[LUGA] Mit freundlicher Unterstützung von:
Linux New Media AG

Mail Thread Index


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [luga] UID GID Frage



On Sun, 2016-10-09 at 17:59 +0200, Martin Bammer wrote:
[...]
> > > 
> > Du gehst offenbar davon aus, dass die Benutzer-und Gruppennamen unique
> > sind. Wie willst Du das ohne Verwaltung erreichen? Wenn Du Menschen ihre
> > Usernamen selbst frei wählen lässt, dann werden viele ihren Vornamen
> > oder Nachnamen oder ihre Initialen nehmen. Da wirst Du den ersten
> > Konflikt haben, lange bevor Du 280000 Benutzer hast (als jemand, der
> > Ende der 60er-Jahre den Vornamen "Peter" bekommen hat, kann ich ein Lied
> > davon singen). Wenn Du eindeutige Usernamen haben willst, wirst Du schon
> > mal um eine Art Verwaltung nicht herumkommen (und wenn die nur daraus
> > besteht, dass man die Mitbewohner fragt, ob der Name noch frei ist).
> > 
> 
> Die Zielgruppe für diese Funktionalität sind für mich eher Familien. Für Euch
> Linux Experten mag es wohl unverständlich sein wenn es in der Familie niemanden
> gibt der sich mich LDAP, Linux UIDs und GIDs auskennt. Und in der Vergangenheit

Nein, wir wissen das alle, weil wir haben ja Eltern, Onkel, Tanten,
Cousins, Cousinen;-)

> hat das Problem auch nicht eine so große Rolle gespielt, weil sich mit Linux
> eher die Leute beschäftigt haben die sich mit Computer relativ gut auskennen.

Das hängt auch daran, daß Unix seit Tag ein Multi-User-OS war und da
braucht es halt mehr Wissen (und Organisation).

> Aber wenn Linux nun in Zukunft doch eine größere Benutzerbasis bekommen sollte,
> dann kann man davon ausgehen dass immer mehr Leute zu dieser Gruppe gehören die
> sich nicht besonders gut mit Computer auskennen und auch nicht das Interesse
> haben sich dieses Wissen mühsam anzueignen.

In der Windows-Welt haben die das auch geschafft - so what?

> Ich höre oft von Leuten die ich versuche zu überzeugen dass sie von Windows auf
> Linux umsteigen sollen, dass Linux zu kompliziert ist. Und in der Tat gibt es so
> manche grundlegende Anwendungsfälle die für Leute mit wenig Computerwissen ein
> echtes Problem darstellen.
> 
> Neben dem Problem mit UIDs und GIDs fällt mir auch noch das Sharing von Dateien
> auf einem Computer ein. Mit dem Sharing meine ich jetzt das Teilen von Dateien
> auf ein und demselben PC zwischen mehreren Benutzern.
> Beispiel: Auf einem Familien-PC werden Urlaubsbilder gespeichert. Dateisystem
> ist EXT4. Per Default bekommen die Dateien UID und GID vom Benutzer der die
> Dateien auf den PC spielt. Die Zugriffsrechte werden entsprechend so gesetzt
> dass andere Benutzer NICHT darauf zugreifen können. Zumindest nicht schreibend.
> Echt ärgerlich sowas.

Andererseits wirst Du auch nicht wollen, daß *jeder* User auf deinen
Systemen per default Deine persönlichen Daten anschauen *kann* (ja, der
*darf* das auch gar nicht, aber wenn es geht, wird es irgendwann
einer/einetun).

> Es gibt dafür eine einfache Lösung: Einen Ordner mit einer eigenen Sharing-
> Gruppe anlegen, und das Group-Sticky Bit setzen. Alle Benutzer sind Mitglied bei
> dieser Gruppe. Eigentlich einfach, nur: Ein einfacher User kann so etwas niemals
> einrichten. Dem fehlt dafür einfach das Wissen.

Naja, dann einen guten Eintrag+Kochrezept in einem Blog und die User
finden das dann über Google.

Ich hab auf https://cis.technikum-wien.at/documents/bic/2/bes/semesterp
lan/ sowas für Studenten stehen. Ich hab da (2 Mal) 5 "Familien" drin
sitzen, die statt Photos Sourcecode tauschen können sollen.
Konkret (weil man für obige Seite User+Paßwort dort braucht):
----  snip  ----
Es gibt Unix-Gruppen, die stammgruppe<n>-bicss-ss<jahr> heißen und die
jeweiligen Unix-User enthalten. Damit kann man einfach ein (oder
mehrere) gemeinsame Directories realisieren. Im folgenden Kochrezept
sind die User tw1 - tw4 in der stammgruppe99-bicss-ss9999 (im folgenden
kurz stammgruppe99 genannt).

Mit id kann jeder User die Unix-Gruppenzugehörigkeiten überprüfen.
User tw1 legt ein Directory an: mkdir ~/dir. Nachher gehört das
Directory dem Unix-User tw1 und der (user-spezifischen) Unix-Gruppe
tw1.
User tw1 ändert die Gruppe des Directories: chgrp stammgruppe99 ~/dir
User tw1 ändert die Berechtigungen auf: chmod g+rwxs ~/dir. Damit
bekommt die Unix-Gruppe Lese- (r) und Schreibrechte (w) drauf. Weiters
dürfen Unix-Gruppenmitglieder in das Directory wechseln (x) und neu
angelegte Files gehören sofort der Gruppe stammgruppe99 durch (s).
User tw1 ändert die Berechtigungen seines Homedirectories auf: chmod
go+x ~, damit die anderen Unix-Gruppenmitglieder cd ~tw1/dir machen
dürfen.
User tw2 - tw4 können entweder direkt mit cd ~tw1/dir dort
hineinwechseln oder sie legen sich einen äquivalenten symbolischen Link
an ln -s ~tw1/dir ~/dir und können dann genausogut mit cd ~/dir in das
gemeinsame Directory wechseln.
----  snip  ----
[ Ist eine .html Seite - die ver-.txt-isierung verliert an
Formatierung;-) ]

Obiges ist bewußt minimal und "nur" ein Kochrezept, weil es ausreichen
soll, daß die Leute sich mal damit auseinandersetzen (und auch Manual
Pages lesen sollen;-).

Oder bastel ein user-freundliches Tool, daß genau obiges mit ein paar
einfachen Schritten so umsetzt, daß das "jeder Windows-Verbildete"
kann.
Da trifft man die nächsten lustigen Dinge, wie das mit der Default-
umask ist, wie die einzelen Distro das macht, wo es dann woanders hakt,
weil $TOOL gewisse Permissions auf ~/.ssh oder sonstwo checkt, etc.

> Eine alternative Lösung wäre noch FAT zu verwenden, aber dann verliert man
> sämtliche Metadaten.

Andere alternative Lösung ist: Alle verwenden denselben Account ohne
Paßwort. Das geht vermutlich auf jedem Gerät so.
Aber das will man idR nicht, weil es zuwenig secure und v.a. wenig
privat ist.
D.h. man will "verschiedene User" haben. Und damit sollte es
selbstverständlich sein, sich mit dem Konzept auseinanderzusetzen und
mal grob anzuschauen, wie da was funktioniert - macht man beim neuen
Fernseher, Blu-Ray-Player und Smartphone ja auch, oder?

Mir ist schon klar, daß der aktuelle Cloud-Hype jede Security und
Privacy *massiv* unterläuft und es leider salonfähig geworden ist, mit
bekannt unsicherer Infrastruktur zu arbeiten.
Leider werden da die Leute in die falsche Richtung verbildet (und es
ist auch noch "cool") ....

> Wenn nun die Linux-Distros diese gerade beschriebene Lösung vorinstallieren
> würden dann hätten viele Benutzer schonmal ein Problem weniger.

Und es wäre - wieder mal - per se "unsicher" bzw. ignoriert Privacy-
Aspekte. Die aktuelle Situation (jeder User bekommt auch sein Gruppe
und die default-umask hat "o=") ist da noch das geringste Übel (eben
weil nicht gleich alles offen ist).
Vllt. genügt es schon, für jeden User für diesen Zwecke eine 2. Gruppe automagisch
anzulegen, wo alle Gruppenmitglieder (auch) rwx Zugriff haben, die man für ein
~/share verwendet (das auch setgid ist etc.) und wo man "nur" die anderen User
in die eigene Share-Gruppe packen muß.

> Oder ein anderes Problem: Beim Installieren von Linux fragt der Installer ob man
> verschlüsselte Home-Verzeichnisse haben will. Bestätige ich mit ja, dann wird
> das Home für den ersten Benutzer verschlüsselt eingerichtet. Aber für alle
> folgenden Benutzer muss ich die Konsole bemühen, um verschlüsselte Home-
> Verzeichnisse anlegen zu können. Irgendwie verwirrend und total blöd.

Wenn Du eine gute Lösung weißt, sind Patches - wofür auch immer -
sicher willkommen.

Mfg,
	Bernd
-- 
Bernd Petrovitsch                  Email : bernd@petrovitsch.priv.at
                     LUGA : http://www.luga.at



powered by LINUX the choice of a gnu generation
linux user group austria;
Suche
Suche
Letzte Änderung:
webmaster@luga.at
Oktober 2016