Πρόβλημα με δικαιώματα φακέλων μαθητών

[bdaloukas]

Δοκιμάσαμε την εξής περίπτωση.
Σε έναν Ubuntu server 12.04 (με το ISO που είναι για σχολεία) φτιάξαμε δύο απλούς χρήστες student1 και student2.

Οι περιπτώσεις σύνδεσης είναι:
α) fat client
β) thin client
γ) τοπική σύνδεση στο server
δ) απομακρυσμένη πρόσβαση μέσω X2GO

Στις περιπτώσεις β,γ,δ ο student1 μπορούσε να δει τα αρχεία του student2, κάτι που δεν είναι επιθυμητό.

Μπορεί να λυθεί το πρόβλημα
α) αλλάζοντας το δικαιώματα όλων των home φακέλων σε 0700 με την εντολή chmod για τους υπάρχοντες χρήστες
β) πειράζοντας το αρχείο /etc/adduser.conf ώστε στο DIR_MODE αντί για 0755 να έχει 0700 για τους χρήστες που θα δημιουργηθούν.

Δεν θα ήταν καλύτερα όμως να γίνεται by default κατά τη δημιουργία των χρηστών;

[alkisg]

Το ότι συμβαίνει στο (α) είναι "τυχαίο", επειδή χρησιμοποιούμε sshfs ενώ αν χρησιμοποιούσαμε nfs όπως παλιά δεν θα συνέβαινε ούτε εκεί.
Το αν τα home dirs θα φαίνονται από άλλους ή όχι είναι μια μεγάλη απόφαση την οποία δεν έχουμε ακόμα αρκετά επιχειρήματα για να τη στηρίξουμε είτε θετικά είτε αρνητικά, και επομένως μένουμε στα defaults του Ubuntu.

Από τη μία όπως λες κρύβεις τελείως τον προσωπικό φάκελο.
Από την άλλη όμως πώς θα δουλεύανε οι κοινόχρηστοι φάκελοι αν δεν υπήρχε access στα home dirs; Γιατί το /home/username/Δημόσια να μην είναι προσβάσιμο; Γιατί οι καθηγητές να μην έχουν πρόσβαση να δουν τα Έγγραφα των μαθητών; Γιατί το /home/username/.face (η login εικόνα του χρήστη) να μην είναι προσβάσιμη; Θα παίζει καλά το accountsservice και ο lightdm αν δεν έχουν πρόσβαση στο /home/username/.dmrc; Κτλ, δεν είναι κάτι που μπορούμε να επιβάλλουμε σε όλες τις εγκαταστάσεις χωρίς εκτενέστατη τεχνική μελέτη, οπότε για την ώρα είναι στο χέρι του κάθε υπεύθυνου ΣΕΠΕΗΥ να εκτελέσει την εντολή chmod 700 /home/* αν το προτιμά έτσι.

[bdaloukas]

Το πρόβλημα δεν είναι οι καθηγητές να μην βλέπουν τα αρχεία των μαθητών αλλά ο κάθε μαθητής να μην μπορεί να δει τα αρχεία των συμμαθητών του (για ευνόητους λόγους).
Θα μπορούσε να βρεθεί κάποια λύση η οποία να μην δημιουργεί πρόβλημα σε κάτι άλλο;

[alkisg]

Το πρόβλημα δεν είναι οι καθηγητές να μην βλέπουν τα αρχεία των μαθητών αλλά ο κάθε μαθητής να μην μπορεί να δει τα αρχεία των συμμαθητών του (για ευνόητους λόγους).

Ναι, αλλά αν κάποιος κάνει chmod για να λύσει το δεύτερο πρόβλημα, θα του δημιουργηθεί το πρώτο, το οποίο για μερικούς είναι και πιο σοβαρό.

Θα μπορούσε να βρεθεί κάποια λύση η οποία να μην δημιουργεί πρόβλημα σε κάτι άλλο;

Σίγουρα, αλλά θα χρειαστεί μελέτη για να γίνει σωστά, δεν μπορώ να σκεφτώ κάτι απλό και εύκολο που να μην έχει μειονεκτήματα. Π.χ. για τους κοινόχρηστους χρειάστηκε καινούργιο file system (bindfs), γιατί τα ενσωματωμένα δικαιώματα αλλά και τα ACLs του Linux δεν επαρκούσαν για τις ανάγκες μας.
Ίσως κάτι που να προστατεύει μόνο τα έγγραφα, μουσική, επιφάνεια εργασίας κτλ, και όχι όλον τον προσωπικό φάκελο.

[bdaloukas]

Δοκίμασα να δώσω την εντολή
chmod 711 * ενώ ήμουν στο φάκελο /home

Δοκιμάζοντας τις 4 παραπάνω περιπτώσεις ο κάθε χρήστης έβλεπε μόνο το φάκελό του και ταυτόχρονα μπορούσε να γράψει και να διαβάσει στον κοινόχρηστο φάκελο της ομάδας του (/home/Shared/students).

Αν ακολουθήσω αυτή τη λύση πιστεύετε ότι θα δημιουργήσει κάποιο άλλο πρόβλημα;