[linux] Re: gebruikersrechten voor aagjes..?

Do Sep 3 19:55:48 CEST 2015

Aldus schreef Fred op Thu, Sep 03, 2015 at 07:04:31PM +0200:
> Hallo Daniel,
> 
> Op 03-09-15 om 17:52 schreef Daniel C. von Asmuth:
> > De regels zijn niet zo moeilijk, als je bedenkt dat er accounts zijn
> > voor normale mensen in /home en accounts voor bepaalde applicaties met
> > andere home directories.
> Ik heb jou reactie met plezier gelezen. Ik zou haast zeggen had het maar 
> eerder gedaan.. :-)
> Ik ben al een paar dagen bezig met lezen en samenvatten hoe het met die 
> rechten in linux zit en hoe ik dat vanaf de command line kan 
> bewerkstelligen.. Gelukkig kon ik jou verhaal dus redelijk volgen.
> Ik moet eerlijk zeggen; Tot de t permissie... het sticky bit dacht ik..? 
> Daar was ik nu bij aangeland.

Het 'sticky bit' is een erfenis uit de Unix begintijd en wordt door
Linux niet meer op de oude manier gebruikt. Ooit was het een vlaggetje
dat aan werd gezet voor veel gebruikte programma's als 'ls' en 'vi' 
om het OS aan te geven dat het programma na gebruik in het hoofdgeheugen 
moest worden gehouden zodat het de volgende keer niet meer van de schijf
moest worden geladen. Tegenwoordig wordt het nog gebruikt voor gedeelde
directories als /tmp en /var/tmp om aan te geven dat iedereen lees,
schrijf en zoekrechten heeft, maar andermans files niet mag verwijderen.

Daarna moet je bedenken dat computers in het bestaan van users geloven,
maar ze nooit zien. Het zijn de processen die User ID's en Group ID's
bezitten en aan de hand daarvan en de genoemde permissies beslist de
kernel of een proces bestanden mag lezen e.d. Alleen processen met het
'root' ID (0) mogen hun identiteit veranderen: een voorbeeld is het 
login (1) programma dat je wachtwoord controleert en daarna overschakelt
naar het ID van 'fred' en diens login shell uitvoert met exec (3). 

Het programma passwd (1) kan je wachtwoord (meestal in /etc/shadow)
veranderen doordat op /bin/passwd het 'set-UID' bit is gezet, wat ervoor
zorgt dat het proces de UID van de eigenaar (root) van het bestand erft. 
Analoog zorgt het 'set-GID' bit ervoor dat het proces dat het programma
start (dus het 'x' bit moet ook gezet zijn) de groepsechten van dat
bestand meekrijgt. Als het setgid bit op een directory is gezet, dan
erven nieuwe bestanden en subdirectories het group ID van de directory
in plaats van van het proces dat ze maakt. 

https://en.wikipedia.org/wiki/Setuid

> Ik begrijp ook dat je e.e.a wel zelf kunt instellen en afregelen. Ik zit 
> mijn best te doen om linux een beetje te begrijpen en dat doe ik graag 
> omdat het voor mij een hobby is. En met deze linux gg bij de hand gaat 
> dat nog beter. Hulde :-)
> 
> De praktijk is hier dat ik een linux laptopje heb staan voor een paar 
> gebruikers die er helemaal geen kaas van gegeten hebben. Maar die kunnen 
> internetten en mailen en wat downloaden.. Zij zijn tot nu toe blij..
> Ik weet zeker dat wanneer de ene broer van de andere weet dat hij gewoon 
> door al zijn ' mappen'  kan browsen de een of de ander al wat minder 
> blij is.. :-) Hoe zij dat kunnen voorkomen weten ze al helemaal niet. 
> Daar ben ik dan voor.. Ik was gewoon verbaast dat zo'n multi user os 
> standaard aan ' Others'  de mogelijkheid geeft door alle directory's te 
> browsen en er geen onderscheid is tussen de directory ' Openbaar' in de 
> home dir van de betreffende gebruiker en bijv. de 'Documenten' directory 
> is...

Inderdaad is dat een beetje vreemd. Het hangt af van de distributie. 

> 
> Nogmaals bedankt voor jou reaktie!
> 
> Fred

Groeten,

Daniel

-- 

		Beware of logic, for it leads to paradox. 
		Steer clear of paradoxes, for they defeat logic. 