PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Das Unix-Rechtesystem - ein Anachronismus?



Hello World
15.06.2007, 02:33
Ich muss sagen, dass mir das Rechtesystem unter Linux ganz gewaltig zum Halse heraushängt. Unter Windows ist das mit den ACLs alles viel sauberer gelöst, da kann man schön bequem für jeden Nutzer einzeln die Rechte festlegen, während man sich unter Linux mit diesem starren Besitzer/Gruppe/Rest-Schema herumärgern darf - ich finde das zum kotzen! Es gibt zwar auch unter Linux ACLs, aber da die kaum jemand benutzt, werden sie kaum von irgendwelcher Software unterstützt, und sie sind standardmäßig bei den meisten Distris nicht einmal aktiviert!
Sorry, aber ich bin gerade echt genervt von dem Mist. Wie seht ihr das?

gropiuskalle
15.06.2007, 03:07
Völlig anders. Gut, ich habe kein Vergleich, weil ich das Windows-Rechtesystem nicht kenne, andererseits hörte ich davon immer weniger gutes.

Auf keinen Fall würde ich das Rechtesystem als 'starr' bezeichnen. Es ist streng, weil es der Sicherheit dient. Trotzdem empfand ich es aber nie als unbequem. Und solange es funktioniert (und das tut es), ist es kein Anachronismus.

Was ist denn genau der Grund für Deinen Frust?

rikola
15.06.2007, 05:23
Linus Torvalds wuerde wohl sagen: "Dann schreibe Dein eigenes Dateisystem".
Es ist mir neu, dass ACL's bei aktuellen Distributionen nicht unterstuetzt sind.

Vielleicht solltest Du OpenVMS ausprobieren. Gilt als einziges nicht-hackbares Betriebssystem und hat eine sehr ausgekluegelte Rechteverwaltung des Dateisystemes.

sinn3r
15.06.2007, 07:04
Rechteverwaltung des Dateisystemes.

Eine Frage, was hat das Rechtesystem mit dem Dateisystem zutun?
Doch eher weniger, ob nun ext3 oder reiserf benutze, die Rechte bleiben.

supersucker
15.06.2007, 09:38
Eine Frage, was hat das Rechtesystem mit dem Dateisystem zutun?

Viel.

Denn das Dateisystem muss das unterstützen.

Bei FAT z.B. wird das so schon mal nicht funktionieren.

Bâshgob
15.06.2007, 13:34
IIRC unterstützt FAT auch keine ACLs.

Und ACL ist unter Linux/BSD/Unix doch nur eine Erweiterung der klassischen Benutzer-Gruppe-Andere-Rechteverwaltung. Laut Doku soll beispielsweise ab KDE 3.5 der Konqueror eine native ACL-Unterstützung besitzen. Und die Dateisysteme ext2, ext3, JFS, XFS und ReiserFS unterstützen ACLs doch sowieso ab Kernel 2.6.x.

So what?!?

tr0nix
15.06.2007, 14:20
Aeh.. es gibt ACLs.. wenn sie niemand nutzt was ist das Problem? Ich arbeite schon seit 6 Jahren als Unix Admin und wir hatten nie Probleme, die wir nicht auch ohne ACLs lösen konnten.

Es ist alles eine Frage der Planung - die Unix Standardrechte sind einfach und schnell zu verstehen. Unter Unix mache ich mit find und exec schnell chmod/chowns, ändere ganze Directoryhierarchien rekursiv - ich denke da kann ein 0815 Windows Admin schnell einstecken. So simpel und dynamisch Permissions und Ownerships ändern und verstehen.. kein Problem unter Unix. Unter Windows keinen Zugriff haben auf eine Datei - auf eine andere im selben Directory schon? Rechtsklick... Eigenschaften... Sicherheit... *angucken*... *verstehen*... *nachdenken was zu ändern ist*... *weiterklick*... *nächste Datei*...

Sorry... aber deine Argumente ziehen in meinen Augen absolut nicht.

BTW. Wenn ich bedenke, dass man unter Windows aufpassen muss, dass auch ja die ACLs mitkopiert werden (Stichwort Backup Tools), da laufe ich viel einfacher mit einem User, einer Gruppe und einer kleinen Bitmaske mit Permissions.
.
.
.
EDIT (autom. Beitragszusammenführung) :
.
P.S. 2 :)
Filesystem hat transparent zu sein zum Anwender bzw. zur Anwendersoftware. Also "darf" ein ACL-Support gar nicht notwendig sein. ACL dient dem Administrator zu definieren, wer was wie und das klappt unter Unix mit getfacl und setfacl auch.

Hello World
15.06.2007, 18:56
Es ist alles eine Frage der Planung - die Unix Standardrechte sind einfach und schnell zu verstehen.
...und unflexibel. Ein Beispiel: Ich habe 10 Ordner, die zehn verschiedenen Nutzern gehören. Jetzt möchte ich einem anderen Nutzer volle Zugriffsrechte auf alle diese Ordner erlauben. Ein weiterer Nutzer soll darauf nur Leserechte haben, und alle anderen sollen weder lesen noch schreiben dürfen. Das lässt sich nur mit ACLs so umsetzen, und daher finde ich es echt *nervig*, dass ACLs standardmäßig nicht aktiviert sind.

Unter Unix mache ich mit find und exec schnell chmod/chowns, ändere ganze Directoryhierarchien rekursiv - ich denke da kann ein 0815 Windows Admin schnell einstecken.
Nö, chown und find gibt's auch für Windows, und mit cacls kann man auch auf der Windows-Kommandozeile Rechte angucken und ändern. Nur halt viel flexibler als mit diesem rudimentären System unter UNIX. OK, es ist eigentlich kein großes Ding, ACLs unter Linux zu aktivieren, aber ich finde, dass das standardmäßig aktiv sein sollte.
Was mich ärgert ist vor allem die Uneinheitlichkeit. ACLs sind viel mächtiger als das alte UNIX-Rechtesystem und in meinen Augen auch einfacher zu verstehen. Ich finde, da könnte man einfach mal alte Zöpfe abschneiden.

Gut, ich habe kein Vergleich, weil ich das Windows-Rechtesystem nicht kenne,
Naja, wenn man nur Müll kennt, dann ist es klar, dass man den toll findet.

Mike1
15.06.2007, 19:18
Naja, wenn man nur Müll kennt, dann ist es klar, dass man den toll findet.
das war jetzt echt hart :oldman
Es zwingt dich niemand diesen "Müll" zu verwenden...

Ich als 0815 User hatte noch kein Problem mit den Rechten...

Psyjo
15.06.2007, 19:25
Ich kannte das Windows Rechtesystem ziemlich gut, da ich schon zu Hauf Windows-Kisten aufgesetzt habe. Ich muss auch zugeben das ich das Unix-Rechteschema erst verstehen musste - aber seitdem ich es nutze komme ich gut damit zurecht. Außerdem meine ich dass das "ich stelle Rechte auf diese Datei für verschiedene Nutzer ein" wesentlich verwirrender ist als Gruppenrechte auf die Daten zu legen. Mag zwar einfacher zu verstehen sein, dennoch fand ich es nie sonderlich prickelnd damit zu arbeiten.

MfG
Psyjo

gropiuskalle
15.06.2007, 19:39
Naja, wenn man nur Müll kennt, dann ist es klar, dass man den toll findet.

Ich fände es nicht übel, wenn Du sachlich bliebest.

Bâshgob
16.06.2007, 01:02
[X] Der OP trollt gerne mal. Zumindest empfinde ich eine Vielzahl seiner Postings als reines Getrolle.

tr0nix
16.06.2007, 09:21
...und unflexibel. Ein Beispiel: Ich habe 10 Ordner, die zehn verschiedenen Nutzern gehören. Jetzt möchte ich einem anderen Nutzer volle Zugriffsrechte auf alle diese Ordner erlauben. Ein weiterer Nutzer soll darauf nur Leserechte haben, und alle anderen sollen weder lesen noch schreiben dürfen.
Die "normalen" Unix Permissions - user:group & Perms - sind "relativ" unflexibel, da gebe ich dir recht. Deshalb gibts auch solche Dinge wie ACLs, sudo, setuid/setgid Bits. Solche Beispiele wie du es genannt hast ist in der Praxis allerdings die Ausnahme. Wieso ich zum normalen System stehe wirst du am Ende meines Beitrages sehen.


Das lässt sich nur mit ACLs so umsetzen, und daher finde ich es echt *nervig*, dass ACLs standardmäßig nicht aktiviert sind.
Wer sagt, dass ACLs "defaultmässig" deaktiviert sind? Das ist 1. absolut Distributionsabhängig und 2. sollte es deaktiviert sein mit einem einfachen "acl"-Tag in der fstab lösbar - sogar online änderbar!


Nö, chown und find gibt's auch für Windows, und mit cacls kann man auch auf der Windows-Kommandozeile Rechte angucken und ändern. Nur halt viel flexibler als mit diesem rudimentären System unter UNIX.
Ich habe nicht gesagt, dass es mit Windows nicht möglich ist. Ich habe gesagt, dass es der 0815 Admin nicht nutzen wird - unter Unix wiederrum wird es ständig genutzt. Wie kopierst man eigentlich unter Windows die ACLs einer Datei auf eine andere?


OK, es ist eigentlich kein großes Ding, ACLs unter Linux zu aktivieren, aber ich finde, dass das standardmäßig aktiv sein sollte.
Siehe 1. Das ACLs nicht standardmässig aktiv sind ist quatsch da absolut Distributionsabhängig. Zudem wenn es von 95% nicht genutzt wird, sehe ich auch keinen Grund für eine Distribution dies per se zu aktivieren.


Was mich ärgert ist vor allem die Uneinheitlichkeit. ACLs sind viel mächtiger als das alte UNIX-Rechtesystem und in meinen Augen auch einfacher zu verstehen. Ich finde, da könnte man einfach mal alte Zöpfe abschneiden.
Ahja? Weisst du was ich als Administrator mag? Das:


[root@localhost beispiel]# ls -la
insgesamt 12
drwxr-sr-x 2 root root 4096 16. Mai 09:08 .
drwxrwsrwx 40 root root 4096 16. Mai 09:09 ..
-rwx------ 1 root root 0 16. Mai 09:08 test1
-rw-r--r-- 1 tr0nix bin 0 16. Mai 09:08 test2
-rw-rwx---+ 1 sshd nobody 0 16. Mai 09:08 test3
-rwxrwxrwx 1 gdm gdm 0 16. Mai 09:08 test4

Ich sehe genau, welche Datei welchem User und welcher Gruppe gehört. Ich sehe, dass test3 scheinbar noch erweiterte Permissions habe (ACLs wenn du so willst). Wieso soll ich hier bei jedem verdammten File ein "+" haben wenn's gar nicht notwendig ist? Sag du mir mal wie man auf Unixebene das sinnvoll anzeigen soll wenn man nur ACLs hat!

Was ist mit den negativen ACL-Punkten auf die du nicht eingegangen bist?
- ACLs abspeichern (Backuptools, scheinbar sogar unter Windows ein Thema)
- ACLs über Filesysteme transferieren (oh, bei nur NTFS natürlich kein Problem)
- ACLs auf fremde Systeme übertragen (was wenn User/Gruppen nicht vorhanden sind?)
- Verlorene Übersichtlichkeit wegen zuvielen ACLs
...
was steht da dagegen? Zuwenig Flexibilitär? Nicht auf dem ganzen System aktiviert? *gähn*.


Naja, wenn man nur Müll kennt, dann ist es klar, dass man den toll findet.
Aha. Mir fallen hier auch ein paar Sprüche ein aber die lass ich lieber mal. Wer Unix nicht versteht, sollte vielleicht besser die Finger davon lassen.

CMW
16.06.2007, 09:42
...und unflexibel. Ein Beispiel: Ich habe 10 Ordner, die zehn verschiedenen Nutzern gehören. Jetzt möchte ich einem anderen Nutzer volle Zugriffsrechte auf alle diese Ordner erlauben. Ein weiterer Nutzer soll darauf nur Leserechte haben, und alle anderen sollen weder lesen noch schreiben dürfen. Das lässt sich nur mit ACLs so umsetzen, und daher finde ich es echt *nervig*, dass ACLs standardmäßig nicht aktiviert sind.

Nö, chown und find gibt's auch für Windows, und mit cacls kann man auch auf der Windows-Kommandozeile Rechte angucken und ändern. Nur halt viel flexibler als mit diesem rudimentären System unter UNIX. OK, es ist eigentlich kein großes Ding, ACLs unter Linux zu aktivieren, aber ich finde, dass das standardmäßig aktiv sein sollte.
Was mich ärgert ist vor allem die Uneinheitlichkeit. ACLs sind viel mächtiger als das alte UNIX-Rechtesystem und in meinen Augen auch einfacher zu verstehen. Ich finde, da könnte man einfach mal alte Zöpfe abschneiden.

Es ist Schwachsinn einzelnen Personen Zugrifffsrechte irgendwo zu erteilen. Diese Probleme kommen auch nur (Privat) zu Hause oder in Irgendwelchen unorganisierten Betrieben vor. ACL ist die Pest und macht nur Arbeit. Das ist meine Meinung dazu. :D

Ein bisschen Struktur in die Arbeit, dann klappts auch mit den Rechten! :D

nikster77
16.06.2007, 10:19
Also, ich habe schon haeufiger mal ACL's eingesetzt, aber eigentlich lassen sich die meisten Dinge mit der Berechtigungsstruktur und dem Gruppenkonzept (ist ja wichtig in dem Zusammenhang) loesen.


..und unflexibel. Ein Beispiel: Ich habe 10 Ordner, die zehn verschiedenen Nutzern gehören. Jetzt möchte ich einem anderen Nutzer volle Zugriffsrechte auf alle diese Ordner erlauben. Ein weiterer Nutzer soll darauf nur Leserechte haben, und alle anderen sollen weder lesen noch schreiben dürfen. Das lässt sich nur mit ACLs so umsetzen, und daher finde ich es echt *nervig*, dass ACLs standardmäßig nicht aktiviert sind.


Das kann man, wie gesagt gut mit Gruppen abfackeln aber ACLs sind auch gut dafuer ich mag die.

Aber mal was anderes:
Guck dir doch den meisten Berechtigungsmist bei Windows mal an, egal ob es da jetzt um Rechte zum Login, Loggen der Logins und tausend andere Sachen geht...
da ist fast nichts standardmaessig aktiviert und man muss sich ewig tief in die Eingeweide von Windows (z.B. Sicherheitskonzept) wuehlen und ueberall seinen Haken setzen. Das suckt doch genauso.

Bau dir halt deine eigene Distro "from Scratch" wo ACLs Standardmaessig aktiviert sind und hau das dann auf jeden Server bei euch in der Firma, Problem geloest.

Hello World
16.06.2007, 12:19
Wer sagt, dass ACLs "defaultmässig" deaktiviert sind? Das ist 1. absolut Distributionsabhängig und 2. sollte es deaktiviert sein mit einem einfachen "acl"-Tag in der fstab lösbar - sogar online änderbar!
Online änderbar? Wie soll das gehen?

Siehe 1. Das ACLs nicht standardmässig aktiv sind ist quatsch da absolut Distributionsabhängig.
Es ist bei praktisch allen Distributionen so, die man wirklich verwenden möchte.


Ahja? Weisst du was ich als Administrator mag? Das:

Und wieso soll das mit ACLs nicht gehen? Du kannst über ACLs komplett die traditionellen UNIX-Rechte nachbauen, und einen "Owner" muss eine Datei auch mit ACLs noch haben.

Was ist mit den negativen ACL-Punkten auf die du nicht eingegangen bist?
- ACLs abspeichern (Backuptools, scheinbar sogar unter Windows ein Thema)
Wo ist das Problem? star und viele andere Backup-Tools unterstützen natürlich auch ACLs. Schließlich sind die schon seit Jahren in POSIX vorgeschrieben.

- ACLs über Filesysteme transferieren (oh, bei nur NTFS natürlich kein Problem)
Die Form der ACLs ist in POSIX festgeschrieben, ich sehe auch hierbei kein Problem, solange nur beide Dateisysteme POSIX-kompatible ACLs verwenden.

- ACLs auf fremde Systeme übertragen (was wenn User/Gruppen nicht vorhanden sind?)
Das Problem hast Du in jedem Fall, auch bei UNIX-Rechten.

- Verlorene Übersichtlichkeit wegen zuvielen ACLs
Hängt wohl eher von der Fähigkeit des Administrators ab.

Aha. Mir fallen hier auch ein paar Sprüche ein aber die lass ich lieber mal. Wer Unix nicht versteht, sollte vielleicht besser die Finger davon lassen.
Trotz deinem Getrolle konntest Du mir immer noch nicht verraten, wie man das o. g. Beispiel ohne ACLs umsetzt. Von fehlendem Verständnis kann daher höchstens bei Dir die Rede sein, und zwar für die Anforderungen in einem modernen Betrieb.

codc
16.06.2007, 12:41
@Hello World: was Du machst ist getrolle und wenn dich die *NIX-Rechte stören such dir ein OS deiner Wahl wo du besser mit klar kommst oder heul dich auf einer Maillinglist deiner Wahl aus die auch Entwickler lesen. Ein Teil der User hier sind Admins von Rootservern und/oder mehr oder minder grossen professionellen IT-Anlagen und kommen wunderbar mit dem bestehendem Rechtesystemen klar. Also was soll der ganze Thread? Hast du langeweile/nichts besseres zutun?

@Mods: Ich glaube hier ist ein schließen angesagt weil es sonst zu einem endlos und sinnlos Thread ausufert.

tr0nix
16.06.2007, 13:56
Online änderbar? Wie soll das gehen?
mount -o remount,acl /mountpoint


Und wieso soll das mit ACLs nicht gehen? Du kannst über ACLs komplett die traditionellen UNIX-Rechte nachbauen, und einen "Owner" muss eine Datei auch mit ACLs noch haben.
Wenn du mein Beispiel angeschaut hast, hast du gesehen, dass ich ja ACLs benutzt habe. Ich verstehe nicht, was man an dem System weiter ändern soll? Man hat die traditionellen Unix-Berechtigungen + ACL darüber wenn notwendig.


Wo ist das Problem? star und viele andere Backup-Tools unterstützen natürlich auch ACLs. Schließlich sind die schon seit Jahren in POSIX vorgeschrieben.
Argumentierst du jetzt für oder gegen ACLs? Ich sag nur, dass keiner ACLs braucht ausser für Sondersituationen. Ich sage nicht, dass ACLs nicht standardmässig aktiviert sein sollen oder nicht brauchbar sind. Auf Windows hab ich nur gesehen, dass es scheinbar Probleme gibt bei Packaging-Tools die ACLs beizubehalten.


Die Form der ACLs ist in POSIX festgeschrieben, ich sehe auch hierbei kein Problem, solange nur beide Dateisysteme POSIX-kompatible ACLs verwenden.
Genau, und wenn das Filesystem keine ACLs erlaubt, fährt man hald mischmasch.


Das Problem hast Du in jedem Fall, auch bei UNIX-Rechten.
Mit dem Unterschied, dass ich das sofort sehe wenn die UIDs nicht belegt sind. Mit einem Directory-Service für Logins ist das aber kein Thema (in den meisten Fällen).


Trotz deinem Getrolle konntest Du mir immer noch nicht verraten, wie man das o. g. Beispiel ohne ACLs umsetzt. Von fehlendem Verständnis kann daher höchstens bei Dir die Rede sein, und zwar für die Anforderungen in einem modernen Betrieb.
Aha. Ich arbeite seit 6 Jahren in der Bank, betreue hochkritische Kontensysteme (was für welche das in der Schweiz sein könnten kannst du dir ja denken) und bin im DWH Bereich für Terabytegrosse Datenbanken zuständig mit Reportinguser die auf das System einloggen müssen um reports zu ziehen. Aber klar, ich habe keine Ahnung auch wenn du der einzige bist hier der gegen den Strom argumentiert.

Lies nochmals meine Antwort zu deiner "Aufgabenstellung", dann noch die Antworten der 2 User die sagen, dass solch ein Problem sehr sehr selten auftritt und in diesem Spezialfall auch mit ACLs zu lösen ist.

Bitte sag mir doch, was du hier eigentlich vertrittst? Pro-ACL? Pro-ACL-per-default-aktiviert oder Pro-ACL-immer-benutzen-auch-wenn-nicht-notwendig? Irgendwie habe ich nämlich das Gefühl, du motzt an was rum, das bereits existiert und vorhanden ist. Ich sehe echt dein Problem nicht mehr.

Goodspeed
16.06.2007, 13:59
@Hello World: Ich versteh echt nicht, worüber Du Dich aufregst. Wenn Dir für Deine Anforderungen die "normale" Rechteverwaltung nicht reicht, dann nutz doch ACL, denn sie sind ja da. Sie sind nicht aktiviert? Dann hol das halt nach? Das ist (möglicherweise) nicht "live" zu tätigen? Und? Über die Ansprüche an die Rechteverwaltung sollte man sich VOR der Live-Setzung Gedanken machen. Somit dürfte das unerheblich sein.
Also wo genau lag jetzt nochmal das Problem?

@tr0nix: Mist ... zu spät *g*

Hello World
16.06.2007, 14:30
Bitte sag mir doch, was du hier eigentlich vertrittst? Pro-ACL? Pro-ACL-per-default-aktiviert oder Pro-ACL-immer-benutzen-auch-wenn-nicht-notwendig? Irgendwie habe ich nämlich das Gefühl, du motzt an was rum, das bereits existiert und vorhanden ist. Ich sehe echt dein Problem nicht mehr.
Ich finde es einfach nicht gut, dass zwei verschiedene Rechte-Systeme parallel existieren. Mir persönlich ist das zu uneinheitlich und ich halte es für einen Anachronismus.

tr0nix
16.06.2007, 14:49
Ok, das kann man sicherlich so sehen. Angenommen wir würden aber ACL "in jedem Fall" aktiviert haben - was würde sich ändern? "ls -la" gäbe immernoch denselben Output, getfacl wird nichts anderes sagen als ich schon sehe sofern keine weiteren ACLs gesetzt sind (nämlich user, gruppe und deren Berechtigungen).

Du hast argumentiert, dass ACLs durch Applikationen nicht supportet werden - die meisten Applikationen die mit User arbeiten authentisieren diese doch sowieso intern (z.B. DB Systeme, Webapplikationen wie dieses Board hier etc.). Für den Rest sollte doch die Vererbungsfunktion der ACLs reichen. Vielleicht bin ich wirklich alteingesessen, aber welche Applikation unter Windows macht wirklich nutzen von den ACLs?

Was ich sagen will ist, dass wenn ACLs "fix" implementiert werden, würde sich für den Enduser nichts ändern.

marcellus
16.06.2007, 17:45
...und unflexibel. Ein Beispiel: Ich habe 10 Ordner, die zehn verschiedenen Nutzern gehören. Jetzt möchte ich einem anderen Nutzer volle Zugriffsrechte auf alle diese Ordner erlauben. Ein weiterer Nutzer soll darauf nur Leserechte haben, und alle anderen sollen weder lesen noch schreiben dürfen. Das lässt sich nur mit ACLs so umsetzen, und daher finde ich es echt *nervig*, dass ACLs standardmäßig nicht aktiviert sind.


du machst eine gruppe für jeden der 10 besitzer, dann addest du deinen einen nutzer in alle gruppen. Danach chgrps't du die 10 verzeichnisse auf die gruppe "tollerreadonlyuser" und gibst den verzeichnissen die rechte "750". Alle drunter liegenden dateien chgrps't du auf die gruppen der besitzer und gibst ihnen "664". Und schon können die 10 besitzer auf ihr zeug uneingeschrenkt zugreifen, der eine benutzer kann in die verzeichnisse rein, kann listen, die dateien lesen, aber nix kaputt machen und dein weiterer benutzer kann machen, was ihm spaß macht. Und alle anderen dürfen nicht einmal schauen was im verzeichnis ist.

Und das ganze ohne acl, ist das rechte system nicht geil?

Bâshgob
16.06.2007, 22:44
Ich finde es einfach nicht gut, dass zwei verschiedene Rechte-Systeme parallel existieren. Mir persönlich ist das zu uneinheitlich und ich halte es für einen Anachronismus.

Es existieren keine 2 Rechtesysteme. Lies einfach mal die Doku zu acl. Acl ist eine *Achtung* _Erweiterung_ des Benutzer-Gruppe-Andere-Rechtesystems.

Aber troll ruhig weiter.

Hello World
16.06.2007, 22:52
Es existieren keine 2 Rechtesysteme. Lies einfach mal die Doku zu acl. Acl ist eine *Achtung* _Erweiterung_ des Benutzer-Gruppe-Andere-Rechtesystems.
Lustigerweise kann ich trotzdem einer Datei in sich widersprüchliche Rechte geben:
$> touch foo
$> chmod 0 foo
$> chown $(whoami) foo
$> setfacl -m u:$(whoami):r foo
$> cat foo
cat: foo: Keine Berechtigung

Willst Du mir das allen ernstes als sauberes Konzept verkaufen? Sorry, aber das ist es nicht.


du machst eine gruppe für jeden der 10 besitzer
Allein das ist Frickel³. Außerdem funktioniert es nicht. Wenn ein Nutzer den Namen einer Datei kennt (und das ist nun weiß Gott nicht unwahrscheinlich), kann er diese immer noch auslesen.

Bâshgob
16.06.2007, 23:16
Lustigerweise kann ich trotzdem einer Datei in sich widersprüchliche Rechte geben:
$> touch foo
$> chmod 0 foo
$> chown $(whoami) foo
$> setfacl -m u:$(whoami):r foo
$> cat foo
cat: foo: Keine Berechtigung

Willst Du mir das allen ernstes als sauberes Konzept verkaufen? Sorry, aber das ist es nicht.


Denk mal scharf darüber nach. Ganz scharf. Und wenn du erkannt hast was du für einen Blödzinn von dir gibst darfst du mich gern auf einen Espresso bei meinem Lieblingsitaliener einladen ;).

Hello World
16.06.2007, 23:25
was du für einen Blödzinn von dir gibst
Ich gebe keinen Blödsinn von mir - wenn Du dieser Meinung bist, dann erklär mir doch bitte, wieso. Oder halt einfach die Klappe...

musiKk
17.06.2007, 01:47
Kann das mal einer der Mods schliessen? Ich versteh nicht, was dieser Thread hier verloren hat. Wers nicht nutzen will, solls nicht nutzen und alle anderen sollten sich damit abfinden. Punkt. Alles, was darueber hinausgeht, ist Flame. Bei produktiven Diskussionen gehe ich noch mit, aber das ist hier meiner Ansicht nach nicht der Fall.

OSS ist doch in der Hinsicht schon das Beste vom Besten: Es gibt dir eine Wahl. Eine Wahl etwas zu tun oder etwas anderes zu tun. Nur wird das immer wieder als Buerde oder Pflicht aufgefasst. Wenn du lieber Windows nutzen willst (oder von mir aus ein System, das deiner Meinung nach das unter Linux nur unzureichend unterstuetzte ACL besser implementiert) so sei es. Aber warum muss das in so einer absolut daemlichen Diskussion enden?!

Bâshgob
17.06.2007, 02:00
Ich gebe keinen Blödsinn von mir - wenn Du dieser Meinung bist, dann erklär mir doch bitte, wieso. Oder halt einfach die Klappe...

Sorry. Wenn du zu faul zum lesen bist kann und mag ich dir nicht helfen.

Hello World
17.06.2007, 02:02
Sorry. Wenn du zu faul zum lesen bist kann und mag ich dir nicht helfen.
Ich kann nicht lesen, was nicht dasteht. Und das ist in diesem Falle eine Begründung, wieso mein Beitrag Blödsinn gewesen sein soll.

Wolfgang
17.06.2007, 06:45
Ich muss sagen, dass mir das Rechtesystem unter Linux ganz gewaltig zum Halse heraushängt. Unter Windows ist das mit den ACLs alles viel sauberer gelöst, da kann man schön bequem für jeden Nutzer einzeln die Rechte festlegen, während man sich unter Linux mit diesem starren Besitzer/Gruppe/Rest-Schema herumärgern darf - ich finde das zum kotzen! Es gibt zwar auch unter Linux ACLs, aber da die kaum jemand benutzt, werden sie kaum von irgendwelcher Software unterstützt, und sie sind standardmäßig bei den meisten Distris nicht einmal aktiviert!
Sorry, aber ich bin gerade echt genervt von dem Mist. Wie seht ihr das?

Siehst du wie subjektiv-emotional deine Aussage ist?

Da musst du dich über diverse Reaktionen nicht wundern.

Da du scheinbar aus der Windowswelt kommst, und das Rechtesystem unter Unix nicht wirklich verstanden hast, transferierst du dein Problem auf das "ach so böse dir fremde" System.
Du kennst die Fabel vom Fuchs und den Trauben?
;)
Unter *nixoiden Systemen ist es außerdem üblich, den mündigen Admin selbst zu überlassen welche zusätzliche Software er nutzt oder nicht.
Nur weil du (oder andere Windows-vorbelastete user) ein Problem damit hast, macht es noch lange keinen Sinn über eine generelle default Aktivierung nachzudenken.

Zugriffsrechte unter *nixoiden Systemen sind alles Andere als alte Zöpfe.

Wenn ich deiner Argumentation folgen würde, (was ich nicht tu) würde ich als NichtwindoZer eher über den Sinn/Unsinn eines NTFS nachdenken.

Betrachte das nur als Beispiel zur Verdeutlichung und vergiss es. Ich will nicht darüber diskutuieren.

Um bei den klaren Fakten zu bleiben:

Wenn du für ganz spezielle Fälle die ACL brauchst, ist es kein Problem diese zu installieren und zu nutzen.
Wenn es eine einfache Lösung durch kreative verwendung der Gruppen und Owner gibt, ist es auch ausreichend diese anzuwenden.
Wenn Windowsgewohnheiten auf Linux/Unix nicht zum Erfolg führen, ist es an der Zeit die Denkweise und alte Gewohnheiten über Board zu werfen.

Emotionale Argumentationen (das ist Mist weil es für mich zu kompliziert ist) sind als sachliche Diskusionsgrundlage denkbar ungeeignet.

Gruß Wolfgang

Hello World
17.06.2007, 09:37
Da du scheinbar aus der Windowswelt kommst, und das Rechtesystem unter Unix nicht wirklich verstanden hast, transferierst du dein Problem auf das "ach so böse dir fremde" System.
Dass ich das System nicht verstanden hätte, ist reines Getrolle und nachweislich falsch. Ich konnte bereits leicht ein Beispiel nennen, das sich ohne ACLs nicht umsetzen lässt (auch wenn marcellus fälschlicherweise das Gegenteil behauptet) und ein weiteres, das zeigt, dass man unter UNIX in sich widersprüchliche Rechte verteilen kann. Ersteres ist unflexibel, letzteres ist der Tatsache geschuldet, dass die UNIX-ACLs nachträglich auf das bestehende System aufgepropft wurden. Bei NT ist beides nicht der Fall: Das ganze System ist von vorn herein darauf ausgelegt, dass ACLs zum Einsatz kommen, und zwar überall.

Emotionale Argumentationen (das ist Mist weil es für mich zu kompliziert ist) sind als sachliche Diskusionsgrundlage denkbar ungeeignet.
Auf dieses schwachsinnige Getrolle werde ich jetzt nicht weiter eingehen...

Zico
17.06.2007, 10:06
Ich konnte bereits leicht ein Beispiel nennen, das sich ohne ACLs nicht umsetzen lässt

Da muss ich dir Recht geben. In einer meiner Projektarbeiten is mir auch mal eine Aufgabe untergekommen, die sich *nicht* mit den normalen Rechten lösen ließ. Da es sich dabei aber um einen Firmen-Fileserver handelte, war eigentlich auch schon klar, dass dort ALC's zum Einsatz kommen müssen.

Dass die "normalen" Rechte und ALC getrennt gehandhabt werden mag jeder für sich als Vor-/Nachteil auslegen. Meine Meinung.

Wolfgang
17.06.2007, 10:17
Dass ich das System nicht verstanden hätte, ist reines Getrolle und nachweislich falsch. Ich konnte bereits leicht ein Beispiel nennen, das sich ohne ACLs nicht umsetzen lässt (auch wenn marcellus fälschlicherweise das Gegenteil behauptet)

Auf dieses schwachsinnige Getrolle werde ich jetzt nicht weiter eingehen...

Warum nur werde ich das Gefühl nicht los, dass du nichtmal selbst merkst, wie du dich mit deinen ausfallenden Beiträgen selbst demontierst?
Mit sachlicher Diskusion (um was eigentlich?)hat das Nichts zu tun.

Solche Worte wie (rumgetrolle, das ist Mist...) sind ungeeignet dafür - wie ich schon sagte.

Von Gruppenrechten und Gruppen hast du schon gehört?
Wenn ja, dann sollte dir die Lösung für deine 10 Verzeichnisse einfallen.

Aber um was geht es dir eigentlich?
Willst du einmal mehr das dir gewohnte Windows mit *nix vergleichen?
Das ist genauso sinnlos wie deine persönlich werdenden Ausfälle.

Du gehst nicht auf meine sachlichen Argumente ein, bezichtigst statt dessen meinen Beitrag als Getrolle.

Deutlicher kannst du nicht zeigen, dass es dir gar nicht um eine sachliche Diskusion geht.

Insofern ist diesem Thread eigentlich jeglicher Sinn abhanden gekommen.

Wolfgang

Hello World
17.06.2007, 10:34
Von Gruppenrechten und Gruppen hast du schon gehört?
Wenn ja, dann sollte dir die Lösung für deine 10 Verzeichnisse einfallen.
Wenn Du mir eine Lösung nennen kannst, dann tu es - ich kann es nicht. Marcellus hat den Versuch unternommen und ist gescheitert.

Mit sachlicher Diskusion (um was eigentlich?)hat das Nichts zu tun.
Nein, eine sachliche Diskussion wurde von den UNIX-Trollen hier im Keim erstickt. Es ist eben nach wie vor so, dass UNIX-Trolle nicht in der Lage sind, auch einmal Schwächen ihres ach so tollen Systems einzugestehen.

Willst du einmal mehr das dir gewohnte Windows mit *nix vergleichen?
Nochmal: es geht hier nicht um irgendwelche Gewohnheiten. Ich ziehe Windows-ACLs nicht vor, weil ich sie mehr gewöhnt wäre (das geht schon allein deswegen nicht, weil es schlicht nicht so ist), sondern weil sie objektiv sauberer designt sind.

Du gehst nicht auf meine sachlichen Argumente ein,
Weil Du keine hast. Du unterstellst mir eine "Windows-Vorbelastung", die nicht vorhanden ist. Du unterstellst mir Unverständnis, welches ebenfalls nicht vorhanden ist. Das kann man nur unter dem Begriff Getrolle zusammenfassen.

Offensichtlich ist Zico der einzige hier, der an einer einigermaßen vernünftigen Diskussion interessiert ist. Da das leider für eine eine solche nicht ausreicht, kann man hier im Prinzip wirklich dicht machen.

Wolfgang
17.06.2007, 11:05
Abgesehen davon, dass mir dein unbegründete Arroganz missfällt:

Erstelle eine Gruppe für die Leserechte, eine für die vollen Rechte, eine für Schreibrechte und setze die Dateirechte entsprechend.
Ordne nun die gewünschten User den gewünschten Gruppen zu.

Eine sinnvolle Diskusion ist mit dir auf diese Art nicht zu führen.

Falls du es nicht merken solltest: Alle die nicht deiner Meinung sind als Trolle abtzutun, ist ein unerwünschter und unsachlicher Umgangston, der dich selbst disqualifiziert.
Das solltest du schleunigst abstellen.

Wolfgang

devilz
17.06.2007, 11:06
....
Offensichtlich ist Zico der einzige hier, der an einer einigermaßen vernünftigen Diskussion interessiert ist. Da das leider für eine eine solche nicht ausreicht, kann man hier im Prinzip wirklich dicht machen.

Dem kann ich nicht zustimmen - das ganze scheint einfach aus dem Ruder zu laufen ...

Ich schiebs erstmal in Sandkasten und wenns weiter so geht wird es geschlossen!

Goodspeed
17.06.2007, 11:49
@Hello World: Ich würde Dir nahe legen, die Doku zu ACL's nochmal gründlich zu lesen.
(oder Dir zumindest mal Abb.2 hier (http://www.linux-user.de/ausgabe/2003/12/066-acl/) anzuschauen)
Dann solltest Du eigentlich recht schnell merken, warum Du auf dem Holzweg bist bzw. die ACL's nicht parallel zu den normalen Rechten existieren, sondern als Erweiterung ...
Oder anders ... es ist vollkommen klar, warum Du bei Deinem Beispiel keine Berechtigung hast ... eben weil es nicht parallel läuft.

tr0nix
17.06.2007, 12:12
Offensichtlich ist Zico der einzige hier, der an einer einigermaßen vernünftigen Diskussion interessiert ist. Da das leider für eine eine solche nicht ausreicht, kann man hier im Prinzip wirklich dicht machen.

Zico war auch der einzige, der dir ansatzweise Recht gab :).

Irgendwie wird hier in diverse Richtungen diskutiert was dem Thread ziemlich schadet. Ich fasse das mal kurz zusammen:
1. Hello World meint, ACLs und das Ownership/Permissions System sind zweierlei und es braucht nur ACLs.
2. Durch ein Beispiel von Hello World, was "scheinbar" nicht "sauber" ohne ACLs zu lösen ist, kommt die Diskussion auf, ob es ACL wirklich auf Unix braucht.
3. War Hello World der Meinung, ACLs müssten in den Distributionen per default aktiviert sein.

Ich denke die Diskussion um ACLs ja oder nein brauchen wir nicht. Wir haben ACLs wenn wirs brauchen. Da standard Distributionen diese nicht brauchen, sind diese wohl auch nicht aktiviert... sonst müssten wir ja auch NTFS Support per se drin haben etc.