Hi,

für die nächste Party will ich auf meinem Rechner mit aktuellem Linux Mint ein Profil einrichten, mit dem meine Gäste surfen etc. können, aber ohne an meine Dateien ran zu kommen. Ich habe jetzt ein Profil eingerichtet aber von da aus kann ich ja auf meinen eigenen Benutzerordner zugreifen und auch meine Datengrab-HDD via Gnome-Disks/Laufwerke mounten. Wie kann ich dem Profil Derartiges verbieten? Es soll eigentlich nur zum surfen dienen.

MfG
Rooter

Dann sind deine Posix Rechte auf deinem Home-Ordner aber irgendwie kaputt. Normalerweise gibt es für deinen Nutzer immer einen Nutzer und eine Gruppe mit dem Namen (also z.B. rooter:rooter) und deinem Nutzer inkl. deiner Gruppe gehören alle Dateien in deinem Home-Ordner. Genauso sollte die "other" Gruppe keine Rechte auf deine Daten haben.

In Unix-Befehlen:

sudo chown -R rooter:rooter /home/rooter
sudo chmod 750 /home/rooter

Ausführung auf eigene Gefahr :D Genauso kannst du das mit deiner Datengrab-Platte machen, sofern da ein Linux-Dateisystem drauf ist.

sudo chmod -R 750 /home/rooter


Damit wäre ich vorsichtig. Damit macht man auch alle Dateien im $HOME +x. Also ausführbar.

chmod 750 $HOME reicht. Ohne -R. Dann kann kein anderer als der Eigentümer und die eigene Gruppe ins Verzeichnis reinsteigen.

Stimmt, an der Stelle muss das -R weg. Hab es mal korrigert. Danke :)

Raspberry Pi mit Monitor und Tastatur/Maus hinstellen? Dann muss man nichts frickeln oder so...

An meinen eigenen Benutzerrechten rumfummeln möchte ich nur ungern. Ich hatte gehofft, man könnte den Gast-Account noch weiter einschränken?

Dann sind deine Posix Rechte auf deinem Home-Ordner aber irgendwie kaputt.Hmm, stimmt das so nicht?
$ id
uid=1000(rooter) gid=1000(rooter) Gruppen=1000(rooter),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),115(lpadmin), 135(sambashare)

$ cat /etc/group
.
.
.
rooter:x:1000:
gaeste:x:1001:

/home$ ls -l
insgesamt 8
drwxr-xr-x 17 gaeste gaeste 4096 Jul 27 21:51 gaeste
drwxr-xr-x 45 rooter rooter 4096 Jul 27 22:24 rooter

Datengrab-Platte machen, sofern da ein Linux-Dateisystem drauf ist.Nee, ist noch NTFS (Die ist eh fast voll und muss Ende des Jahres ersetzt werden, der Nachfolger wird dann ext3).

Raspberry Pi mit Monitor und Tastatur/Maus hinstellen? Dann muss man nichts frickeln oder so...Hab' ich nicht. Könnte es aber auch über den alten Laptop hier machen, da ist nix Wichtiges drauf (OS ebenfalls Mint).

MfG
Rooter

[QUOTE=Rooter;12747087]An meinen eigenen Benutzerrechten rumfummeln möchte ich nur ungern. Ich hatte gehofft, man könnte den Gast-Account noch weiter einschränken?

Hmm, stimmt das so nicht?

rooter:x:1000:
gaeste:x:1001:
[/CODE]
/home$ ls -l
insgesamt 8
drwxr-xr-x 17 gaeste gaeste 4096 Jul 27 21:51 gaeste
drwxr-xr-x 45 rooter rooter 4096 Jul 27 22:24 rooter

Mit diesen rechten darf absolut jeder user in dein home verzeichnis und darin lesen.

chmod 750 /home/rooter

und nur mehr du und mitglieder deiner gruppe dürfen dann rein

Ich hatte gehofft, man könnte den Gast-Account noch weiter einschränken?

Das Problem ist ja nicht, dass der Gast Account zu viel kann, sondern dass dein Account zu offen ist. Am dritten "r" in der rwx Liste sieht du, das jeder deinen Home Ordner lesen darf.

Bzgl. dem mounten deines NTFS Datenträger musst du mal schauen was ntfs-3g da so bietet. Ich glaube man konnte dort ein User Mapping vornehmen.

Okay, probiere ich später aus - nach einem Backup. :)
Das Datengrab ist in mein Homeverzeichnis gemountet. Aber das kann mit Disks jeder Gast ändern, oder? Mounten braucht ja keine Adminrechte. (Nicht, dass ich glaube, dass sich einer meiner Gäste gut genug mit Linux auskennt um das hin zu kriegen.)

MfG
Rooter

ansonsten den porn ordner auf ne usb pladde schieben und halt abziehen. ;)

Oder einfach ein Linux-Live-Medium für die Gäste booten? Fürs Surfen reicht's ja. Und sofern dein Haupt-OS auf verschlüsselten Datenträgern liegt, ist da auch kein Herankommen.

Dann sind deine Posix Rechte auf deinem Home-Ordner aber irgendwie kaputt. Normalerweise gibt es für deinen Nutzer immer einen Nutzer und eine Gruppe mit dem Namen (also z.B. rooter:rooter) und deinem Nutzer inkl. deiner Gruppe gehören alle Dateien in deinem Home-Ordner. Genauso sollte die "other" Gruppe keine Rechte auf deine Daten haben.

Bei Debian unstable/bullseye steht immer noch in der adduser.conf:

# If DIR_MODE is set, directories will be created with the specified
# mode. Otherwise the default mode 0755 will be used.
DIR_MODE=0755

also ist demnach jedes default Debian System kaputt?

Laut debsums hab ich die Datei nie angerührt.

also ist demnach jedes default Debian System kaputt?

Ist denn nach Anlage eines Nutzers der Home-Ordner "/home/nutzer" ebenfalls mit den Rechten 755 versehen? Wenn ja, dann halte ich das durchaus für kaputt. Im Standard sollte niemand außer der Nutzer selbst (und root natürlich) den Inhalt des Ordners sehen dürfen.

Hmm. Gibt seit 2015 dazu ein BTS Eintrag. Aber keine Reaktion von den adduser Maintainern:

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=782001

Hab mich jetzt mit der Standard-Sicherheit von Debian nicht großartig befasst. Ich meine mich zu erinnern, dass sie auch in der Standardinstallation von Haus aus sudo so einrichten, dass du mit dem Nutzerpassword root werden kannst. Von daher wären Änderungen diesbezüglich eh total egal.

Ist vielleicht auch für das Thema hier interessant, klappt beim neuen Nutzer ein einfaches "sudo -i"?

Nein:
Leider darf der Benutzer gaeste »/bin/bash« als root auf Ryzen nicht ausführen.


MfG
Rooter

Das Datengrab ist in mein Homeverzeichnis gemountet. Aber das kann mit Disks jeder Gast ändern, oder? Mounten braucht ja keine Adminrechte.

Standardmäßig braucht mount eigentlich root-Rechte. Die meisten Desktop-Umgebungen haben nur meistens Mechanismen zum Mounten und machen das dadurch etwas einfacher.

Bei Debian unstable/bullseye steht immer noch in der adduser.conf:



also ist demnach jedes default Debian System kaputt?

Laut debsums hab ich die Datei nie angerührt.

Ja, das ist leider seit Ewigkeiten Standard bei Debian-basierten Distributionen. Bei Fedora / RHEL (und diversen anderen) ist das nicht so.

Viel mehr als 750 oder 700 auf die Home-Verzeichnisse zu setzen machen die anderen Distributionen aber auch nicht.

Konnte das Problem jetzt auf banal simple Art lösen:
Einfach in "Anmeldefenster" den Gastzugang aktiviert. :freak:

Der Gastzugang erstellt beim Aufruf ein temporäres Profil in /tmp, das quasi nur den FF enthält und das auch nirgends reinschauen und auch sonst nix darf. Wird beim Abmelden wieder gelöscht.

MfG
Rooter