Hallo,
ich habe festgestellt, dass folgendes passiert in der LMN V7.2 auf dem linux-Mint-Client (von netzint):
Ist das bei euch auch so? Betrifft das nur Linuxclients (ich habe keine anderen)?
Wie behebt man das (evtl. Skript, wann laufen Skript lassen)?
Für Hinweise dankbar!
Stefan
Hier noch ein Eindruck der Rechte:
user2@Sx109-pc01xk:/home$ ls -lah
insgesamt 24K
drwxr-xr-x 6 root root 4,0K Mär 18 16:05 .
drwxr-xr-x 19 root root 4,0K Mär 18 15:39 ..
drwxr-xr-x 40 linuxadmin linuxadmin 4,0K Feb 15 2024 linuxadmin
drwxr-xr-x 40 user2 domain users 4,0K Mär 18 16:06 user2
drwxr-xr-x 40 user1 domain users 4,0K Mär 18 16:06 user1
drwxrwxrwx 8 linuxadmin linuxadmin 4,0K Jun 16 2022 wine.drive_c
user2@Sx109-pc01xk:/home$ cd user1/
user2@Sx109-pc01xk:/home/user1$ ls -lah
insgesamt 256K
drwxr-xr-x 40 user1 domain users 4,0K Mär 18 16:06 .
drwxr-xr-x 6 root root 4,0K Mär 18 16:05 ..
drwxr-xr-x 3 user1 domain users 4,0K Mär 18 16:05 .adobe
drwxr-xr-x 4 user1 domain users 4,0K Mär 18 16:05 .appdata
drwxr-xr-x 3 user1 domain users 4,0K Mär 18 16:05 Arduino
drwxr-xr-x 4 user1 domain users 4,0K Mär 18 16:05 .arduino15
-rw------- 1 user1 domain users 389 Mär 18 16:05 .bash_history
-rw-r--r-- 1 user1 domain users 220 Mär 18 16:05 .bash_logout
-rw-r--r-- 1 user1 domain users 3,7K Mär 18 16:05 .bashrc
drwxr-xr-x 3 user1 domain users 4,0K Mär 18 16:05 Bilder
drwxr-xr-x 2 user1 domain users 4,0K Mär 18 16:05 .bluej
drwxr-xr-x 9 user1 domain users 4,0K Mär 18 16:06 .cache
drwxr-xr-x 34 user1 domain users 4,0K Mär 18 16:05 .config
-rw-r--r-- 1 user1 domain users 23 Mär 18 16:05 .dmrc
drwxr-xr-x 2 user1 domain users 4,0K Mär 18 16:05 Dokumente
drwxr-xr-x 2 user1 domain users 4,0K Mär 18 16:05 Downloads
drwxr-xr-x 3 user1 domain users 4,0K Mär 18 16:05 .dvdcss
drwxr-xr-x 4 user1 domain users 4,0K Mär 18 16:05 .filius
drwxr-xr-x 7 user1 domain users 4,0K Mär 18 16:05 .FlashPrint5
drwxr-xr-x 3 user1 domain users 4,0K Mär 18 16:05 .gnome
drwxr-xr-x 3 user1 domain users 4,0K Mär 18 16:05 .gnupg
drwxr-xr-x 4 user1 domain users 4,0K Mär 18 16:05 .googleearth
-rw-r--r-- 1 user1 domain users 22 Mär 18 16:05 .gtkrc-2.0
-rw-r--r-- 1 user1 domain users 516 Mär 18 16:05 .gtkrc-xfce
-rw-r--r-- 1 root root 5 Mär 18 16:05 .hidden
-rw------- 1 user1 domain users 0 Mär 18 16:05 .ICEauthority
drwxr-xr-x 4 user1 domain users 4,0K Mär 18 16:05 .java
drwxr-xr-x 4 user1 domain users 4,0K Mär 18 16:05 .linuxmint
drwxr-xr-x 3 user1 domain users 4,0K Mär 18 16:05 .local
drwxr-xr-x 3 user1 domain users 4,0K Mär 18 16:05 .macromedia
drwxr-xr-x 3 user1 domain users 4,0K Mär 18 16:05 .masterpdfeditor
drwxr-xr-x 2 user1 domain users 4,0K Mär 18 16:05 .mediathek3
drwxr-xr-x 4 user1 domain users 4,0K Mär 18 16:05 .mozilla
drwxr-xr-x 2 user1 domain users 4,0K Mär 18 16:05 Musik
drwxr-xr-x 2 user1 domain users 4,0K Mär 18 16:05 Öffentlich
drwxr-xr-x 3 user1 domain users 4,0K Mär 18 16:05 .openjfx
drwxr-xr-x 2 user1 domain users 4,0K Mär 18 16:05 .oracle_jre_usage
drwxr-xr-x 3 user1 domain users 4,0K Mär 18 16:05 .pki
drwxr-xr-x 3 user1 domain users 4,0K Mär 18 16:05 .processing
-rw-r--r-- 1 user1 domain users 807 Mär 18 16:05 .profile
-rw-r--r-- 1 user1 domain users 431 Mär 18 16:05 rgui.log
drwxr-xr-x 4 user1 domain users 4,0K Mär 18 16:05 .scenebuilder
drwxr-xr-x 2 user1 domain users 4,0K Mär 18 16:05 Schreibtisch
-rw-r--r-- 1 user1 domain users 31K Mär 18 16:06 .schreibtisch-info
lrwxrwxrwx 1 user1 domain users 34 Mär 18 16:05 'user1 (H:)' -> '/home/user1/media/user1 (H:)'
lrwxrwxrwx 1 user1 domain users 32 Mär 18 16:05 'Shares (T:)' -> '/home/user1/media/Shares (T:)'
drwxr-xr-x 7 user1 domain users 4,0K Mär 18 16:05 sketchbook
drwxr-xr-x 2 user1 domain users 4,0K Mär 18 16:05 .ssh
drwxr-xr-x 5 user1 domain users 4,0K Mär 18 16:05 .stellarium
-rw-r--r-- 1 user1 domain users 0 Mär 18 16:05 .sudo_as_admin_successful
drwxr-xr-x 2 user1 domain users 4,0K Mär 18 16:05 Videos
drwxr-xr-x 2 user1 domain users 4,0K Mär 18 16:05 .vim
drwxr-xr-x 2 user1 domain users 4,0K Mär 18 16:05 Vorlagen
-rw-r--r-- 1 user1 domain users 169 Mär 18 16:05 .wget-hsts
drwxr-xr-x 3 user1 domain users 4,0K Mär 18 16:05 .wine
-rw------- 1 user1 domain users 570 Mär 18 16:06 .Xauthority
-rw------- 1 user1 domain users 11K Mär 18 16:06 .xsession-errors
-rw------- 1 user1 domain users 7,6K Mär 18 16:05 .xsession-errors.old
Hallo,
es sieht so aus, als ob neben dem Benutzer selbst auch die Gruppe Domain Users berechtigt ist – und somit jeder. Das sollte in den ACLs angepasst werden.
Wir schauen uns mal das Paket linuxmuster-linuxclient7 an, vermutlich liegt dort der Fehler. Kann das vielleicht jemand mit einem linuxclient gegenprüfen?
LG, Maurice
Hallo,
bei mir sehen die Rechte genau so aus:
PS: Package: linuxmuster-linuxclient7
Version: 1.0.9
Ja, ist bei uns auch so – die Verzeichnisse (und auch alle Datein in den Userverzeichnissen und in Unterverzeichnissen der Userverzeichnisse) haben als Gruppe domain user und als Rechte 750 (rwxr-x—) und sind dadurch von jedem anderen Musterlösungsbenutzer lesbar.
Das sollte in der Tat als Bug betrachtet und behoben werden.
Gruß
Sascha
Hallo,
ich hab mal auf verschiedenen Umgebungen nachgesehen:
Schule
Client: debian 12
linuxmusterclient7 v. 1.0.9
root@vmclientdebian:~# ls -al /home/
insgesamt 20
drwxr-xr-x 5 root root 4096 19. Mär 19:08 .
drwxr-xr-x 19 root root 4096 13. Feb 22:52 …
drwxr-xr-x 18 baumhoma domain users 4096 19. Mär 19:09 baumhoma
drwxrwxrwx 6 linuxadmin linuxadmin 4096 2. Apr 2024 drive_c
drwxr-xr-x 24 linuxadmin linuxadmin 4096 13. Feb 22:36 linuxadmin
Seminar:
Client Ubuntu 20.04
linuxmusterclient7 v. 1.0.9
root@j201-pc201:~# ls -al /home/
insgesamt 20
drwxrwxrwx 6 linuxadmin linuxadmin 4096 Sep 22 2020 drive_c
drwxr-xr-x 24 kohlmuth domain users 4096 19. Mär 19:24 kohlmuth
drwxr-xr-x 24 linuxadmin linuxadmin 4096 Feb 23 08:21 linuxadmin
virtuelle Schulungsumgebung:
Client: debian 12
linuxmusterclient7 v. 1.0.9
root@r100pc01:~# ls -al /home/
insgesamt 20
drwxr-xr-x 5 root root 4096 19. Mär 19:14 .
drwxr-xr-x 19 root root 4096 19. Mär 19:13 …
drwxr-xr-x 18 bo domain users 4096 19. Mär 19:14 bo
drwxrwxrwx 6 linuxadmin linuxadmin 4096 2. Apr 2024 drive_c
drwxr-xr-x 24 linuxadmin linuxadmin 4096 5. Mär 23:01 linuxadmin
LG
Holger
Hi zusammen,
danke für das Feedback. Wir werden ASAP einen Fix erstellen.
Es verwenden recht wenige Schulen den linuxclient. Die meisten haben Windows aber mich wundert es doch sehr stark warum das bislang nicht aufgefallen ist.
LG, Maurice
Abend,
das mit den lesbaren Userhomes ist bei Linux eigentlich schon immer so, Debian hat dann irgendwann bei der Installation angefangen zu fragen „do you want to have systemwide readable homedirectories?“ oder so aehnlich, haben Skrupel bekommen. Das ging auch bis vor ein paar Jahren bei /root, zumindest durfte da jeder lesen, absurd.
Das kommt noch aus der Zeit als User ueber mod_userdir beim Apache unter /home/user/public_html eigene Webseiten anlegen konnten und www-data da nicht lesen durfte.
Ganzganz frueher waere das gar nicht noetig gewesen, da der Apache immer unter root lief (uid 0), da jucken Rechte nicht, godmode. Da war die Internetzwelt aber noch in Ordnung. 
Gruss Harry
Das ist ja nichtmal die Gruppe domain users, das ist das „r“ (read) auf den „others“, also alle, die nicht vorne erwaehnt sind, das „x“ laesst die „others“ in den Ordner.
Hi Harry,
bei ubuntu war das mit den allseits lesbaren userhomes (Rechte 755) lange auch so, ist aber bei einem der letzten LTS umgestellt worden (22.04 glaube ich). inzwischen sind die Standardrechte 750, von daher wird genau das von dieser domain user-Gruppe derzeit unterlaufen.
Gruß
Sascha
Hi.
Ich habe das auch gerade geprüft und es ist hier auch so … aber sooooo dramatisch, wie es im ersten Moment klingt, ist es dann auch wieder nicht, denn die Netzwerklaufwerke werden ja alle wieder ausgehängt. Daher kann ein fremder User in dem /home-Dir nicht viel entdecken … bis auf default-Files, die sowieso bei jedem angelegt werden?!
Aber dennoch: Schön ist es natürlich trotzdem nicht.
Das Verzeichnis root gehört hier auch wirklich nur root:
drwxr-xr-x 17 root root 4096 Feb 3 15:55 root/
Viele Grüße,
Michael
Downloads landen bei uns z.B. im lokalen Home und auch durch Benutzung von Programmen erstellte/veränderte Konfig-Dateien.
Damit kann man einen Eindruck bekommen, was ein früher angemeldeter User so getrieben hat.
Beste Wünsche,
Stefan
Hallo,
Ich finde das eine leichtfertige Sichtweise, die nur von der Annahme leben kann, dass keine zweite Person gleichzeitig den Rechner nutzen kann. Da der Anbieter des Betriebssystems (hier: das LMN-Projekt) aber keine Annahmen darüber treffen kann, welche weitere Software auf dem Client laufen wird, sollte sich es sich verbieten diese Annahme zu treffen.
VG
Buster
Hi.
… ich habe ja gesagt: Schön ist es natürlich trotzdem nicht.
Bei uns nutzen keine zwei User gleichzeitig einen Client – es geht immer nur nacheinander.
Aber wie auch immer: Es ist ein Bug, der behoben werden muss, da er in anderen Umgebungen natürlich unangenehme Folgen haben kann.
Viele Grüße,
Michael
Hallo,
soweit ich es verfolgt habe, hat sich für die lokalen Home-Verzeichnisse eines Linux-PC eingebürgert, dass
/home$ ls -al
drwxrwx--- 34 helge helge 4096 21. Mär 09:03 helge
ist. Jeder Benutzer hat eine private Gruppe und die umask kann auf 007 gestellt werden.
Das fände ich am Besten. (Die umask hat keine Auswirkung auf die Netzlaufwerke. Es geht nur um die lokalen Dateien.)
Das Problem ist nun, dass das home-Verzeichnis unsere linuxclients mit pam_mkhomedir angelegt wird und dies die primary group des Benutzers verwendet. Die ist domain users. Dafür gibt es keine Konfigurationsmöglichkeit.
session required pam_mkhomedir.so umask=0027 skel=/home/linuxadmin
erzeugt also
/home$ ls -al
drwxr-x--- 34 helge domain users 4096 21. Mär 09:03 helge
Der schnelle Fix für diesen Thread wäre die Maske auf umask=0077 zu stellen.
Der lange, aber in meine Augen saubere Fix:
Viele Grüße
Helge
Tach,
Das letzte „r-x“ gehoert da aber eigentlich auch nicht hin, oder? 
Gruss Harry
Salut,
ich hab mir jetzt bis auf Weiteres damit beholfen, dass ich als
/etc/linuxmuster-linuxclient7/onSessionStarted.d/02-homdirprivat
ein Skript abgelegt habe, das nach dem Anmelden der Gruppe die Rechte wegnimmt:
#!/bin/bash
chmod 700 $HOME
Gruß
Sascha
Hallo!
Bei uns herrscht die Devise: Neustart statt abmelden. Außerdem speichern die SuS alles auf H: (echt, das heißt so mit Doppelpunkt 
Daher hat das wohl niemand bemerkt, wobei mir erst letzte Woche aufgefallen ist, dass das auch für den Ordner „Downloads“ gilt und man tatsächlich die Downloads des Vorgängers sehen kann. Ich kam nur nicht dazu, danach zu schauen.
LG
Max