Dateisystemrechte in den /home/... etwas zu locker?

irrlicht · 17. Januar 2019 um 11:40

Tag auch,

ich hab hier das mate.cloop am Start und jeder User kann hier in /home/students… bzw. /home/teachers… zumindest mal rumschnueffeln, einige Dateien lesen, andere nur listen.

Ist das im default.cloop auch so bzw. ist das so erwuenscht? Ich finde das irgendwie nicht so geil.

Gruss Harry

maxEG · 17. Januar 2019 um 12:34

Hallo Harry,

erwünscht ist das glaube ich nicht, aber da ich die Benutzer anstatt “abmelden” synchronisiert starten lasse und die persönlichen Dateien auf dem Server (für abgemeldete Benutzer dann nicht mehr gemountet) liegen, sehe ich das nicht so kritisch.

LG
Max

irrlicht · 17. Januar 2019 um 12:49

Naja, was auf den ersten Blick nicht kritisch ist, kann das schnell werden und wir koennen/wollen nicht jedes mal synchonisieren, haben VMs, die im Unterricht erstellt und konfiguriert werden, die waeren dann jedes mal weg (Domaincontroller usw. usf.)

Mir scheint das Vertrauen in die Robustheit bzw. Sicherheit von Linuxmuster eher nicht so umfaenglich vorhanden, anders laesst sich ja auch nicht erklaeren, dass einige hier jedes Mal/jeden morgen synchronisieren. Wir haben hier Rechner, die laufen ein paar Jahre ohne Sync.

alois · 17. Januar 2019 um 13:06

Hallo Harry,

ich habe das so eingerichtet, dass die Rechner immer am Wochenende geweckt und gesynct werden. Das hat aber nichts mit Misstrauen zu tun, sondern damit, dass ich gern einmal in der Woche die Rechner auf den Ursprungszustand bringen möchte.

Gruß

Alois

maxEG · 17. Januar 2019 um 16:17

Hallo Harry

was hat das mit linuxmuster zu tun? Das ist die Serverlösung.
Synchronisation macht man nur auf den Clients. Und da ich will, dass meine Schüler installieren dürfen (und das auch tun) usw synce ich halt. Kostet 20 sekunden beim booten. Außerdem schalten die Leute dann die Rechner nach Benutzung aus, das spart Energiekosten.
Die Festplatten laufen dann auch nicht voll. Da wir viele alte PCs haben ist das wichtig.

Wenn man Windows hat, ist man wegen Viren usw. sowieso gut beraten, zu syncen. Außerdem spart man sich dann den ressourcenhungrigen Scanner und kann somit alte Hardware weiter verwenden.

Das hat nichts mit fehlendem Vertrauen sondern mit der sinnvollen Nutzung der Möglichkeiten zu tun

Grüße
Max

baumhof · 17. Januar 2019 um 17:07

Hallo Harry,

ich sehe es wie Max.
Hat man windows, sollte man in jedem Fall bei jedem Boot syncen.
Hat man linux, muss man das eigentlich nicht: aber man macht es trotzdem:

weil es die Verläßlichkeit der Arbeitsstationen erhöht (es könnte ja
doch mal ein Schüler schindluder treiben)
weil es nötig ist, damit die Ubuntupartition nicht voll läuft.

Unbestritten davon hast du aber recht: wir sollten uns anschauen, was da
ein Schüler einsehen kann auf der lokalen Platte von Daten der
Altanmeldungen.

Viele Grüße

Holger

amu · 17. Januar 2019 um 19:09

Hallo zusammen,

bei der Anmeldung eines Benutzer wird ja /home/linuxadmin kopiert (mit rsync in /etc/linuxmuster-client/pre-mount.d/010-profilecopy) und anschließend (durch chown in /etc/linuxmuster-client/pre-mount.d/020-chmod-user) dem Benutzer übertragen.

Da /home/linuxadmin die Rechte 755 hat, haben die lokalen Homes dann auch diese Rechte. Also vermutlich reicht es, einfach die Rechte von /home/linuxadmin auf 700 zusetzen, damit Benutzer auf dem Client nicht in die lokalen Homes anderer Benutzer kommen, oder?

Andreas

S.Senft · 17. Januar 2019 um 19:42

Hallo,

Das wäre prima.

Momentan lösche ich die lokalen Homes beim Abmelden der Benutzer per Skript. Aber so ein Skript kann ja auch mal hängen bleiben:

# loescht das angelegte lokale home-Verzeichnis von stutents und teachers

# Pfad fuer Home erzeugen aus MNTPT
homedir="${MNTPT%/Home_auf_Server*}"

# Pfad des Basisverzeichnisses von stutents und teachers wird damit ueberprueft
homedircheck="${MNTPT:0:14}"

# Usernamen aus Pfad muss mit USER uebereinstimmen
username=$(echo $homedir | awk -F/ '{print $(NF)}')
if [ "$username" == "$USER" ]
then 
case $homedircheck in
     /home/teachers)
      rm -Rf $homedir
       ;;
     /home/students)
      rm -Rf $homedir
       ;;
esac
fi

Gespeichert unter:
/etc/linuxmuster-client/post-umount.d/099-delete-localhome

Vermutlich habe ich das Skript von jemandem aus dem Forum, das weiß ich nicht mehr.

Gruß
Stefan

irrlicht · 8. Februar 2019 um 12:48

Das tut bei mir leider nicht, dann kann sich der User nicht mehr anmelden, nach dem Passwort fliegt er zurueck auf den Login-Prompt.

Mit chmod 750 tut’s auch nicht, die „others“ sind wohl das Problem. Ich muss mir wohl die Skripte doch mal genauer ansehen, so geht das auf alle Faelle nicht.

amu · 8. Februar 2019 um 15:32

Das tritt bei mir nicht auf. Allerdings hat das Home des Benutzers trotzdem die Rechte 755, auch wenn ich /home/linuxadmin auf 700 setze. Daher zwei Lösungsansätze:

Man spendiert dem rsync am Ende der /etc/linuxmuster-client/pre-mount.d/010-profilecopy noch die Option -p:

rsync -r -p $RSYNC_OPTIONS /home/$PROFILE_USER/ $HOMEDIR/

Man baut ans Ende der /etc/linuxmuster-client/pre-mount.d/010-profilecopy ein

chmod 700 $HOMEDIR

Dann muss man auch nichteinmal das Home von linuxadmin auf 755 setzen.

Beides bringt mir ein /home/teachers/xxx mit den gewünschten Rechten:

root@r203-pc100:/home/teachers# ll
insgesamt 12
drwxr-xr-x  3 root root     4096 Feb  8 16:26 ./
drwxr-xr-x 11 root root     4096 Feb  8  2018 ../
drwx------ 24 xxx  teachers 4096 Feb  8 16:27 xxx/

Andreas