Mint-partitie afschermen voor non-sudo?

maandag 5 februari 2024 15:21

Acties:

0 Henk 'm!

Topicstarter

Ik heb in Mint een standaard gebruiker aangemaakt, die geen sudo-rechten heeft. (Zie mijn vorige topic.)

Daarnaast heb ik een Ext4-partitie gemaakt voor data, maar ik wil niet dat deze standaard gebruiker daar toegang toe heeft, of in ieder geval geen schrijfbevoegdheid voor heeft.
(De Mint-partities en de data-partitie met mappen en bestanden staan op dezelfde ssd)

Ik heb online gezocht naar de juiste commando's, maar gezien de verschillende en soms tegenstrijdige info en mijn kleine kennis ben ik niet zeker hoe ik dit moet doen.

Ik kan in Disks kiezen voor "Take ownership", maar de waarschuwing die daarbij getoond wordt, maakt dat ik liever eerst advies van 'deskundigen' krijg voordat ik die stap zet.

Dus wat kan/moet ik doen?

Afbeeldingslocatie: https://tweakers.net/i/BMKEW5LlsPZ0I-2jyrQu8XJwJNE=/800x/filters:strip_exif()/f/image/SU3twBDgMy5PkqjSit9O3EgO.png?f=fotoalbum_large

[ Voor 3% gewijzigd door verdroidnogaan2 op 05-02-2024 15:47 ]

maandag 5 februari 2024 19:27

Hero of Time

Moderator LNX

There is only one Legend

De waarschuwing die je krijgt is voor zaken zoals / of /etc, waar rechten enorm belangrijk zijn. Als er namelijk mappen zijn die van een specifieke systeemgebruiker moeten zijn en dat zijn ze opeens niet meer, dan stopt de service/het programma met functioneren en krijg je de meest vreemde foutmeldingen.

Maar omdat je een nieuwe partitie hebt gemaakt, is die waarschuwing niet van toepassing.

Overigens is alles want in je home map staat al automatisch alleen inzichtelijk door de gebruiker van wie de home map is. Heb je gebruikers A en B, dan is /home/A alleen in te zien door A, niet door B.

Dat zijn de standaard zaken. Een klein bijkomend dingetje is de mask op de bestanden en mappen. Wanneer je een ls -l uitvoert, zie je wat de rechten zijn voor de eigenaar, groep en overig. Wanneer een groep write rechten heeft, mag iedereen die in die groep zit schrijven/wijzigen.

Als je een beetje bekend bent met de Windows NTFS rechten, dan kan je dit als een vereenvoudigde vorm zien.

Commandline FTW | Tweakt met mate

maandag 5 februari 2024 18:27

Acties:

0 Henk 'm!

BadpunK

Wijsheden van een dwaas

Ik zou het via bash oplossen met chmod.

Ik zou niet zo zijn geworden als ik niet al die ouderwetse waarden had om tegen te rebelleren.

maandag 5 februari 2024 18:53

Acties:

0 Henk 'm!

Room42

Ja, dit fix je met file permissions op de mount point. Als je de bestanden enkel voor root (of users met sudo) toegankelijk wilt maken, zet je met `chown` de user en group op 'root'. Met `chmod` zorg je dat alleen de user en group toegang hebben en other niet.

Deze videos van het eerder aanbevolen kanaal kan wel interessant zijn voor je:
- YouTube: Linux Crash Course - Managing Users
- YouTube: Linux Crash Course - Understanding File & Directory Permissions

Extra tip: Met `sudo -i -u gebruikersnaam` kun je, mits jijzelf sudo-rechten hebt, inloggen als 'gebruikersnaam' om te testen of de permissies werken zoals jij verwacht.

[ Voor 24% gewijzigd door Room42 op 05-02-2024 18:56 ]

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

maandag 5 februari 2024 19:27

Acties:

Beste antwoord ✓
0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

De waarschuwing die je krijgt is voor zaken zoals / of /etc, waar rechten enorm belangrijk zijn. Als er namelijk mappen zijn die van een specifieke systeemgebruiker moeten zijn en dat zijn ze opeens niet meer, dan stopt de service/het programma met functioneren en krijg je de meest vreemde foutmeldingen.

Maar omdat je een nieuwe partitie hebt gemaakt, is die waarschuwing niet van toepassing.

Overigens is alles want in je home map staat al automatisch alleen inzichtelijk door de gebruiker van wie de home map is. Heb je gebruikers A en B, dan is /home/A alleen in te zien door A, niet door B.

Dat zijn de standaard zaken. Een klein bijkomend dingetje is de mask op de bestanden en mappen. Wanneer je een ls -l uitvoert, zie je wat de rechten zijn voor de eigenaar, groep en overig. Wanneer een groep write rechten heeft, mag iedereen die in die groep zit schrijven/wijzigen.

Als je een beetje bekend bent met de Windows NTFS rechten, dan kan je dit als een vereenvoudigde vorm zien.

Commandline FTW | Tweakt met mate

maandag 5 februari 2024 20:08

Acties:

0 Henk 'm!

verdroidnogaan2

Topicstarter

@BadpunK Dank maar heb chmod nog niet echt helemaal door.

@Room42 Heb de tweede video bekeken, maar begrijp het nog niet 100%.

@Hero of Time Als ik ls -l uitvoer dan sta ik/gebr1 er als enige in met alle rechten, maar als ik inlog met gebr2 dan zie ik die partitie gewoon in Nemo en kan gewoon lezen en schrijven.

Als ik in mijn voorbeeld van Disks idd kies voor Take ownership, dan ben ik (gebr1) eigenaar met alle rechten en gebr2 kan er niet meer bij?

[ Voor 22% gewijzigd door verdroidnogaan2 op 05-02-2024 20:25 ]

maandag 5 februari 2024 20:30

Acties:

+1 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

De mask bepaald of andere gebruikers er bij kunnen en normaal gesproken mag alleen de eigenaar, de gebruiker die genoemd wordt bij ls -l, wijzigen/schrijven.

Als nu iedereen mag lezen en schrijven klinkt het als een non-posix file system, dus iets als FAT32 of NTFS. Welke file system heb je gekozen bij het maken van de partitie?

Commandline FTW | Tweakt met mate

maandag 5 februari 2024 20:36

Acties:

0 Henk 'm!

verdroidnogaan2

Topicstarter

De partitie was NTFS, maar ik heb 'm doormidden geknipt en de helft als Ext4 geformatteerd, die nu voor Mint gereserveerd is.

[ Voor 4% gewijzigd door verdroidnogaan2 op 05-02-2024 20:36 ]

maandag 5 februari 2024 20:59

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Dan is het gek dat zowel gebruiker A als gebruiker B er zomaar kunnen schrijven. Tenzij de mask op het mount point 777 is, dus alles en iedereen mag er alles. Een veelgebruikte 'oplossing' voor zaken dat helemaal geen oplossing is en bad practise de lading niet eens dekt.

Zie je met een ls -l bijvoorbeeld rwxrwxrwx staan op de locatie waar de partitie is gekoppeld?

Commandline FTW | Tweakt met mate

maandag 5 februari 2024 21:04

Acties:

0 Henk 'm!

verdroidnogaan2

Topicstarter

Als ik in de partitie sta en daar een terminal open en ls -l invoer, dan krijg ik dit:

gebr1@minthd:/media$ ls -l
total 8
drwxr-x---+ 2 root root 4096 feb 5 00:07 gebr2
drwxr-x---+ 2 root root 4096 feb 5 17:10 gebr1

maandag 5 februari 2024 21:21

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Die + erachter heeft mij geleerd dat er een ACL op staat. Dit geeft uitgebreidere rechten mogelijkheden waardoor je met een standaard ls -l niet de volledige waarheid ziet. Dat kan je weer achterhalen met het 'getfacl' commando.

Voorbeeldje, ik kan een gebruikersicoon tonen op het login scherm, maar dan moet de gebruiker waaronder het loginscherm draait deze wel kunnen lezen en het kijkt standaard naar het bestand .face.icon dat in mijn home staat. Hiervoor heb ik op dat bestand een ACL gezet:

code:

$ getfacl .face.icon 
# file: .face.icon
# owner: hero of time
# group: hero of time
user::rw-
group::r--
group:sddm:r--
mask::r--
other::r--

Hetzelfde staat voor mijn home map. Maar doe ik een ls -l op /home, dan is de groep 'sddm' nergens te zien.

Ik vind het vreemd dat er een ACL op je mappen is gezet door Mint of gparted/Gnome Disks.

Commandline FTW | Tweakt met mate

maandag 5 februari 2024 21:29

Acties:

0 Henk 'm!

verdroidnogaan2

Topicstarter

En hoe pas ik getfacl toe op mijn partitie?

maandag 5 februari 2024 21:30

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Zie de manpage ervoor.

Getfacl is voor inzien, setfacl voor wijzigen.

Commandline FTW | Tweakt met mate

maandag 5 februari 2024 21:41

Acties:

0 Henk 'm!

verdroidnogaan2

Topicstarter

Dank, maar ook met de manual lukt het me niet om de rechten van de partitie tevoorschijn te krijgen.
Ik vrees dat dit allemaal boven mijn pet gaat

Is er geen chmod commando dit ik kan gebruiken en moet ik dan de partitie-naam, -UUID of -mountpoint voor de partitie gebruiken?

maandag 5 februari 2024 22:01

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Chown werkt prima als er geen ACL op staat. Als er meerdere gebruikers staan opgegeven in de ACL, zal dat blijven staan wanneer je met chown de gebruiker wijzigt. Om nou echt te zien wat er toegepast is met ACLs geef je het volledige pad op, bijvoorbeeld:

getfacl /media/gebr1

Heb je de partitie trouwens gekoppeld op /media? Want het best is om daar mappen onder te maken voor wat je wilt koppelen, denk aan /media/schijf1 of /media/data, net wat je leuk vind als mapnaam.

Commandline FTW | Tweakt met mate

maandag 5 februari 2024 22:11

Acties:

0 Henk 'm!

verdroidnogaan2

Topicstarter

"Heb je de partitie trouwens gekoppeld op /media?" Ik neem aan van wel, want in /media staan de mappen van gebr1 en gebr2.

Nu krijg ik:
gebr1@minthd:~$ getfacl /media/gebr2
getfacl: Removing leading '/' from absolute path names
# file: media/gebr2
# owner: root
# group: root
user::rwx
user:gebr2:r-x
group::---
mask::r-x
other::---

gebr1@minthd:~$ getfacl /media/gebr1
getfacl: Removing leading '/' from absolute path names
# file: media/gebr1
# owner: root
# group: root
user::rwx
user:gebr1:r-x
group::---
mask::r-x
other::---

maandag 5 februari 2024 22:18

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Hoe heb je die mappen eigenlijk gemaakt? En wat is de acl die op /media staat?

Commandline FTW | Tweakt met mate

maandag 5 februari 2024 22:21

Acties:

0 Henk 'm!

verdroidnogaan2

Topicstarter

Ik heb de mappen en bestanden op de Mint-partitie gekopieerd van de NTFS-partitie.
Of bedoel je de media-mappen van gebr1 en gebr2? Die heb ik niet (zelf) gemaakt.

"En wat is de acl die op /media staat?" Hoe doe ik dat?

maandag 5 februari 2024 22:24

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Je volgt deze route en komt langs Amsterdam op weg naar je bestemming.

Rijd nu eens naar Amsterdam. "Hoe kom ik daar?"

Er wordt hier moeite en inzet verwacht. Dit wordt nu te veel handje vast houden en daar pas ik voor.

Commandline FTW | Tweakt met mate

maandag 5 februari 2024 22:25

Acties:

0 Henk 'm!

verdroidnogaan2

Topicstarter

Snap ik. Mijn excuses. Het is geen onwil maar onmacht. Vandaar mijn topic "Cursus gezocht" om meer kennis te vergaren.

P.S. De uitkomst getfacl /media is:
# file: media
# owner: root
# group: root
user::rwx
group::r-x
other::r-x

P.P.S. Aangezien ik geen r**t snap van deze methode, ga ik zelf wel zoeken of ik er op een andere manier uitkom en laat ik jou met rust. Veel dank voor je hulp tot zover.

[ Voor 70% gewijzigd door verdroidnogaan2 op 05-02-2024 22:33 ]

dinsdag 6 februari 2024 10:33

Acties:

0 Henk 'm!

verdroidnogaan2

Topicstarter

Omdat ik geen kaas heb gegeten van de juiste commando's om de partitie af te schermen voor de tweede gebruiker, heb ik er uiteindelijk voor gekozen om in Disks op "Take ownership" te klikken i.c.m. "Enable recursive mode" en dat heeft er inderdaad voor gezorgd dat alleen Gebr1 bij de [mappen en bestanden op de] partitie kan.

[ Voor 15% gewijzigd door verdroidnogaan2 op 06-02-2024 10:34 ]

Vraag

Beste antwoord (via verdroidnogaan2 op 06-02-2024 10:35)

Alle reacties