restringir as permissões da conta do aluno, dar acesso ao corpo docente

Navegue suas respostas
4

Eu configurei dois grupos de usuários, estudantes e professores no Ubuntu 12.04 e criei um número de contas de alunos e professores. O problema é que um aluno pode ver atualmente & leia todos os arquivos de um colega: - /

Gostaria de evitar que os alunos vejam / leiam os diretórios / arquivos uns dos outros, mas permita que alguém no grupo de professores tenha acesso livre aos grupos de alunos.

Eu não sei como fazer isso, alguém pode oferecer dicas sobre como implementar esta política? Eu sei como definir / mudar grupos, mas não como limitar a política ao que eles podem fazer / ver. (Eu tenho um Linux usuário por um tempo, mas administrar mais do que minha própria conta é novidade eu)

Além disso, eu teria que alterar o umask para todas as contas de alunos para garantir que essa política não seja contornada com novos arquivos / diretórios criados pelos alunos posteriormente?

Eu, como root, executaria chmod go-rx /home/* em cada home office do aluno para atingir esse objetivo, ou eu estou indo por esse caminho errado?

UPDATE : Só para esclarecer, meu objetivo é ter isso como configuração padrão, não espero impedir que alunos informados / curiosos alterem suas próprias permissões - e estou disposto para viver com isso.

    
por Levon 29.11.2013 / 17:56

3 respostas

2

Acho que tentaria fazer isso usando as ACLs também. O único outro método que posso conceber de fazer isso seria o seguinte.

  1. Crie dois grupos students & %código%

  2. Cada diretório inicial do usuário. seria assim: 

    drwxrws---. 253 student1 faculty 32768 Nov 29 16:39 student1

    Isso permitiria que qualquer pessoa no grupo faculty acessasse o diretório faculty , mas ninguém mais, exceto o proprietário, student1 .

  3. chown -R student1.faculdade / home / student1

  4. localizar / home / student1 -tipo d -exec chmodarg + rwx, g + s, o-rwx {} +

O problema com essa abordagem é que pode ser um pouco frágil se o proprietário tiver que mexer com a propriedade do grupo ou se estiver com student1 arquivos nesse diretório. Somente arquivos / diretórios recém-criados persistiriam as propriedades + bit setgid.

Esta configuração requer que todos os arquivos / diretórios preexistentes em / home precisem ser ajustados usando as etapas 3 e 4 acima.

ACLs

Como eu disse acima, acho que ainda faria isso usando ACLs. Eu consultaria este tutorial sobre ACLs, intitulado: Usando ACLs com o Fedora Core 2 (Linux Kernel 2.6.5) . O título faz com que pareça datado, mas os comandos ainda são relevantes.

    
por 29.11.2013 / 23:47
1

O que você deve observar ao configurar essas permissões granulares é configurar as Listas de controle de acesso , que fornecerão a sua capacidade de permitir o acesso ao User + Corpo Docente.

Existem muitas páginas de manual nos comandos setfacl e getfacl que permitirão para configurar corretamente.

    
por 29.11.2013 / 18:08
1

A primeira coisa é criar dois grupos students e faculty e certificar-se de que todos os alunos e membros do corpo docente estejam em seu grupo apropriado. Tornar isso um grupo secundário: deixe a configuração padrão no lugar onde cada novo usuário recebe seu próprio grupo dedicado.

Altere a umask padrão para que todos os arquivos sejam particulares por padrão. Altere a linha UMASK em /etc/login.defs para 027 (ou seja, o usuário pode tudo, grupo pode ler, outros não podem nada). Dessa forma, todos os arquivos serão privados por padrão.

Também ajudará a colocar os diretórios home dos alunos em um diretório dedicado; por exemplo, se Alice for um membro do corpo docente e Bob for um aluno, crie seus respectivos diretórios base em /home/faculty/alice e /home/students/bob .

Você pode fornecer o acesso discricionário do corpo docente aos diretórios dos alunos definindo uma lista de controle de acesso nos diretórios dos alunos. Para conceder ao grupo faculty acesso de leitura aos arquivos de todos os alunos e também conceder acesso a arquivos recém-criados por padrão, execute o comando 

sudo setfacl -R -d -m g:faculty:rX /home/students
sudo setfacl -R -m g:faculty:rX /home/students

Os alunos ainda podem tornar os arquivos privados alterando explicitamente seu modo (por exemplo, chmod go= somefile .

Você pode ir além e conceder ao corpo docente acesso de leitura obrigatório a todos os arquivos. Eu não recomendo fazer isso, porque os alunos devem ter permissão para ter arquivos privados. Se você realmente quiser definir as coisas dessa maneira, primeiro consulte um advogado (mesmo que os alunos não tenham permissão para uso privado dessas máquinas, isso pode dar-lhe o direito de expulsá-los se eles não estiverem em conformidade, mas não necessariamente ler seus e-mails privados). Isto é, é tecnicamente possível e não tão difícil: veja Usuário com acesso de leitura para / home

    
por 30.11.2013 / 01:29

Tags

É possível usar xsetroot e dwm para definir as barras superior e inferior em diferentes intervalos de tempo? executa um script no desligamento no Debian