Uwe Walter sagte: >> Wie verweigert man einer Gruppe den Zugriff auf etwas? > Indem ich die Leserechte entziehe. Die Programme, die nicht > gestartet werden sollen ordne ich samt Verzeichnissen Gruppe A zu, den > User Gruppe B. Gruppe B hat dann auf die Verzeichnisse von > Gruppe A keine Leserechte. Ist ein bissl umst�ndlich, das gebe ich zu.
Richtig! So kann man das z.B. f�r Verzeichnisse machen, in denen bestimmte Gruppen ihre Daten halten. Und jetzt setz das mal in den Kontext der urspr�nglichen Frage. Dort ging es darum, systemweit Usern oder Gruppen Rechte zu entziehen. Man kann z.B. Rechte nicht nicht f�r eine bestimmte Gruppe oder auch nur einen bestimmten User _entziehen_. Man kann ein Recht nur vergeben, oder es lassen. Man kann au�erdem ein Lese- oder Ausf�hrrecht nicht an mehr als eine Gruppe vergeben. Wie soll man das auf ganze Verzeichnishierarchien, /bin, /usr/bin, /usr/local/bin sowie die dazu geh�renden lib- und share-Verzeichnisse anwenden? Es ist ja nicht so, da� auf einem "normalen" System alles statisch kompiliert w�re und weder auf Libs noch auf sonstige Daten zugreift. Was ist mit /etc/passwd? Der User (unter dem Apache l�uft) mu� ja zumindest noch in Erfahrung bringen k�nnen, wie er selbst hei�t, andererseits darf er nicht sehen k�nnen, welche User dem System bekannt sind. Will man jemandem gezielt Rechte _wegnehmen_, kommen die beliebten ACLs ins Spiel. Aber f�r den genannten Anwendungsfall halte ich das f�r wenig praxisnah. Ciao, -martin -- Schmitt Systemberatung Giessener Str. 18 35415 Pohlheim Deutschland/Germany Tel. +49(64 03)9 69 08 78 Fax +49(64 03)9 69 08 79 http://www.scsy.de ---------------------------------------------------------------------------- PUG - Penguin User Group Wiesbaden - http://www.pug.org
