Hallo,
wieder ein NEUER im Forum und ich bräuchte leider auch gleich eure Hilfe.
System:
PC, Neuinstallation mit Suse 11.1 und KDE 4.1.
Aufgaben:
Ich möchte für mein Kind eine eingeschränkte Userkennung vergeben.
Folgendes sollte NICHT möglich sein: Zugang zum Internet, Zugriff auf Verzeichnisse außer dem eigenen Home-Verzeichnis.
Ich habe in Yast schon versucht dieses umzusetzen jedoch ohne Erfolg.
Hierzu habe ich einen neue Gruppe angelegt und die Kennung als Mitglied eingetragen. Die Gruppe hat keine Rechte und dennoch kann man munter in alle Verzeichnisse wechseln und Daten kopieren oder löschen. Auch Firefox und Internet funktioniert ohne Probleme.
Was mache ich falsch? Von wo hat die Kennung die Rechte ins root Verzeichnis zu wechseln und wie kann ich den Internetzugang sperren?
Viele würden sich freuen wenn alles funktioniert. Ich möchte es, aus erwähntem Grund, eben nicht.
Nach langen Jahren der Microsoft Zeit möchte und werde ich dem nun den Rücken kehren. Aber aller Anfang ist schwer.
Sollte ich das falsche Forum gewählt haben, so bitte den Beitrag an die richtige Stelle verschieben.
Danke schon mal im Voraus
-
-
Hallo,
wenn Du dem Benutzer, in diesem Fall Deinem Kind, nicht das root Passwort verrätst, kann auch niemand ausser Root überhaupt Yast aufrufen um die notwendigen Einstellungen zum Netzwerk und Internet vorzunehmen.
Um Beschränkungen weiter vorzunehmen, öffne Yast -> Sicherheit und Benutzer -> Lokale Sicherheit -> Verschiedene Einstellungen und setze Dateiberechtigungen auf "Paranoid"
Solltest Du aber einen Rechner haben, den Du als auch Dein "Kind" zusammen verwendet, deinstalliere für Benutzer "Kind" einfach alle Browser und Messenger
Gruß
Robbie -
Hallo Robbie,
zuerst einmal Danke für die Antwort.
Die Einstellung unter Yast ->Sicherheit und Benutzer -> Lokale Sicherheit -> Verschiedene Einstellungen habe ich vorgenommen.
Leider ohne Erfolg
Die Kennung Kind hat immer noch vollen Zugriff auf den Basisordner und alle Verzeichnisse.Wie bereits geschrieben bin ich Suse NEULING. Ich habe noch ein Grundsatzfrage: Wie löscht man bereits installierte Software?
Schönen Gruß
Mond12 -
Hallo,
Zitat
Wie bereits geschrieben bin ich Suse NEULING. Ich habe noch ein Grundsatzfrage: Wie löscht man bereits installierte Software?So was und vieles andere kann man bspw über YaST tun, schau mal >>HIER<< rein, da findest passende Info' s.
ZitatDie Einstellung unter Yast ->Sicherheit und Benutzer -> Lokale Sicherheit -> Verschiedene Einstellungen habe ich vorgenommen.
Leider ohne Erfolg Die Kennung Kind hat immer noch vollen Zugriff auf den Basisordner und alle Verzeichnisse.Hast Du einen separaten User → Kind ← angelegt und diesen dann mit den rechten versehen wie es " robbie21 " schrieb? Wenn nicht mach das mal.... Lege einen Extra User an und da kannst dann zb auch über » Nutzerrechte Verwaltung « entsprechende rechte entziehen, schau >>HIER<< zur Orientierung mal rein...
Auf Basisordner kann zwar geschaut, aber ohne entsprechendes Root-Passwort nicht' s getan werden. Das der User auf sein /Home/Verzeichnis zugreifen darf ist ja normal und wichtig. Nur kann der angelegte User nur auf sein' s zugreifen und auf kein anderes ..... deshalb auch einen Extra User anlegen.
-
Da waere ich vorsichtig.
Die Default "umask" ist 0022.
Womit jeder User, alle anderen Homes auch lesen (und somit kopieren kann...)
Das waere einen "sticky" Thread wert....
Jedes neue Kind kann also Papi's Schmuddelkram kopieren....
grins -
Hi,
dann lass hören bzw sehen, wie wäre es denn optimaler? Ich selbst bin " da diesbezüglich eher nicht so der Fuchs ", da ich die Kiste allein nutze und auf so etwas nicht achten muss ....
Wenn es geht aber über den grafischen Weg damit Anfänger / Einsteiger das nachvollziehen können und sich nicht mit der Konsole & Befehlen herumschlagen müssen ....
-
in YaST kann man ganz einfach unter "Sicherheit und Benutzer" den Tabreiter "Standardeinstellung für Benutzer" anklicken.
Dort ist ein Feld mit der "umask".Diesen Wert sollte man zu "0066" ändern.
Damit haben alle neu angelegten user Privatheit in ihrem home-Verzeichnis.
"umask" selbst ist ein Befehl.
in einer ConsoleCodekalle@bitschleuder:~/playground> umask 0022ohne Argumente gibt er die aktuelle Einstellung aus.
Hier sind sie genau so, wie im Default.Erzeuge ich eine Datei, so sind die resultierenden Rechte wie folgt:
Codekalle@bitschleuder:~/playground> cat > eineDatei unsinn kalle@bitschleuder:~/playground> ls -al insgesamt 12 drwxr-xr-x 2 kalle users 4096 3. Dez 20:37 . drwxr-xr-x 60 kalle users 4096 3. Dez 20:35 .. -rw-r--r-- 1 kalle users 7 3. Dez 20:37 eineDateiDiese Datei kann also vom Besitzer gelesen und geschrieben werden (das erste Tripel rw- )
Die Gruppe kann lesen (das zweite Trippel r-- )
Und die ganze Welt kann sie auch lesen (das dritte Trippel r--)
Das erste "-" hat Sonderbedeutung (kennzeichnet mit "l" einen Link, mit "d" ein Directory, usw. ) und ist hier nicht weiter von Belang.Gibt man "umask" eine (oktale) Zahl mit, wird die "umask" auf diesen Wert gesetzt.
Beim Anlegen von neuen Dateien (und Verzeichnisse) werden die Rechte nach dieser "Maske" berechnet.Codekalle@bitschleuder:~/playground> umask 0066 kalle@bitschleuder:~/playground> kalle@bitschleuder:~/playground> cat > eineDatei unsinn kalle@bitschleuder:~/playground> ls -al insgesamt 12 drwxr-xr-x 2 kalle users 4096 3. Dez 20:46 . drwxr-xr-x 60 kalle users 4096 3. Dez 20:35 .. -rw------- 1 kalle users 7 3. Dez 20:46 eineDateiHier habe ich die "umask" (das heißt übrigens Users Creation Mask) auf 0066 gesetzt.
Der Befehl wird kommentarlos (und somit -wie unter Unix üblich- erfolgreich) ausgeführt.
Und die dann neu erstellte Datei "eineDatei" kann jetzt nur noch von mir selbst gelesen und geändert werden. Weder die Gruppe noch "other" koennen damit etwas anfangen.Normalerweise will man nicht, dass irgendjemand im eigenen home lesen und kopieren kann.
Also setzt man, wie oben beschrieben, in YaST einfach die Standard umask auf "0066".
Damit sind dann für neue User auf diesem System die Homeverzeichnisse auch privat.Aber man selbst existiert ja schon als user mit seinem home, und hat somit ein Problem.
Um sein schon bestehendes home zu einem castle zu machen, hilft:Codechmod -r go-rw /home/luserDurch "-r" (= rekursiv) wandert er durch alle Verzeichnisse des Users "luser" (nicht looser, sondern LinuxUser; grins) und setzt die Rechte
g=group
o=other
-=nimm ihnen die Rechte
r=Read
Dieser Befehl nimmt also den Gruppen und "other" (= dem Rest der Welt ) alle Rechte.Damit wären auch schon bestehende home-Verzeichnisse vor fremden Blicken geschützt.
Im Gegensatz zu der Rechtevergabe mit "chmod", bei der die gewünschten Rechte angegeben werden, wird bei "umask" (es ist eben eine Maske) angegeben welche Rechte man künftig entzieht.
Gebe ich als root in einem Verzeichnis folgendes an, habe ich ein sehr ernstes Problem:
NIEMALS ALS root DIESEN UNSINN EINGEBEN!!!!!Codeumask 0777Jede Datei, die von nun an von root angelegt wird hat folgende Rechte:
----------
Nicht einmal root kann nun diese Datei lesen, oder ändern.
Sinnloser Datenmüll, der bis zu nächsten Formatierung auf der Platte liegt."chmod" versteht übrigens auch die oktale Rechtenotation, die "umask" verwendet...
man umask, man chmod
sind die Freunde, die euch mehr darüber zu berichten wissen..Googelt man nach "umask" finden sich auch sehr schnell (OK, google wird langsamer) Links, die diese Dinge besser und tiefer erklären.
Uns mag es genügen den Default in YaST/Sicherheit und Benutzer/Standardeinstellung
den Defaultwert der "umask" auf 0066 zu setzen. -
Hmmm,
so ganz ohne Console geht es nicht.
GRINS.
Oder ich bin zu doof Rechte samt Unterverzeichnisse in einer graphischen Umgebung zu ändern....Aber ich bin in jedem Fall schneller.
GRINS.