Forum: PC-Programmierung Benutzerrechte Raspberry pi verständisproblem


von Vinc (Gast)


Lesenswert?

Guten Abend,
ich möchte Einen Ordner mit Bildern auf einem Raspberry Pi für meine 
Familie freigeben.
In diesem Ordner sind mehrere andere Ordner mit den entsprechenden 
Bildern (2020_Weihnachten, 2021_Ostern usw.)
Jetzt habe ich gedacht, dass ich das mit den rechtenvergaben auf dem 
Raspberry pi verstanden habe, aber es funktioniert nicht so wie gedacht.

Die Ordner sind auf einem USB stick (ext4), welcher gemountet ist.
1
/mnt/Bilder/2020_Weihnachten
2
/mnt/Bilder/2021_Ostern
3
/mnt/Bilder/2021_Urlaub

Ich habe 3 Gruppen angelegt
1
Bilder_2020_Weihnachten
2
Bilder_2021_Ostern
3
Bilder_2021_Urlaub

wenn ich jetzt in putty auf dem Raspberry pi
1
cat /etc/group
bekomme ich

Bilder_2020_Weihnachten:x:1008:Vinc,Jens
Bilder_2021_Ostern:x:1008:Vinc,Jens
Bilder_2021_Urlaub:x:1009:Vinc

Also auf den Ordner Urlaub möchte gerne nur ich zugriff haben.
1
ls -ldh /mnt/Bilder/2020_Weihnachten
bekomme ich
1
drwxr-x--- 2 pi Bilder_2020_Weihnachten

so sehen alle Ordner im Bilderordner aus, aber auch der Ordner Bilder 
und mnt selber.

Damit gehe ich davon aus, dass alle die die in der Gruppe 
Bilder_2020_Weihnachten sind sich die Bilder ansehen können. Und alle 
anderen nicht.

Jetzt haben wir das mit WinSCP ausprobiert. Auch mit dem Raspberry pi 
verbunden, Benutzername und Passwort eingegeben. Aber wir haben keinen 
zugriff.
Erst wenn wir die Rechte für andere lesen auch frei geben
1
 
2
drwxr-xr-x 2 pi Bilder_2020_Weihnachten
dann kommen wir an die Bilder ran.

Ein weiteres Problem ist, dass auch alle anderen Ordner angezeigt werden 
und man zugriff drauf hat
1
-var
2
-usr
3
-tmp
4
-sys
5
-srv
6
-sbin
7
-run
8
-root
9
-...
10
...

Diese sollen in WinSCP eigentlich gar nicht dargestellt werden (oder 
zumindest keinen Zugriff drauf haben).

Wie bekomme ich das hin, dass die Personen die in der gruppe sind auch 
die rechte haben, welche ich vergeben habe? Bzw. Wieso sind wir nicht in 
der Gruppe (Konnten ja erst auf die Bilder zugreifen, als ich für alle 
anderen die leserechte aktiviert habe).

Wie bekomme ihc es hin, dass bei WinSCP nur der ordner /mnt/Bilder 
angezeigt wird? Bzw. man nur diesen öffnen kann?


Vinc

von Achim M. (minifloat)


Lesenswert?

Vinc schrieb:
> drwxr-x--- 2 pi Bilder_2020_Weihnachten

Die rwx sind nach Owner(user), Group, Other sortiert. Entsprechend musst 
du den Kram mit Rechten ausstatten.

Lies doch mal das
https://www.guru99.com/file-permissions.html
...da steht eigentlich alles drin.

Vinc schrieb:
> Wie bekomme ihc es hin, dass bei WinSCP nur der ordner /mnt/Bilder
> angezeigt wird? Bzw. man nur diesen öffnen kann?

Bei Global muss für alle Verzeichnisse, die nicht zugreifbar sein 
dürfen, eben --- stehen.

mfg mf

: Bearbeitet durch User
von c-hater (Gast)


Lesenswert?

Vinc schrieb:

> Jetzt habe ich gedacht, dass ich das mit den rechtenvergaben auf dem
> Raspberry pi verstanden habe, aber es funktioniert nicht so wie gedacht.

Du hast das Konzept nicht verstanden und deshalb funktioniert es auch 
nicht, wie gedacht.

Der Trick ist nicht allein, die Gruppen einzurichten, du musst den 
Vezeichnissen auch diese Gruppen als Owner zuweisen. Anders als bei 
fortgeschrittener ACL-basierter Rechtevergabe gibt es bei dem primitiven 
Unix-Konzept neben einem Owner-Benutzer auch noch eine Owner-Gruppe.

man chown

Alternativ kannst du das aber auch unter Linux auf ACLs umstellen. Ist 
nur leider extremer Sackstand, weil praktisch nix im GUI das in 
irgendeiner Form sinnvoll unterstützt und auch im Backend ist das alles 
eher langsam. Nunja, alles, was im ursprünglichen Konzept nicht 
vorgesehen war, ist natürlich zwangsweise irgendwie suboptimal 
angeflanscht.

von Rolf M. (rmagnus)


Lesenswert?

Vinc schrieb:
> ls -ldh /mnt/Bilder/2020_Weihnachten
> bekomme ich
> drwxr-x--- 2 pi Bilder_2020_Weihnachten

Das sieht seltsam aus. Da scheint in der Ausgabe die Gruppe und das 
Änderungsdatum zu fehlen.

Vinc schrieb:
> Ein weiteres Problem ist, dass auch alle anderen Ordner angezeigt werden
> und man zugriff drauf hat
> -var
> -usr
> -tmp
> -sys
> -srv
> -sbin
> -run
> -root
> -...
> ...

Das ist kein Problem, sondern so gedacht. Wenn jemand z.B. keinen 
Zugriff auf /usr hat, kann er keine Programme ausführen.

von Εrnst B. (ernst)


Lesenswert?

Vinc schrieb:
> Wie bekomme ihc es hin, dass bei WinSCP nur der ordner /mnt/Bilder
> angezeigt wird? Bzw. man nur diesen öffnen kann?

dem SSH-Daemon das mitteilen.

In etwa, in der /etc/ssh/sshd_config:
1
# Könnte schon default sein:
2
Subsystem sftp /usr/lib/ssh/sftp-server
3
# oder:
4
# Subsystem  sftp /usr/lib/openssh/sftp-server
5
6
7
Match Group Bilder
8
  ChrootDirectory /mnt/Bilder
9
  ForceCommand internal-sftp
10
  AllowTcpForwarding no
11
  X11Forwarding no

Und dann packst du die WinSCP-Benutzer (zusätzlich zu 
"Bilder_Weihnachtenxxx" usw.) noch in die Gruppe "Bilder".

Vorsicht: Deinen administrativen User nicht, Benutzer in der Gruppe 
können dann nur noch SFTP in "/mnt/Bilder" benutzen (WinSCP), aber 
keinen SSH-Login mehr (Putty)

Der "Match"-Block lässt sich bei Bedarf mehrfach wiederholen, für 
genauere Einstellungen ginge auch "Match User Vince"

Aber: Könnte es nicht eher sein, dass du eigentlich SAMBA einrichten und 
konfigurieren möchtest?

: Bearbeitet durch User
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.