Meine erste Frage: Filesystemrechte

[stefau]

Hallo Experten,

ich bin neu hier im Forum und wenn ich es recht überlege wohl auch ziemlich neu bei Solaris.

Ich habe ein stabiles Solaris 10 auf einer Netra zum fliegen gebracht, habe Apache, Mysql, PHP und weitere Tools von sunfreeware.com installiert bzw. vom source kompiliert und allses sieht gut aus... wird auch benutzt ;-)

Nun muss ich einem anderen System erlauben, Files in ein lokales Verzeichnis auf meiner Box abzulegen.
Das System will/muss dies per rcp machen.
So weit ich gelesen habe, benötige ich dafür nur einen Benutzer mit Homeverzeichnis und Passwort.

Habe das also mit

Code: [Auswählen]

useradd -u 1010 -g 2010 -d /export/home/uploaduser -s /bin/bash -c "uploadsystem" uploaduser
gemacht, nachdem ich die Gruppe und das Verzeichnis angelegt hatte.
Ein Passwort hat er auch noch bekommen.

Der User kann sich auch einloggen und Daten anlegen...
Leider sieht er aber auch eine ganze Menge anderes Zeug. So hat er anscheinend volles Leserecht auf meinem System. Wie kann ich das eindämmen?
Nach der Installation von Solaris -ich hatte mir da irgendwie keinen Kopf gemacht- scheint 'other' auf so ziemlich jedem Verzeichnis oder file Leserechte zu besitzen.

Was habe ich da falsch gemacht?
mit

Code: [Auswählen]

groups uploadusersehe ich, dass er tatsächlich nur Mitglied der einen Gruppe ist, die jedoch nichts dürfen sollte...



Hat mir jemand einen Tip?
Danke schön
Stefan

[Drusus]

Moin,

die Gruppe "other" hat bei dir keinerlei Einfluss und ist auch nciht das Problem.

Generell ist es so, dass die Zugriffsrechte unter Unix-Systemen in drei Klassen unterteilt werden:
1) Was darf der Inhaber der Datei (bzw. des Verzeichnisses)?
2) Was darf ein Mitglied der Gruppe zu dem das Objekt gehoert?
3) Was duerfen alle anderen?

Unter Unix (nicht nur Solaris) ist es generell ueblich, dass in der Default-Einstellung tatsaechlich jeder (fast) alles lesen darf (geht z.b. nicht bei /etc/shadow etc.). Auf viele dieser System-Configdaten muessen Applikationen auch zugreifen, wenn sie von einem Benutzer gestartet werden --- ergo kann man nicht einfach die Systemdateien dafuer schuetzen gelesen zu werden (sonst wuesste ein Programm z.B. nichts von Hostnamen, IP-Adressen, Namensaufloesung etc.).
Wenn es dir nur darum geht, dass der Benutzer nicht in dein Home-Verzeichnis schauen darf, so kannst dufuer einfach alle anderen Benuzter aussperren. Das geht aber wie gesagt nicht fuer die Systemdaten generell.

Zu deinem eigentlichen Problem:
Ist die Benutzung von rcp wirklich zwingend erforderlich? Genau dadurch handelst du dir naemlich die ganzen Nebenwirklungen ein (Benuzteraccount auf dem System, Login etc.). Ist es moeglich FTP zu verwenden (damit kann man dann das ganze sehr gezielt kontrollieren)?

Tschau,
  Drusus.