Das Unix-Rechtesystem - ein Anachronismus?

Dieses Thema: "Das Unix-Rechtesystem - ein Anachronismus?" im Forum "Sandkasten" wurde erstellt von Hello World, 15.06.2007.

  1. #1 Hello World, 15.06.2007
    Hello World

    Hello World Routinier

    Dabei seit:
    22.11.2006
    Beiträge:
    324
    Zustimmungen:
    0
    Ich muss sagen, dass mir das Rechtesystem unter Linux ganz gewaltig zum Halse heraushängt. Unter Windows ist das mit den ACLs alles viel sauberer gelöst, da kann man schön bequem für jeden Nutzer einzeln die Rechte festlegen, während man sich unter Linux mit diesem starren Besitzer/Gruppe/Rest-Schema herumärgern darf - ich finde das zum kotzen! Es gibt zwar auch unter Linux ACLs, aber da die kaum jemand benutzt, werden sie kaum von irgendwelcher Software unterstützt, und sie sind standardmäßig bei den meisten Distris nicht einmal aktiviert!
    Sorry, aber ich bin gerade echt genervt von dem Mist. Wie seht ihr das?
     
  2. Anzeige

    Schau dir mal diesen Ratgeber an. Viele Antworten inkl. passender Shell-Befehle!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 gropiuskalle, 15.06.2007
    gropiuskalle

    gropiuskalle terra incognita

    Dabei seit:
    01.07.2006
    Beiträge:
    4.857
    Zustimmungen:
    0
    Ort:
    Berlin
    Völlig anders. Gut, ich habe kein Vergleich, weil ich das Windows-Rechtesystem nicht kenne, andererseits hörte ich davon immer weniger gutes.

    Auf keinen Fall würde ich das Rechtesystem als 'starr' bezeichnen. Es ist streng, weil es der Sicherheit dient. Trotzdem empfand ich es aber nie als unbequem. Und solange es funktioniert (und das tut es), ist es kein Anachronismus.

    Was ist denn genau der Grund für Deinen Frust?
     
  4. rikola

    rikola Foren Gott

    Dabei seit:
    23.08.2005
    Beiträge:
    2.133
    Zustimmungen:
    0
    Linus Torvalds wuerde wohl sagen: "Dann schreibe Dein eigenes Dateisystem".
    Es ist mir neu, dass ACL's bei aktuellen Distributionen nicht unterstuetzt sind.

    Vielleicht solltest Du OpenVMS ausprobieren. Gilt als einziges nicht-hackbares Betriebssystem und hat eine sehr ausgekluegelte Rechteverwaltung des Dateisystemes.
     
  5. sinn3r

    sinn3r Law & Order
    Moderator

    Dabei seit:
    28.12.2006
    Beiträge:
    2.760
    Zustimmungen:
    0
    Ort:
    Wentorf
    Eine Frage, was hat das Rechtesystem mit dem Dateisystem zutun?
    Doch eher weniger, ob nun ext3 oder reiserf benutze, die Rechte bleiben.
     
  6. #5 supersucker, 15.06.2007
    supersucker

    supersucker Foren Gott

    Dabei seit:
    21.02.2005
    Beiträge:
    3.873
    Zustimmungen:
    0
    Viel.

    Denn das Dateisystem muss das unterstützen.

    Bei FAT z.B. wird das so schon mal nicht funktionieren.
     
  7. #6 Bâshgob, 15.06.2007
    Bâshgob

    Bâshgob freies Radikal

    Dabei seit:
    29.07.2004
    Beiträge:
    2.334
    Zustimmungen:
    0
    Ort:
    Hannover
    IIRC unterstützt FAT auch keine ACLs.

    Und ACL ist unter Linux/BSD/Unix doch nur eine Erweiterung der klassischen Benutzer-Gruppe-Andere-Rechteverwaltung. Laut Doku soll beispielsweise ab KDE 3.5 der Konqueror eine native ACL-Unterstützung besitzen. Und die Dateisysteme ext2, ext3, JFS, XFS und ReiserFS unterstützen ACLs doch sowieso ab Kernel 2.6.x.

    So what?!?
     
  8. #7 tr0nix, 15.06.2007
    Zuletzt bearbeitet: 15.06.2007
    tr0nix

    tr0nix der-mit-dem-tux-tanzt

    Dabei seit:
    11.07.2003
    Beiträge:
    1.585
    Zustimmungen:
    0
    Ort:
    Schweiz, Opfikon/Glattbrugg
    Aeh.. es gibt ACLs.. wenn sie niemand nutzt was ist das Problem? Ich arbeite schon seit 6 Jahren als Unix Admin und wir hatten nie Probleme, die wir nicht auch ohne ACLs lösen konnten.

    Es ist alles eine Frage der Planung - die Unix Standardrechte sind einfach und schnell zu verstehen. Unter Unix mache ich mit find und exec schnell chmod/chowns, ändere ganze Directoryhierarchien rekursiv - ich denke da kann ein 0815 Windows Admin schnell einstecken. So simpel und dynamisch Permissions und Ownerships ändern und verstehen.. kein Problem unter Unix. Unter Windows keinen Zugriff haben auf eine Datei - auf eine andere im selben Directory schon? Rechtsklick... Eigenschaften... Sicherheit... *angucken*... *verstehen*... *nachdenken was zu ändern ist*... *weiterklick*... *nächste Datei*...

    Sorry... aber deine Argumente ziehen in meinen Augen absolut nicht.

    BTW. Wenn ich bedenke, dass man unter Windows aufpassen muss, dass auch ja die ACLs mitkopiert werden (Stichwort Backup Tools), da laufe ich viel einfacher mit einem User, einer Gruppe und einer kleinen Bitmaske mit Permissions.
    .
    .
    .
    EDIT (autom. Beitragszusammenführung) :
    .

    P.S. 2 :)
    Filesystem hat transparent zu sein zum Anwender bzw. zur Anwendersoftware. Also "darf" ein ACL-Support gar nicht notwendig sein. ACL dient dem Administrator zu definieren, wer was wie und das klappt unter Unix mit getfacl und setfacl auch.
     
  9. #8 Hello World, 15.06.2007
    Zuletzt bearbeitet: 15.06.2007
    Hello World

    Hello World Routinier

    Dabei seit:
    22.11.2006
    Beiträge:
    324
    Zustimmungen:
    0
    ...und unflexibel. Ein Beispiel: Ich habe 10 Ordner, die zehn verschiedenen Nutzern gehören. Jetzt möchte ich einem anderen Nutzer volle Zugriffsrechte auf alle diese Ordner erlauben. Ein weiterer Nutzer soll darauf nur Leserechte haben, und alle anderen sollen weder lesen noch schreiben dürfen. Das lässt sich nur mit ACLs so umsetzen, und daher finde ich es echt *nervig*, dass ACLs standardmäßig nicht aktiviert sind.
    Nö, chown und find gibt's auch für Windows, und mit cacls kann man auch auf der Windows-Kommandozeile Rechte angucken und ändern. Nur halt viel flexibler als mit diesem rudimentären System unter UNIX. OK, es ist eigentlich kein großes Ding, ACLs unter Linux zu aktivieren, aber ich finde, dass das standardmäßig aktiv sein sollte.
    Was mich ärgert ist vor allem die Uneinheitlichkeit. ACLs sind viel mächtiger als das alte UNIX-Rechtesystem und in meinen Augen auch einfacher zu verstehen. Ich finde, da könnte man einfach mal alte Zöpfe abschneiden.
    Naja, wenn man nur Müll kennt, dann ist es klar, dass man den toll findet.
     
  10. Mike1

    Mike1 Niederösterreicher

    Dabei seit:
    21.12.2006
    Beiträge:
    1.376
    Zustimmungen:
    0
    Ort:
    Österreich
    das war jetzt echt hart :oldman
    Es zwingt dich niemand diesen "Müll" zu verwenden...

    Ich als 0815 User hatte noch kein Problem mit den Rechten...
     
  11. Psyjo

    Psyjo Routinier

    Dabei seit:
    15.11.2005
    Beiträge:
    259
    Zustimmungen:
    0
    Ort:
    Hinter'm Berg
    Ich kannte das Windows Rechtesystem ziemlich gut, da ich schon zu Hauf Windows-Kisten aufgesetzt habe. Ich muss auch zugeben das ich das Unix-Rechteschema erst verstehen musste - aber seitdem ich es nutze komme ich gut damit zurecht. Außerdem meine ich dass das "ich stelle Rechte auf diese Datei für verschiedene Nutzer ein" wesentlich verwirrender ist als Gruppenrechte auf die Daten zu legen. Mag zwar einfacher zu verstehen sein, dennoch fand ich es nie sonderlich prickelnd damit zu arbeiten.

    MfG
    Psyjo
     
  12. #11 gropiuskalle, 15.06.2007
    gropiuskalle

    gropiuskalle terra incognita

    Dabei seit:
    01.07.2006
    Beiträge:
    4.857
    Zustimmungen:
    0
    Ort:
    Berlin
    Ich fände es nicht übel, wenn Du sachlich bliebest.
     
  13. #12 Bâshgob, 16.06.2007
    Bâshgob

    Bâshgob freies Radikal

    Dabei seit:
    29.07.2004
    Beiträge:
    2.334
    Zustimmungen:
    0
    Ort:
    Hannover
    [X] Der OP trollt gerne mal. Zumindest empfinde ich eine Vielzahl seiner Postings als reines Getrolle.
     
  14. #13 tr0nix, 16.06.2007
    Zuletzt bearbeitet: 16.06.2007
    tr0nix

    tr0nix der-mit-dem-tux-tanzt

    Dabei seit:
    11.07.2003
    Beiträge:
    1.585
    Zustimmungen:
    0
    Ort:
    Schweiz, Opfikon/Glattbrugg
    Die "normalen" Unix Permissions - user:group & Perms - sind "relativ" unflexibel, da gebe ich dir recht. Deshalb gibts auch solche Dinge wie ACLs, sudo, setuid/setgid Bits. Solche Beispiele wie du es genannt hast ist in der Praxis allerdings die Ausnahme. Wieso ich zum normalen System stehe wirst du am Ende meines Beitrages sehen.

    Wer sagt, dass ACLs "defaultmässig" deaktiviert sind? Das ist 1. absolut Distributionsabhängig und 2. sollte es deaktiviert sein mit einem einfachen "acl"-Tag in der fstab lösbar - sogar online änderbar!

    Ich habe nicht gesagt, dass es mit Windows nicht möglich ist. Ich habe gesagt, dass es der 0815 Admin nicht nutzen wird - unter Unix wiederrum wird es ständig genutzt. Wie kopierst man eigentlich unter Windows die ACLs einer Datei auf eine andere?

    Siehe 1. Das ACLs nicht standardmässig aktiv sind ist quatsch da absolut Distributionsabhängig. Zudem wenn es von 95% nicht genutzt wird, sehe ich auch keinen Grund für eine Distribution dies per se zu aktivieren.

    Ahja? Weisst du was ich als Administrator mag? Das:
    Code:
    [root@localhost beispiel]# ls -la
    insgesamt 12
    drwxr-sr-x   2 root   root   4096 16. Mai 09:08 .
    drwxrwsrwx  40 root   root   4096 16. Mai 09:09 ..
    -rwx------   1 root   root      0 16. Mai 09:08 test1
    -rw-r--r--   1 tr0nix bin       0 16. Mai 09:08 test2
    -rw-rwx---+  1 sshd   nobody    0 16. Mai 09:08 test3
    -rwxrwxrwx   1 gdm    gdm       0 16. Mai 09:08 test4
    
    Ich sehe genau, welche Datei welchem User und welcher Gruppe gehört. Ich sehe, dass test3 scheinbar noch erweiterte Permissions habe (ACLs wenn du so willst). Wieso soll ich hier bei jedem verdammten File ein "+" haben wenn's gar nicht notwendig ist? Sag du mir mal wie man auf Unixebene das sinnvoll anzeigen soll wenn man nur ACLs hat!

    Was ist mit den negativen ACL-Punkten auf die du nicht eingegangen bist?
    - ACLs abspeichern (Backuptools, scheinbar sogar unter Windows ein Thema)
    - ACLs über Filesysteme transferieren (oh, bei nur NTFS natürlich kein Problem)
    - ACLs auf fremde Systeme übertragen (was wenn User/Gruppen nicht vorhanden sind?)
    - Verlorene Übersichtlichkeit wegen zuvielen ACLs
    ...
    was steht da dagegen? Zuwenig Flexibilitär? Nicht auf dem ganzen System aktiviert? *gähn*.

    Aha. Mir fallen hier auch ein paar Sprüche ein aber die lass ich lieber mal. Wer Unix nicht versteht, sollte vielleicht besser die Finger davon lassen.
     
  15. CMW

    CMW Hä ?!

    Dabei seit:
    24.07.2004
    Beiträge:
    517
    Zustimmungen:
    0
    Es ist Schwachsinn einzelnen Personen Zugrifffsrechte irgendwo zu erteilen. Diese Probleme kommen auch nur (Privat) zu Hause oder in Irgendwelchen unorganisierten Betrieben vor. ACL ist die Pest und macht nur Arbeit. Das ist meine Meinung dazu. :D

    Ein bisschen Struktur in die Arbeit, dann klappts auch mit den Rechten! :D
     
  16. #15 nikster77, 16.06.2007
    nikster77

    nikster77 Routinier

    Dabei seit:
    15.03.2004
    Beiträge:
    307
    Zustimmungen:
    0
    Also, ich habe schon haeufiger mal ACL's eingesetzt, aber eigentlich lassen sich die meisten Dinge mit der Berechtigungsstruktur und dem Gruppenkonzept (ist ja wichtig in dem Zusammenhang) loesen.

    Das kann man, wie gesagt gut mit Gruppen abfackeln aber ACLs sind auch gut dafuer ich mag die.

    Aber mal was anderes:
    Guck dir doch den meisten Berechtigungsmist bei Windows mal an, egal ob es da jetzt um Rechte zum Login, Loggen der Logins und tausend andere Sachen geht...
    da ist fast nichts standardmaessig aktiviert und man muss sich ewig tief in die Eingeweide von Windows (z.B. Sicherheitskonzept) wuehlen und ueberall seinen Haken setzen. Das suckt doch genauso.

    Bau dir halt deine eigene Distro "from Scratch" wo ACLs Standardmaessig aktiviert sind und hau das dann auf jeden Server bei euch in der Firma, Problem geloest.
     
Thema:

Das Unix-Rechtesystem - ein Anachronismus?