Wie erstellen Sie einen Benutzer mit Lese- und Schreibzugriff auf das Heimatverzeichnis eines anderen Benutzers?

1474
Simon

Ich bin neu in Linux und brauche Hilfe, um einen Benutzer mit besonderen Rechten zu erstellen.

Ich habe einige Artikel und "Wie Linux-Berechtigungen funktionieren" gelesen, aber noch nicht verstanden, wie es in der Praxis funktioniert.

Ich möchte einen Benutzer erstellen, der nicht die Berechtigung hat, "su / sudo" zu verwenden oder Lese- und Schreibzugriff auf den Rest des Systems zusätzlich zu seinem eigenen Home-Verzeichnis zu haben. Außerdem haben diese Benutzer das Recht, das Heimatverzeichnis eines anderen Benutzers zu lesen, zu schreiben und zu ändern.

Ist das möglich? Eine Erklärung und die notwendigen Befehle sind enorm zu schätzen :)

  • Der Teil "Lesen / Schreiben zum Rest des Systems" ist nicht obligatorisch. Der wichtige Teil ist der Lese- / Schreib- / Änderungszugriff auf den Homefolder eines anderen Benutzers.
0
Bitte geben Sie genauer an, was Sie erreichen möchten. Einiges von dem, was Sie beschreiben, ist ziemlich einfach, aber einiges ist unklar. Standardmäßig (bei den meisten Distributionen) haben Benutzer kein Recht, sudo auszuführen. Der Rest dieses Absatzes ist jedoch nicht sehr klar. Standardmäßig können Benutzer nur ihre eigenen Heimatverzeichnisse lesen und schreiben. Wenn Sie Benutzer zum Freigeben von Dateien usw. benötigen, ist es wahrscheinlich am bequemsten, ein "globales" Verzeichnis zu erstellen, das einer dedizierten Gruppe gehört, und die Benutzer dieser Gruppe zuzuweisen. Sie können dasselbe mit mehreren Optionen erreichen, wobei die beste davon abhängt, was Sie erreichen möchten. Bram vor 12 Jahren 0
In Ordung. Vergessen Sie den Sudo-Teil, da ich stattdessen "erlaubte Sudoer" konfiguriert habe. Ich habe bereits einige Dienste in Betrieb, die in einem vorhandenen Homefolder funktionieren. Es empfiehlt sich, stattdessen einen anderen globalen Ordner zu erstellen. Allerdings dauert es lange, bis meine laufenden Dienste neu konfiguriert werden. Ich habe alle Benutzer hinzugefügt, die Berechtigungen für den Ordner in einer Gruppe haben sollen. Szenario; anders besitzt den Ordner / home / anders /. Die Gruppe "Forschung" sollte auch vollen Zugriff auf / home / anders haben. Anders sollte immer noch die gleichen Berechtigungen haben wie immer. Grüße Simon vor 12 Jahren 0
Ich kann ein bisschen wissen, wie es geht (durch ein paar googeln in Bezug auf Berechtigungen), aber ich bin nicht sicher und möchte die bestehenden Einstellungen für den Benutzer "anders" nicht durcheinander bringen, da einige Dienste bereits in Betrieb sind. Simon vor 12 Jahren 0
Dateien, die von einer Gruppe verwendet werden, dürfen sich nicht im Basisverzeichnis der Gruppenmitglieder befinden. Das Heimatverzeichnis eines Benutzers ist "privat", da es Elemente enthält, auf die kein anderer Benutzer zugreifen kann. Beispielsweise können viele Konfigurationsdateien Passwörter und andere private Daten enthalten. Wenn Sie anderen Benutzern Zugriff gewähren, wird dies eine Welt voller Schmerzen und anderer Sicherheitsrisiken. Es ist viel einfacher und vor allem sicherer, ein Verzeichnis für die Recherche zu erstellen und anders und die anderen Mitglieder des "Forschungsteams" (Gruppe) auf dieses Verzeichnis zuzugreifen. Für Dienste sollten sie am besten von / opt, / var oder / usr / local ausgeführt werden. Bram vor 12 Jahren 0
Wird der "angegebene Benutzer" nur zum Speichern dieses freigegebenen Verzeichnisses verwendet? Wenn ja, geben Sie einfach allen Benutzern, die Zugriff auf den angegebenen Benutzer haben sollen, das Recht, diesem angegebenen Benutzer `sudo` zu geben. Dies gibt ihnen alle Rechte dieses Benutzers, einschließlich der Rechte an ihrem Heimatverzeichnis. (Was sollte alles sein, was sie haben.) David Schwartz vor 12 Jahren 0
Ich weiß, dass dies alles andere als beste Praxis ist, und ich weiß, dass es völlig falsch ist, es so zu machen. Es dauert jedoch etwa 1 Tag, um sich neu zu konfigurieren, und auf diesem Computer werden keine wichtigen Dinge ausgeführt. Daher ist es nicht so wichtig, dass "es auf die richtige Weise gemacht werden muss". Der Benutzerordner speichert nur einige Daten und arbeitet mit Dateien, die einem Ordner in einem anderen Verzeichnis als "anders" hinzugefügt wurden. Und ja, dieser Benutzer wird nur dazu verwendet, das Freigabe-Verzeichnis zu speichern. Keiner der Benutzer in der Forschungsgruppe oder "anders" macht tatsächlich etwas auf dem Server. @Bram Simon vor 12 Jahren 0
Anders betreibt einige Dienste, die Dateien in seinem Heimatverzeichnis speichern und damit arbeiten. Die Benutzer der "research" -Gruppe stellen nur über sFTP eine Verbindung her, um Dateien im Home-Ordner zu lesen / schreiben / ändern. Was ich vermute, ich kann die Gruppe nicht einfach hinzufügen, um "anders" zu können, da sie nicht über sFTP funktioniert. @ DavidSchwartz Simon vor 12 Jahren 0
Das ändert, was Sie erreichen möchten. Deshalb empfehle ich Ihnen, den Zweck des Servers und der Konten klar zu beschreiben. Nehmen Sie das nicht falsch, aber Sie sollten sich wirklich die Mühe machen, das System richtig einzurichten. Die Arbeit eines Tages mag jetzt viel erscheinen, aber in ein paar Monaten, in denen Sie etwas reparieren müssen, nachdem Sie alle möglichen Zusatzdienste usw. zu diesem System hinzugefügt haben, verbringen Sie viel mehr Zeit als diese . Ich schreibe eine kurze Antwort, die Ihnen erlauben sollte, was Sie brauchen. Bram vor 12 Jahren 0

2 Antworten auf die Frage

1
michel-slm

Sie können dem Benutzer, den Sie benötigen, die Berechtigung erteilen setfacl(Dateizugriffssteuerungsliste festlegen).

z.B:

setfacl -R -m u:snooper:rw target-user 
0
Bram
  1. Erstellen Sie einen dedizierten Benutzer und eine Gruppe "resaerch", um die Dienste mit einem Heimatverzeichnis außerhalb des regulären Bereichs auszuführen, /homez/research
  2. Fügen Sie alle Benutzer, die Zugriff auf das Rechercheverzeichnis benötigen, der Gruppe "Research" hinzu, und legen Sie ihr Heimatverzeichnis auf "Nicht /researchzulassen" fest/sbin/nologin
  3. Richten Sie den FTP-Daemon so ein, dass Benutzer in ihrem Heimatverzeichnis chroot sind, sodass sie nur dieses Verzeichnis sehen können