[linux] Re: gebruikersrechten voor aagjes..?

Daniel C. von Asmuth asmuth op bakunin.xs4all.nl
Do Sep 3 17:52:19 CEST 2015 

Aldus schreef Fred op Thu, Sep 03, 2015 at 04:46:14PM +0200:
> Ik ben wederom, in het proces de linux rechten enigszins te begrijpen, 
> iets tegengekomen wat ik vreemd vind. Namelijk dat de ~/home directory's 
> van de gebruikers (behalve die van mij) voorzien zijn van execute en 
> read rechten op zowel de groep als andere.
> 
> Ik kan geen argument bedenken waarom je dit zou willen, maar ik ben dan 
> ook niet nieuwsgierig naar wat andere in hun home directory hebben. Maar 
> ongetwijfeld moet hier een ander goed argument voor zijn omdat ik mij 
> niet kan voorstellen dat het fout is.  Aan de andere kant kan ik me niet 
> voorstellen dat het zo hoort dat elke gebruiker op een systeem vrij kan 
> rond snuffelen in de directory's van ander gebruikers.
> 
> Maar misschien zie ik iets helemaal niet goed en kom ik daar hier achter 
> ...;-)
> 
> ps Vermoedelijk heb ik die gebruikers met 'adduser' aangemaakt.
> 
> Fred

De regels zijn niet zo moeilijk, als je bedenkt dat er accounts zijn
voor normale mensen in /home en accounts voor bepaalde applicaties met
andere home directories.

De permissiebits zijn verdeeld in drie groepen: de toegangsrechten voor
de eigenaar van het bestand, voor anderen die tot de zelfde groep
behoren en voor nog andere personen (die wel een account op uw systeem
hebben). De belangrijkste bits zijn r (read), w (write) en x (execute, 
voor programma's en shell scripts). Overigens kan een gebruiker lid
zijn van meerdere groepen (in /etc/passwd staat de primaire groep en 
in /etc/group de rest), maar een bestand heeft maar 1 groep. 

Om een bestand te kunnen openen heb je niet genoeg aan 'r' permissie op
de file, maar je moet ook je execute permissie hebben op de directory
waar de file in staat en al diens parent directories; de r permissie op
de directory heb je nodig om een lijst van alle files in die directory 
op te vragen. Om een nieuwe file te maken, een file te verwijderen, de naam
of de permissies te wijzigen moet je 'w' permissie hebben op de
directory (niet noodzakelijk op de file zelf). 

Zie https://en.wikipedia.org/wiki/File_system_permissions

Voor Linux heeft gebruiker fred doorgaans de 'rwx' permissies nodig op
/home/fred. Het is heel gebruikelijk dat studenten die samen aan een
project werken elkaar toegang geven tot hun documenten. Dat kun je doen
door /home/fred in de groep 'lustrum' te zetten en de x permissie op 
die directory te zetten, maar niet op andere bestanden en
subdirectories. Dan kun je een directory /home/fred/lustrum maken met
eigenaar fred en groep lustrum en 'rwxts' permissies voor leden van die
groep. Beslis dan zelf welke bestanden je voor groepsleden leesbaar wilt
maken, ook schrijfbaar en voor programma's ook uitvaarbaar. 

Waar Windows soms alle gebruikers toegang geeft tot alle bestanden, zijn 
de default permissies op Linux meestal beperkter en met goede reden. Hoe
u de toegang tot uw home directory instelt is uw eigen zaak en elke 
gebruiker kan die permissies doorgaans ook zelf veranderen.
Systeembeheerders hebben een regel dat een gebruiker of proces net genoeg
toegangsrechten moet hebben en liefst niet meer.

Tegenwoordig zijn er nog andere manieren om permissies te regelen,
bijvoorbeeld met de POSIX Access Control Lists. Hoe de toegang tot
bestanden op een Windows CIFS server wordt geregeld is bijv. wat
complexer. 

Met vriendelijke groet,



Daniel von Asmuth





-- 
	
		Beware of logic, for it leads to paradox. 
		Steer clear of paradoxes, for they defeat logic.

More information about the Linux mailing list