Benutzer Gruppen und Dateirechteverwaltung

Zuletzt geändert von ThomasS am 2012/04/19 15:12

Nutzer

adduser newUser # Neuen User anlegen

usermod newUser # Nutzerdetails ändern

# Variante 1: Nutzer und nur Home-Verzeichnis entfernen
deluser newUser --remove-home
#Variante 2: Nutzer löschen und dessen Dateien zu einer Datei
#komprimiert in das aktuelle Verzeichnis ablegen
deluser newUser --backup
# gefährliche Variante 3: Nutzer und ALLE Nutzerdateien
#im gesamten Dateisystem löschen
deluser newUser --remove-all-files

umbenennen
usermod -l <newname> -md <new_home> <oldname>

  • -l benennt den Login-Namen um, ohne das home-Verzeichnis zu verändern
  • -d setzt das neue home-Verzeichnis 
  • -m verschiebt gleich das alte home-Verzeichnis zu der neuen Position.

Gruppen

addgroup newGroup # Gruppe anlegen

adduser newUser newGroup # Benutzer zur Gruppe hinzufügen

delgroup # Gruppe entfernen

POSIX-Dateirechte

siehe chmod

umask

  • 'gesetzte' Rechte werden bei Anlegen neuer Files verwehrt
  • Debian:
    • login-Shell:          /etc/login.defs
    • nicht-login-Shell: /etc/profile
  • Ubuntu:                      /etc/profile
umask 0027 # neue Maske temporär setzen
umask      # gegenwärtige Einstellung anzeigen

Access Control Lists

  • setfacl -n -[m|x] <RECHTELISTE> <DATEILISTE> - Dateirechte setzen
  • getfacl <DATEI> - Dateirechte auslesen

setfacl

setfacl -R -n -[m|x] [u|g]:<value>:<rights> files
setfacl -R -b
# Beispiele
setfacl -mn g:trustedUsers:r-x sharedData
setfacl -mn u:DrEvil:--- sharedData
  • Option
    • r - rekursiv
    • n - nicht implizit die Maske 'aufweichen'
    • m - Rechte setzen (modify)
    • x - Rechte löschen
    • b - ACLs gänzlich entfernen
  • Rechteliste
    • [u|g|m] - Attributbezug
    • u - User
    • g - Group
    • m - Mask (siehe Maske)
    • <value> - Name es Benutzers, der Gruppe
    • <rights> - zu erlaubenden/verbietenden Rechte
      • erlauben: der jeweilige Buchstabe (rwx) wird gesetzt
      • verbieten: ein Minus wird gesetzt (r-x oder ---)
      • Reihenfolge berücksichtigt
  • Dateiliste
    • übliche Dateireferenzierung

Maske

Maximale Rechte, welcher ein Anwender vergeben darf. (Nicht verwechseln mit Standardwert umask; hierzu siehe Default-ACLs). Möglichkeiten zum Setzen der Maske:

setfacl -m [u|g]:<value>:<rights>  # Maske implizit setzen (berechnen)
setfacl -m :<rights>               # Maske explizit setzen
setfacl -mn [u|g]:<value>:<rights> # Maske nicht implizit setzen
#Beispiel
setfacl -m m:007 /home/shared
Implizites setzen passt die Maske so an, dass diese die neuen Dateirechte nicht einschränkt. Daher sollte immer die Option -n verwendet werden

Default-ACLs - Vererbung der Rechte

Erweiterung von umask. Setzt Standardrechte für einen Ordner, aller seinen beliebig tiefen neuen Unterordner und darin neu angelegte Dateien. Und dies separat für Nutzer und Gruppen.

Option: -d

setfacl -dmn [u|g]:<value>:<rights>                   # Setzte Default-ACL für gesamten Ausdruck
setfacl -mn d:u:<value>:<rights> d:g:<value>:<rights> # Setze Default-ACL für zwei Angaben getrennt

Beachte: Das x-Bit für neue Dateien wird aus Sicherheitsgründen nie standardmäßig angelegt.

Tags:
Erstellt von ThomasS am 2014/07/31 12:53
    
Copyright 2004-2019 XWiki
7.4.5