Ubuntu SETGID

[Whitehammer03]

Hallo liebe Fachinformatiker,

 

da bin ich wieder, diesesmal mit einer Frage zu Linux bzw Ubuntu

 

Ich bearbeite zurzeit meine Hausaufgaben zum Thema Linux Dateirechteverwaltung.

Es gibt 2 Nice-to-have Aufgaben, die ich auch zusätzlich gerne lösen möchte. Bei der einen habe ich aber ein kleines Verständnisproblem

 

Aufgabe lautet: Finden Sie eine Einstellung so, dass die von den Mitarbeitern aus Buchhaltung und Lohnsteuer im Verzeichnis „Mitarbeiter“ neu erstellten Dateien automatisch von allen Mitarbeitern bearbeitet werden dürfen. Hinweis: Hat eventuell mit dem Thema Sonderrechte zu tun (Set GID Bit ).

 

Ich habe mich ein wenig zu Gruppen-ID usw schlau gemacht. Was ich nur nicht verstehe: wenn ich das mache, sage ich dem OS damit, dass jede neue Datei und jedes neue Verzeichnis quasi die selbe GID haben soll, wie der Benutzer, der diese erstellt hat? Müsste ich in diesem Fall dann die GID in den Rechten für "Others" eintragen sodass quasi "Others" die selben Rechte haben wie die Owner, vorrausgesetzt die Owner gehören zu Buchhaltung oder zu Lohnsteuer?

 

 

PS: ich glaube ich habe meinen Gedankengang etwas zu kompliziert ausgedrückt, hoffe es ist verständlich was ich meine ^^

 

Liebe Grüße und danke im voraus

Whitehammer03

Bearbeitet 27. März 2020 von Whitehammer03

[Han_Trio]

"Sonderrechte" ist tatsächlich ein gutes Stichwort in diesem Zusammenhang Das SETGID Bit geht ein bisschen über die "normalen" Dateirechte hinaus. Normalerweise hast du ja die üblichen Rechte: Owner, group + rest, und dann eben jew. read, write + execute.

Es gibt noch drei zusätzliche Mechanismen: SETUID, SETGID und das sog. sticky Bit.

Der Einsatz des SETGID Bits ist zB bei filesharing sinnvoll, wie ja auch in deinem Beispiel.
Wenn du ein Verzeichnis mit aktiviertem / gesetzten SETGID Bit erstellst, welches einer bestimmten Gruppe gehört, dann haben alle Dateien darin automatisch auch diese Gruppenzugehörigkeit (und NICHT, wie normalerweise, die Gruppe des Erstellers).

Das bedeutet, alle User, die eben dieser Gruppe auch angehören, können die Dateien lesen bzw. bearbeiten.
Du musst dann nur noch eine Gruppe finden, die dazu passt - in dem Beispiel sowas wie "Mitarbeiter".

Das SETGID Bit hat ausschließlich mit den Gruppenrechten zu tun, nicht mit Eigentümern, und auch nicht mit "others". Man erkennt es an einem "s" in den Gruppenrechten.
 

[Whitehammer03]

Oder muss ich quasi nur dieses Setgid-BIT in den Others-Rechten setzen sodass dadurch in dem Verzeichnis erstelle Dateien nicht mehr zu der Gruppe des Owners hinzugehöhren sondern der Gruppe des Verzeichnisses?

[lessbess]

Probier es doch einfach aus, das ist die beste Möglichkeit das zu lernen. Aber ja, du musst eigentlich nur Setgid auf das Verzeichnis setzen.

Und mit den others-Rechten hat das eigentlich gar nichts zu tun, eher mit den Gruppenrechten.

Bearbeitet 27. März 2020 von lessbess

[Whitehammer03]

Danke, jetzt verstehe ich es viel besser  werde ich gleich mal ausprobieren!

[Whitehammer03]

Dann müssten aber alle Mitarbeiter aus Buchhaltung und Lohnsteuer auch einer gemeinsamen, sekundären Gruppe angehören oder ? Die Aufgabe ist ja, dass alle Dateien, die von den Mitarbeitern beider Abteilungen ertellt werden, von allen anderen ebenfalls bearbeitet werden dürfen. Laut deinem Beitrag @Han_Trio müsste ich also eine "übergeordnete"/sekundäre  Gruppe erstellen (zb Mitarbeiter) und alle Mitarbeiter dann in diese hinzufügen, oder ?

 

Und anschließend die Gruppe des Verzeichnisses ändern und das SETGID-Bit setzen?

Bearbeitet 27. März 2020 von Whitehammer03

[Whitehammer03]

vor 19 Minuten schrieb Whitehammer03:

Dann müssten aber alle Mitarbeiter aus Buchhaltung und Lohnsteuer auch einer gemeinsamen, sekundären Gruppe angehören oder ? Die Aufgabe ist ja, dass alle Dateien, die von den Mitarbeitern beider Abteilungen ertellt werden, von allen anderen ebenfalls bearbeitet werden dürfen. Laut deinem Beitrag @Han_Trio müsste ich also eine "übergeordnete"/sekundäre  Gruppe erstellen (zb Mitarbeiter) und alle Mitarbeiter dann in diese hinzufügen, oder ?

 

Und anschließend die Gruppe des Verzeichnisses ändern und das SETGID-Bit setzen?

Genau so muss es sein, habe es soeben ausprobiert. Danke für die Hilfe!

[Han_Trio]

Genau, es muss eine Gruppe "Mitarbeiter" geben, und da sind dann wirklich alle User drin.

Dann wird ein Verzeichnis erstellt, welches
a) der Gruppe "Mitarbeiter" gehört und
b) das SETGID Bit gesetzt hat

Das Problem würde jetzt normalerweise auftreten, wenn zB Frau Müller aus der Buchhaltung als primäre Gruppe "Buchhaltung" hat (und nur als sekundäre Gruppe "Mitarbeiter").
Wenn das SETGID Bit nicht gesetzt wäre, und sie würde eine Datei in dem Verzeichnis erstellen, dann hätte diese Datei ebenfalls die Gruppe "Buchhaltung".
Das Bit ist aber gesetzt, also haben alle Dateien in diesem Verzeichnis automatisch die Gruppe "Mitarbeiter", unabhängig davon, wer sie erstellt hat. Und somit ergeben sich die entspr. Rechte für alle User, die in der Gruppe "Mitarbeiter" drin sind.