:
- lesen dürfen 'r' oder nicht '-'
- Schreiben dürfen 'w' oder nicht '-'
- Ausführen dürfen mit folgenden Untersymbolen
- x bedeutet: ausführbar (rechtlich, nicht praktisch! ;-)
- s -"- : ausführbar und darf es sich aussuchen mit
welchen Rechten.
- S -"- : darf es sich aussuchen mit welchen Rechten
ist aber nicht direkt ausführbar
- t -"- : ausführbar mit "sticky-bit"
- T -"- : hat das "sticky-bit" gesetzt, ist aber nicht
direkt ausführbar.
- - -"- : nichts dergleichen.
3. Die Gruppe der Rechte für die Gruppe, in diesem Fall "users"
4. Alle anderen.
5. ist die Anzahl an Links
6. Der Name des eingetragenen Benutzers
7. Der Name der Gruppe des eingetragenen Benutzers
8. Die Größe der Datei oder bei Verzeichnissen die Menge der allozierten Blöcke (default 1024 Bytes). Muß man nicht unbedingt wissen was das ist, hat halt ebenfalls mit der Größe zu tun ;-)
9. Der Zeitstempel. Falls das mehr als 6 Monate sind oder die Zeit in der Zukunft liegt wird das Jahr angegeben.
10. Name der Datei/VerzeichnissesWie ich mir das hier durchlese ist das leider weniger klar, als von mir beabsichtigt, da hätte ich auch genausogut Links auf die üblichen Verdächtigen anlegen können.
Nun denn: bei Fragen einfach ... äh ... fragen ;-)Ah, da fällt mir doch noch etwas ein: Um die Zugriffrechte auf Verzeichnisse zu beschränken, ist das _Ausführungsbit_ zuständig, also ein 'x'. Beispiel:
$ ls -lR
.:
insgesamt 1
drwxr-xr-x 2 cz users 72 Sep 6 15:06 verzeichnis-1
drwxr-xr-x 2 cz users 48 Sep 6 15:05 verzeichnis-2./verzeichnis-1:
insgesamt 0
-rw-r--r-- 1 cz users 0 Sep 6 15:06 testfile./verzeichnis-2:
insgesamt 0Also zwei Verzeichnisse, das erste hat eine Datei drin (mit Länge 0, also ohne jeglichen Inhalt) Lesen und die Verzeichnisse "besuchen" darf ein jeder, schreiben nur ich ("cz" aus der Gruppe "users").
$ chmod go-rx+w,u-w verzeichnis-1
$ ls -l
insgesamt 1
drwxr--r-- 2 cz users 72 Sep 6 15:06 verzeichnis-1
drwxr-xr-x 2 cz users 48 Sep 6 15:05 verzeichnis-2Damit habe ich also der Gruppe ('g' wie "group") "users" und allen Anderen ('o' wie "other") für das Verzeichnis "verzeichnis-1" Besuchsrechte und Leserechte entzogen dafür aber Schreibrechte zuerkannt. Dem Benutzer ('u' wie "user") werden dafür dann die Schreibrechte aberkannt. Das ist zwar ziemlicher Unsinn, aber sollte ja auch nur die Syntax (eine mögliche Syntax, es gibt noch eine andere) klären.
Es gibt übrigens auch noch das Kürzel 'a' wie "all" für "alle Rechte in allen Rechtegruppen auf einmal ändern".$ chmod a+rwx verzeichnis-1
$ ls -l
insgesamt 1
drwxrwxrwx 2 cz users 72 Sep 6 15:06 verzeichnis-1
drwxr-xr-x 2 cz users 48 Sep 6 15:05 verzeichnis-2so short
Christoph Zurnieden
-
Hallo Christoph,
weitere Informationen erhälst du auch mit man chmod.
Nein, so funktioniert das bei einem Anfänger nicht, mit einer Manpage kann der nichts anfangen ;-)
Ich denke doch, dass man auch als Anfänger bei Problemen mal in der Manpage nachgucken kann. Es mag zwar sein, dass man nicht viel versteht, aber so gewöhnt man sich dafür direkt daran. Und danach kann er ja trotzdem noch im Forum nachfragen.
Schöne grüße,
Johannes
--
ss:| zu:) ls:[ fo:) de:] va:) ch:) n4:| rl:) br:< js:| ie:{ fl:( mo:}-
Hallo,
erstmal danke für die Infos, jetzt kenne ich mich zumindestens theoretisch aus. Leider habe ich da irgendwie Probleme, da obwohl der Befehl ohne Fehlermeldung ausgeführt wird, sich die Rechte trotzdem nicht ändern.
Auch im KDE kann man ja die Rechte einstellen, aber ich drücke auf OK und trotzdem werden die Rechte nicht übernommen.
Ich habe es auch als Root probiert.
Gruss
max
-
-
-
-
-
Hi,
ich möchte für bestimmte User bei meinem Suse Linux die Festplatten (C:D:) sperren, so dass diese nur etwas in ihrem Home-Verzeichnis anrichten können :)
Allerdings habe ich so einen Punkt "Nichtfreigabe" nicht gefunden, da die Festplatten immer gemountet werden.
Wo kann man das einstellen, dass die Festplatten gar nicht mehr sichtbar oder nicht mehr freigegeben sind?Es befindet sich in /etc eine Datei namens fstab. Dort werden Aliase für mount(8) bereitgehalten. Dort kannst Du entweder die betreffenden Zeilen (die allerdings nicht "D:" bzw "C:" heißen ;-) auskommentieren/löschen oder einschränken. Letzteres ist aber nicht einfach, da müßtest Du DIch ziemlich in die Feinheiten von mount(8) einarbeiten. Solches Wissen ist zwar nicht verkehrt, aber wenn's grad schnell gehen muß ... ;-)
BTW: für einen regulären Multiuserbetrie ist SuSE nicht unbedingt erste Wahl, da wäre wohl OpenBSD besser bzw Debian stable, wenn's denn Linux sein muß. Benutzer sind schlimmer als eine löchrige Netzanbindung! ;-)
so short
Christoph Zurnieden
-
Hallo Christoph,
BTW: für einen regulären Multiuserbetrie ist SuSE nicht unbedingt erste Wahl, da wäre wohl OpenBSD besser bzw Debian stable, wenn's denn Linux sein muß. Benutzer sind schlimmer als eine löchrige Netzanbindung! ;-)
Ich sehe keinen Grund, warum sich ein Multi-User-Betrieb nicht auch mit SuSE durchführen lässt. Und darüber, ob Debian stable überhaupt noch vernünftig einsetzbar ist, lässt sich ja auch streiten ;-)
Schöne Grüße,
Johannes
--
ss:| zu:) ls:[ fo:) de:] va:) ch:) n4:| rl:) br:< js:| ie:{ fl:( mo:}-
Hi,
BTW: für einen regulären Multiuserbetrie ist SuSE nicht unbedingt erste Wahl, da wäre wohl OpenBSD besser bzw Debian stable, wenn's denn Linux sein muß. Benutzer sind schlimmer als eine löchrige Netzanbindung! ;-)
Ich sehe keinen Grund, warum sich ein Multi-User-Betrieb nicht auch mit SuSE durchführen lässt.
Klar geht es. Aber per deafult ist das ein Einzelplatz- _oder_ ein dediziertes Serversystem, da hätte ein Anfänger erkleckliche Schwierigkeiten, daraus ein vernünftiges und vor allem sicheres Multiusersystem zu machen. Das geht bei Debian etwas besser.
Aber auch nicht viel, zugegeben ;-)Und darüber, ob Debian stable überhaupt noch vernünftig einsetzbar ist, lässt sich ja auch streiten ;-)
Da muß ich natürlich zurückfragen: wofür einsetzen?
Ich setze das für Einzelplatzdesktops immer ein. Da _drauf_ kommen dann die notwendigen neuen Programmversionen. Es ist auch selten mehr als eine Handvoll.
Hin und wieder kommt das Dingen auch auf kleinen Servern zum Einsatz, wenn der Admin sich da besser auskennt als in BSD.Möchtest Du Bleeding Edge Software: lad Dir die neueste Knoppix runter ;-)
so short
Christoph Zurnieden
-
Hallo Christoph,
Da muß ich natürlich zurückfragen: wofür einsetzen?
Ich setze das für Einzelplatzdesktops immer ein. Da _drauf_ kommen dann die notwendigen neuen Programmversionen. Es ist auch selten mehr als eine Handvoll.
Naja, möglicherweise unterscheidet sich dein Bedarf an relativ aktuellen Programmen von meinem, aber ich hab es auf meinem Desktop als ich noch Debian benutzt habe nur mit unstable ausgehalten.
Hin und wieder kommt das Dingen auch auf kleinen Servern zum Einsatz, wenn der Admin sich da besser auskennt als in BSD.
Möchtest Du Bleeding Edge Software: lad Dir die neueste Knoppix runter ;-)
Schon mal was von Gentoo gehört? ;-)
Schöne Grüße,
Johannes
--
ss:| zu:) ls:[ fo:) de:] va:) ch:) n4:| rl:) br:< js:| ie:{ fl:( mo:}-
Hi,
Da muß ich natürlich zurückfragen: wofür einsetzen?
Ich setze das für Einzelplatzdesktops immer ein. Da _drauf_ kommen dann die notwendigen neuen Programmversionen. Es ist auch selten mehr als eine Handvoll.
Naja, möglicherweise unterscheidet sich dein Bedarf an relativ aktuellen Programmen von meinem, aber ich hab es auf meinem Desktop als ich noch Debian benutzt habe nur mit unstable ausgehalten.
Gut, für private Zwecke ist das natürlich alles andere als zureichend, wenn ich das einmal so vorsichtig ausdrücken darf ;-)
Bei mir ist's kommerziell, da darf natürlich nicht mehr drauf, als nötig und das dann natürlich ebenfalls bis ins letzte Bit kontrollierbar.Möchtest Du Bleeding Edge Software: lad Dir die neueste Knoppix runter ;-)
Schon mal was von Gentoo gehört? ;-)
Das ist eine gute Idee, aber für mich nicht sinnvoll nutzbar, da ich nicht jedesmal die Zeit habe das Dingen auf jede Kiste anzupassen, zu bauen und vor allem zu testen. Das kann ich mir einfach nicht leisten. Wenn es hoch kommt und es ist ein ganze Reihe baugleicher Kisten passe ich den Kernel an. Aber das auch nicht wegen Speed sondern um alles Unnötige rauszuwerfen. Unter anderem wird ein streng monolithischer Kernel gebastelt, also alles fest eingebaut, und vor allem ohne die Möglichkeit Module zu laden. Wieder eine, wenn auch winzige, mögliche Sicherheitslücke weniger. Hey, ich bekomme meine Paranoia bezahlt! ;-)
so short
Christoph Zurnieden
-
-
-
-