Mageia Forum

[linuxfreund]

Hallo allerseits,

die Zugriffsrechte unter GNU/Linux sind ja eine feine Sache. Allerdings habe ich in Mageia bisher nicht herausgefunden, wie ich die UMASK dauerhaft verändern kann. Die Standardeinstellung UMASK=022 ist alles andere als perfekt.

Wer weiß Rat?

[Alf1967]

In der /etc/bashrc kannst du umask einstellen oder in den Benutzerprofilen.

[man-draker]

Die Standardeinstellung UMASK=022 ist alles andere als perfekt.

Da 99,99% aller Linux-Benutzer weltweit damit leben können: Was stört dich bei deiner Installation daran?

[doktor5000]

In der /etc/bashrc kannst du umask einstellen oder in den Benutzerprofilen.

Wenn schon systemweit dann bitte richtig - in der /etc/environment oder /etc/profile.

[Alf1967]

Stimmt in der /etc/profile ist auch der umask-Wert eingetragen, ich hatte gestern geschaut ob die umask in der bashrc oder profile steht und da ich sie in der bashrc gefunden habe nicht mehr weiter geschaut. Was ist der Unterschied zwischen den beiden Einträgen?

Was macht die /etc/environment denn? Die Datei ist bei mir, bis auf 2 Kommentare, leer.

[alf]

Kleiner Tipp für die Liebhaber grafischer Oberflächen. MCC --> Sicherheit --> Konfiguration der Sicherheit.... --> Sicherheitseinstellungen --> Systemsicherheit.
Hat den Vorteil, dass man sich keine Gedanken machen muss, welche Datei zu editieren ist. Vorraussetzung ist natürlich das msec installiert und aktiviert ist.

[Alf1967]

Kleiner Tipp für die Liebhaber grafischer Oberflächen...

Und was macher Konsolenjunkies?

[Pitti]

Und was macher Konsolenjunkies?

Sich im Netz auf die Suche begeben und beispielsweise hier ( http://wiki.linux-club.de/opensuse/Zugriffsrechte#umask ) oder dort ( http://openbook.galileocomputing.de/she ... 11_003.htm ) nachlesen.

Informationen liefert auch:

Code: Alles auswählen

man umask

[wanne]

Was ist der Unterschied zwischen den beiden Einträgen?

Die /etc/prfile wird bei jeden login ausgeführt. die bashrc bei jedem öffnen der bash. Hat man mehrere shells (oder welche die nicht die bash sind). (z.B. hat debian für Systemaufgaben die schnellere dash) wird die bashrc ignoriert.

[wanne]

Die Standardeinstellung UMASK=022 ist alles andere als perfekt.

Da 99,99% aller Linux-Benutzer weltweit damit leben können: Was stört dich bei deiner Installation daran?

Ich kann die auch nicht leiden. (Habe das aber an anderer stelle schon ausführlich ausgeführt.) Beispielsweise USB-Sticks lassen sich damit praktisch nicht nutzen. (Bzw. mit nicht vorgesehenen tricks wie mehreren nutzrn die gleich UID zu geben.) Ich finde 006 wesentlich sinnvoller.

[Alf1967]

Hat man mehrere shells (oder welche die nicht die bash sind).

Stimmt, man liest, wenn von der Shell die rede ist, so gut wie immer von der Bash und da setzt sich irgendwie im Kopf fest Shell=Bash, was natürlich falsch ist. Man sollte mal öffter versuchen die eigenen Schranken im Kopf zu öffenen.

[wanne]

Wie gesagt auch die ausführzeit ist eine andere. Bei der bashrc reicht es wenn du einfach umask=006 setzt, weil sie bei jedem neuen fork neu ausgeführt wird. Bei der profile must du export umask=006 machen weil sie nur einmal beim login ausgeführt wird.

[man-draker]

Ich finde 006 wesentlich sinnvoller.

Da das dazu führt, dass jeder auf jede Datei auch schreibend zugreifen darf¹, halte ich diese Maske für vollständig sinnfrei.

1 http://www.fibel.org/linux/lfo-0.6.0/node234.html

[lula]

Hallo,

da würde ich man-draker mal zustimmen, 006 macht wenig Sinn (wegen des x-bits für other), obwohl dadurch nicht jeder schreibend auf die Datei zugreifen darf. Übrigens ist die Syntax lt. manpage (bash) umask maske und nicht umask=maske. Ich nehme mal an, die hier gewünschten Masken sind entweder 0007 oder 0077.

Code: Alles auswählen

umask 0006
umask
0006
mkdir y
touch z
ls -ld y z
drwxrwx--x 2 meinname meinname 48 Apr 17 19:13 y
-rw-rw---- 1 meinname meinname  0 Apr 17 19:13 z
rm -rf y z

umask 0007
umask
0007
mkdir y
touch z
ls -ld y z
drwxrwx--- 2 meinname meinname 48 Apr 17 19:14 y
-rw-rw---- 1 meinname meinname  0 Apr 17 19:14 z

rm -rf y z
umask 0077
umask
0077
mkdir y
touch z
ls -ld y z
drwx------ 2 meinname meinname 48 Apr 17 19:15 y
-rw------- 1 meinname meinname  0 Apr 17 19:15 z


Grüße,
Lutz

[wanne]

Hallo,

da würde ich man-draker mal zustimmen, 006 macht wenig Sinn (wegen des x-bits für other), obwohl dadurch nicht jeder schreibend auf die Datei zugreifen darf. Übrigens ist die Syntax lt. manpage (bash) umask maske und nicht umask=maske. Ich nehme mal an, die hier gewünschten Masken sind entweder 0007 oder 0077.

Ich finde das ganz geschickt. So kann man einen „Link“ auf andere Ordner mit schwächeren rechten rausgeben. Und das jemand unter seinenm Namen meine Dateien auführen kann stört mich wenig. (Da ist die gefahr für ihn erheblich größer.) Und suid bits habe ich soieso nirgends drauf.
Wichtig ist mir das niemand in meinen Doumenten rumstöbern kann (die 4 in others) und dass leute die die gleiche Gruppe haben gegenseitig lesen und schreiben können. (Weil meine externen Medien alle users gehören. Und die sollen dann auch drauf schreiben können.)

[lula]

Hallo,

rw für die Gruppe auf Dateien sehe ich ja noch ein, das x-bit für other sitzt ja nur auf Verzeichnissen (s.o), d.h. für mich andere dürfen in das Verzeichnis wechseln aber dort nichts sehen. Finde ich jetzt nicht unbedingt nützlich dann kann ich auch gleich 0007 setzen.

Grüße,
Lutz

[man-draker]

Umask stellt ein MASKE ein, die bestimmt, welche Rechte ENTZOGEN werden.

Beispiel:

Code: Alles auswählen

[man-draker@localhost ~]$ umask
0022
[man-draker@localhost ~]$ umask -S
u=rwx,g=rx,o=rx
[man-draker@localhost ~]$ umask 006
[man-draker@localhost ~]$ umask -S
u=rwx,g=rwx,o=x


Bei umask = 022 kann der Eigentümer Lesen+Schreiben+Ausführen, die Gruppe Lesen+Ausführen, Alle Lesen+Ausführen
Bei umask = 006 kann der Eigentümer Lesen+Schreiben+Ausführen, die Gruppe Lesen+Schreiben+Ausführen, Alle Ausführen

Wobei das "Ausführen" bei Verzeichnissen = Inhalt anzeigen ist.

Sicher wäre daher

Code: Alles auswählen

umask 027

Ist halt ein bisschen trickig, mit der umask.

[Bequimao]

Umask stellt ein MASKE ein, die bestimmt, welche Rechte ENTZOGEN werden...
...
Bei umask = 022 kann der Eigentümer Lesen+Schreiben+Ausführen, die Gruppe Lesen+Ausführen, Alle Lesen+Ausführen
Bei umask = 006 kann der Eigentümer Lesen+Schreiben+Ausführen, die Gruppe Lesen+Schreiben+Ausführen, Alle Ausführen

Wobei das "Ausführen" bei Verzeichnissen = Inhalt anzeigen ist.

Sicher wäre daher

Code: Alles auswählen

umask 027

Ist halt ein bisschen trickig, mit der umask.

Und wie erklärt sich

Code: Alles auswählen

bequimao@siductionbox:~/myshared$ umask
0006
bequimao@siductionbox:~/myshared$ touch willi
bequimao@siductionbox:~/myshared$ ls -l willi
-rw-rw---- 1 bequimao users 0 Apr 17 21:27 willi

Viele Grüße
Bequimão

[man-draker]

Und wie erklärt sich

Code: Alles auswählen

bequimao@siductionbox:~/myshared$ umask
0006
bequimao@siductionbox:~/myshared$ touch willi
bequimao@siductionbox:~/myshared$ ls -l willi
-rw-rw---- 1 bequimao users 0 Apr 17 21:27 willi

Damit, dass "x" nur für Verzeichnisse gesetzt wird.

Daher sei noch einmal die Lektüre von http://openbook.galileocomputing.de/shell_programmierung/shell_011_003.htm empfohlen.

[lula]

Hallo,

Wobei das "Ausführen" bei Verzeichnissen = Inhalt anzeigen ist.

nein, ist es nicht, Ausführen (x) heißt in das Verzeichnis wechseln zu dürfen, um den Inhalt zu sehen muß es auch 'r' sein.

Grüße,
Lutz

[man-draker]

Wobei das "Ausführen" bei Verzeichnissen = Inhalt anzeigen ist.

nein, ist es nicht, Ausführen (x) heißt in das Verzeichnis wechseln zu dürfen, um den Inhalt zu sehen muß es auch 'r' sein.

Jupp, hast REcht.
http://www.fibel.org/linux/lfo-0.6.0/node226.html

[linuxfreund]

Kleiner Tipp für die Liebhaber grafischer Oberflächen. MCC --> Sicherheit --> Konfiguration der Sicherheit.... --> Sicherheitseinstellungen --> Systemsicherheit.
Hat den Vorteil, dass man sich keine Gedanken machen muss, welche Datei zu editieren ist. Vorraussetzung ist natürlich das msec installiert und aktiviert ist.

Nach zwei Tagen bei einer Fachveranstaltung hatte ich heute wieder Zeit für dieses Forum. Bin über die Qualität und Zahl der Antworten echt beeindruckt.

Und ich muss gestehen, die grafische Admintool bisher nicht so weit erforscht zu haben. Von einem Paket msec hatte ich noch nie gehört. War bei mir installiert und aktiv. Diese Funktionalität ist der beste Beweis, warum es richtig ist, Neueinsteigern in die GNU/Linux-Welt Mageia zu empfehlen.

Zurück zum Thema: Bei mir heißt es jetzt 'UMASK_USER=027'. Nur so macht die Unterscheidung zwischen Eigentümer, Gruppe sowie Andere wirklich Sinn.

[wanne]

Nur so macht die Unterscheidung zwischen Eigentümer, Gruppe sowie Andere wirklich Sinn.

Naja, nicht jeder ist in jeder Gruppe
Aber du hast recht ich nutze die Sonderrolle des eigentümers fast nicht. (Außer das er das recht hat dateirechte zu ändern.) Ich habe praktisch keine dateien in denen der User nicht auch in der Gruppe ist.
An der UNI haben wir übrigens irgendwie sowas 072 Das ist auch ganz lustig. Da sind dann alle Studenten in der gleichen Gruppe und deswegen dürfen die studenten die dateien gegenseitig nicht lesen aber alle anderen schon. (Ich habe das allerdings gleich mal geändert.)

[wanne]

Wobei das "Ausführen" bei Verzeichnissen = Inhalt anzeigen ist.

Das gilt nur für ratbare Dateinamen. (Was im normafall der Fall ist.) aber mB6GEGAcesBE wird keiner finden. Allerdings ist das ein Problem das so mancher unterschätzt.

[obgr_seneca]

Die Frage mit den Zugriffsrechten taucht immer mal wieder auf.
Es gibt da zum Beispiel auch den Bugreport 618.
@Wanne: ich muss sagen, Deine heutige umask unterscheidet sich von Deinen Aussagen dort

Oliver