Δικαιώματα στους home φακέλους των χρηστών για LTSP

[Wizard]

Ανοίγω αυτό το θέμα για να ρωτήσω ποια νομίζετε ότι είναι η καλύτερη διαχείριση των home φακέλων των χρηστών για LTSP.

Διαβάζοντας και το https://help.ubuntu.com/community/UbuntuLTSP/LockdownHomeDirs, αποφάσισα
1) πρώτα να έχω αλλάξει στο /etc/profile το umask από 022 σε 007
2) για κάθε νέο χρήστη να ορίζω ως primary group το τμήμα του, π.χ. a1
3) για το home φάκελο κάθε νέου χρήστη

• να αλλάζω το group owner σε admin
• να εκτελώ "chmod g+s <home φάκελος>" για να έχουν όλα τα μελλοντικά νέα αρχεία και φάκελοι του χρήστη ως group owner το admin

Πώς σας φαίνεται;

[alkisg]

Για το (1) σύμφωνοι, το umask είναι η κατάλληλη μέθοδος αν κάποιος δεν θέλει οι χρήστες να βλέπουν τα αρχεία των άλλων από προεπιλογής. Βέβαια ο κάθε χρήστης μπορεί αν θέλει να αλλάξει το umask του ή τα δικαιώματα επιλεγμένων αρχείων.

Το (2) όμως νομίζω ότι έρχεται σε αντίθεση με το (3). Δηλαδή αν group owner είναι ο admin, ποιος ο λόγος να έχουν primary group το a1; Δεν θα χρησιμοποιείται κάπου, οπότε καλύτερα να είναι secondary group.

Το (2) θα είχε νόημα αν δεν γινόταν το (3) και έτσι group owner ήταν π.χ. το a1, οπότε οι μαθητές θα μπορούσαν να δουν τα αρχεία της τάξης τους αλλά όχι των άλλων τάξεων. Επίσης με αυτόν τον τρόπο ο teacher θα μπορούσε να ανήκει στο a1 ως secondary group (και στα άλλα τμήματα που διδάσκει) ώστε να έχει access στα τμήματά του και μόνο. Όμως αυτό θα είχε και ένα κόστος συντήρησης, αφού κάθε χρόνο οι μαθητές αλλάζουν τμήμα.

Για το (3), δε νομίζω ότι έχει πολύ νόημα να είναι group owner ο admin (ίσως μάλιστα να δημιουργεί και προβλήματα ασφαλείας). Ο admin έχει δικαιώματα sudo, άρα κάποιος καθηγητής που είναι μέλος του admin group μπορεί έτσι κι αλλιώς να δει όποια αρχεία θέλει. Θα είναι μάλλον καλύτερα να χρησιμοποιηθεί άλλο group αντί του admin, π.χ. "teachers".


Αντί για όλη αυτή τη φασαρία με τα groups, μήπως θα είναι βολικότερη μια επιλογή "άνοιγμα ναυτίλου με το λογαριασμό του χρήστη τάδε" στα sch-scripts; Τι ενέργειες θα θέλει να κάνει ο καθηγητής στα αρχεία του μαθητή;

[Wizard]

Σκεφτόμουν ότι αν αν κάθε χρήστης είχε primary group το τμήμα του (ή απλώς ανήκε σε group με το τμήμα του), θα μπορούσε να γίνει μια μαζική ενέργεια σε φακέλους χρηστών, π.χ. συγκεκριμένου path, με βάση το primary group, δηλαδή απλώς για να ξεχωρίζουν σε scripts τα τμήματα. Προτείνεις κάθε χρήστης να έχει primary group ίδιο με το user name του;

[alkisg]

Το LTSP είχε πρόβλημα μέχρι και την 9.10 όταν οι χρήστες ήταν στο ίδιο primary group. Από τη 10.04 διορθώθηκε, αλλά μου έχει μείνει η συνήθεια.
Προσωπικά και σε Γυμνάσιο και σε Λύκειο που δούλεψα με LTSP τα παιδιά ήταν ήσυχα και δεν χρειάστηκε να κάνω τίποτα με τα permissions, οπότε και δεν έχω ξεκάθαρη άποψη. Ένα script "αποστολή αρχείων στους τάδε μαθητές" χρειάστηκα όλο κι όλο.

Αυτός που έγραψε τη σελίδα του wiki που έδωσες έχει εταιρία και κάνει LTSP support και σε κάτι σχολεία. Με το που γνώρισε τα ACLs το "γύρισε" προς τα εκεί, και απ' ότι λένε τους βολεύουν πολύ καλύτερα. Να μια νεότερη σελίδα που έγραψε, η οποία έχει και link για youtube video: https://help.ubuntu.com/community/UbuntuLTSP/ACLSupport


Νομίζω ότι για μια καλοσχεδιασμένη λύση, το βασικότερο θα ήταν να καταγραφούν οι ανάγκες, τι θέλουμε ακριβώς να γίνεται... π.χ. "θέλω ο Φυσικός να έχει write access στους μαθητές του αλλά να μην είναι admin".

[gidarakos]

Άλκη παρατήρησα ότι σε καινούργια εγκατάσταση ltsp+thin οι χρήστες που δημιουργούμε, όταν ανοίγουν φάκελο άλλου χρήστη, βλέπουν μόνο το φάκελο "Παραδείγματα".
Όταν όμως ανοίγουν το φάκελο του teacher βλέπουν τα πάντα!
Ίσως λογικό, αφού ο teacher είχε δημιουργηθεί πριν τα sch-scripts. Αλλά δε θα μπορούσε με την εγκατάσταση των sch-scripts να τρέχει μία π.χ. chmod 700 ... για τους χρήστες που ήδη υπάρχουν;
Το λογικό δεν είναι από default οι χρήστες να μην βλέπουν τα αρχεία του teacher;

Υ.Γ. Ίσως τα βλέπω λάθος ή κάτι δεν έχω καταλάβει..

[alkisg]

Από προεπιλογής στο Ubuntu όλοι οι χρήστες βλέπουν τα αρχεία όλων των άλλων χρηστών, εκτός από κάποιους ιδιωτικούς φακέλους που περιέχουν κωδικούς (π.χ. ~/.ssh, ~/.config) κτλ.
Αν θες να τα κρύψεις, μια εντολή είναι όλη κι όλη: sudo chmod 700 /home/* για όλους, ή sudo chmod 700 /home/teacher μόνο για τον teacher.
Τα sch-scripts δεν αλλάζουν τα default δικαιώματα του Ubuntu γιατί ακόμα δεν έχουμε συμφωνήσει (οι καθηγητές που χρησιμοποιούμε Linux) στο ότι θέλουμε κάτι διαφορετικό, και ποιο ακριβώς είναι αυτό.

Όταν δημιουργείται ένας χρήστης και πριν κάνει login στο φάκελό του υπάρχει μόνο το "Παραδείγματα". Ίσως γι' αυτό δεν έβλεπες τα υπόλοιπα, επειδή δεν είχε κάνει ακόμα login ο χρήστης.

[gidarakos]

Τα sch-scripts δεν αλλάζουν τα default δικαιώματα του Ubuntu γιατί ακόμα δεν έχουμε συμφωνήσει (οι καθηγητές που χρησιμοποιούμε Linux) στο ότι θέλουμε κάτι διαφορετικό, και ποιο ακριβώς είναι αυτό.

Νομίζω ότι από default chmod 700 μόνο για τον teacher θα ήταν κάτι λογικό. Τέλος πάντων.

Όταν δημιουργείται ένας χρήστης και πριν κάνει login στο φάκελό του υπάρχει μόνο το "Παραδείγματα". Ίσως γι' αυτό δεν έβλεπες τα υπόλοιπα, επειδή δεν είχε κάνει ακόμα login ο χρήστης.

Έχεις δίκιο, δεν είχε κάνει login.

[alkisg]

Νομίζω ότι από default chmod 700 μόνο για τον teacher θα ήταν κάτι λογικό. Τέλος πάντων.

Όχι για όλους. Π.χ. κάποιοι καθηγητές υλοποιούμε κοινόχρηστους φακέλους μόνο για ανάγνωση, κάνοντας symlinks από το
"/home/student/Επιφάνεια εργασίας/Υλικό Πληροφορικής" προς το "/home/teacher/Δημόσια". Αυτό δεν θα δούλευε αν το "/home/teacher" είχε mode=700.
Επίσης με mode=700 δεν μπορεί το σύστημα να διαβάσει τις εικόνες ~/.face των χρηστών, ώστε να τις δείξει στην οθόνη σύνδεσης (gdm). Πιο λογικό μου ακούγεται να είναι απροσπέλαστα τα "/home/teacher/Έγγραφα" κτλ, παρά όλο το "/home/teacher".