Benutzerrechte organisieren


Peter Seitz (seitz@bzs.tu-graz.ac.at)
Fri, 11 Sep 1998 14:01:33 +0200


Hallo Linux Admins,

wir haben unseren Linux-Server neu installiert und jetzt moechte ich
die Benutzerrechte gleich so planen, damit der Server auch sicher
gegen Angriffe von vorhandenen Usern ist. (ok, es gibt immer wieder
Schwaechen, aber ich moechte nicht farlaessig sein :-) ).

Leider habe ich ueber die Benutzerrechte und Benutzergruppen unter
Linux/Unix sehr wenig gefunden (vielleicht hab ich auch nur an den
falschen Stellen geschaut), daher hab ich einige Fragen.

Ich komme primaer von NetWare und da lassen sich Benutzerrechte sehr
gut mittels Gruppen einteilen.

Ok, hier mal was ich machen moechte:

Gruppe Bescheibung/Zweck
---------------------------------------------------------------------
student der normale user. Ich moechte nicht unbedingt, dass
                jeder user der Gruppe users angehoert.
                Durch diese Gruppe koennte man allgemein zugaengliche
                Bereiche verwalten.

bau Fachbereiche, zu welchem der/die user gehoeren. Dies
maschbau Gruppe sollte die erste Gruppe sein, in der ein User
chemie eingetragen wird, d.h. wenn er/sie eine Datei anlegt
                erhaelt er/sie diese Gruppenzuordnung

www-bau Betreuer der Web-Collection fuer den jeweiligen
www-mb Fachbereich. Normale Fachbereichsuser sollen die
www-chem Web-Collection nicht aendern duerfen.

www-adm Webadmin des gesamten WWW-Servers. Er sollte auch in
                den anderen www-Gruppen eingetragen sein, damit der in
                diesen Collections Aenderungen durchfuehren kann.

adm-ftp Administrator des zentralen ftp-Servers

proj Teilnehmer an einem Projekt, welche spezielle Rechte
                benoetigen, z.B. Zugriff auf eine Datenbank, etc.

proj-cgi Projektteilnehmer, welche CGI-Skripte ausfuehren
                duerfen (bzw in das CGI-Verzeichnis des
                Projektwebservers schreiben duerfen)
proj-www Projektteilnehmer, welche den Projekt-WWW-Server
                pflegen.
proj-ftp Projektteilnehmer, welche einen Teilbereich des ftp-
                Servers betreuen.

guest User mit begrenzten Rechten, welche bestimmte
                Taetigkeiten ausfuehren um z.B. Web-Collections oder
                bereiche des ftp-Servers spiegeln (mirror).

dropoff Eventuell um temporaere Accounts zum Datenaustausch
                von grossen Dateien einzurichten. Zugriff sollte nur
                ueber ftp moeglich sein (falsche Shell definieren).
                Sehr wenig bis gar keine Rechte.
----------------------------------------------------------

Nun die Frage, wie ich das realisieren kann.

Bis jetzt hatte ich den User in die Hauptgruppe eingetragen (also
z.B. "bau" und dann die weiteren Gruppen zugeordnet (also "student",
"www-bau", "adm-ftp").

Ist das richtig so, oder gibt es eine bessere methode?

Kann ich in der groups datei auch Gruppen in Gruppen eintragen?

also z.B. folgendes:

www-bau:user1,user2,user3
www-mb:user7,user9,user11,user15
www-chem:user6
www-adm:user200,www-bau,www-mb,www-chem

Somit haette die Gruppe www-admin auch die Rechte fuer die Gruppen
www-mb, www-chem, www-bau

Nun noch eine Frage zur Handhabung. Soweit ich weiss kann ein User
nur eine Datei loeschen, wenn sie ihm gehoert, auch wenn er Rechte
auf diese Datei ueber eine Gruppenzugehoerigkeit hat.

Wenn nun ein ftp-Team einen Server betreut, werden Dateien in das
incoming Verzeichnis eingespielt und sollen von den Verwaltern
verschoben werden. Normalerweise gehoeren diese Dateien dem User,
unter dem der ftp-server laeuft. Man kann einstellen, welcher Gruppe
diese Dateien gehoeren (z.B. adm-ftp).

Wie muss nun das team agieren? Wenn einer der administratoren die
Datei einfach verschiebt, dann kann der der Datei keine o+r Rechte
geben, da ihm die Datei nicht gehoert. Ist hier die einzige Loesung
die Datei zu kopieren, damit man selber Besitzer dieser Datei wird um
ihr Rechte zu geben? Anschliessend kann man dann die originale Datei
loeschen bzw in ein Verzeichnis verschieben, welches dann von einem
cron-job mit entsprechenden Rechten geloescht wird.

Fuer hilfreiche Kommentare (auch Verweise auf entsprechende URLs oder
Literatur, in der man mehr als eine halbe Seite :-) Information
ueber diese Problematik findet sind herzlich wilkommen.

Eventuelle mehrfachpostings bitte ich zu entschuldigen.

With best compliments

           Peter Seitz

--

Technische Universitaet Graz, Austria - Fak. f. Bauingenieurwesen mailto:seitz@bzs.tu-graz.ac.at - http://wwwbzs.tu-graz.ac.at/~seitz/



This archive was generated by hypermail 2.0b3 on Fri Sep 11 1998 - 14:13:31 CEST