تعیین مجوزها و سطوح دسترسی ( حل شد )

[norouzi90]

در کامپیوتر خانگی ام ، سه کاربر a و b  و c هستند. کاربر a خودم هستم و بصورت admin کار می کنم و کاربرهای b و c بصورت کاربر عادی فعالیت می کنند.

چهار پارتیشن هم داریم.می خواهم مجوزها را طوری تعیین کنم که:

پارتیشن ۱(فایل های سیستمی):
کلا نظر خواستی ندارم. آیا نیازی به تعیین مجوزی برای این پارتیشن وجود دارد؟ اگر هست ممنون می شوم نحوه تعیین آنرا بفرمایید.

پارتیشن۲(فایل های شخصی خودم):
کاربر a (خودم) اختیار کامل در این پارتیشن را داشته باشد و کاربران c و ‌b فقط توانایی دیدن و خواندن فایل ها  را داشته باشند مثلا بتوانند فایل های pdf   را بخوانند و فایل های صوتی و تصویری را بشنوند و ببینند ولی توانایی حذف و اضافه کردن و یا جابه جایی و تغییر هیچ فایلی را نداشته باشند.

پارتیشن ۳(فایل های کاربران b و c ):
کاربران a و b و c اختیار کامل در زمینه فایل ها را در این پارتیشن داشته باشند.

پارتیشن ۴( فایل های عمومی):
همانند توضیحات پارتیشن ۲ می باشد با این تفاوت که کابران b و c توانایی اضافه کردن فایل های جدید را داشته باشند ولی توانایی حذف و جابه جایی و تغییر هیچ فایلی را نداشته باشند.

ممنون می شوم نظراتتان را بدانم.

[مرتضی . م]

برای مورد دوم که کلا یوزرهای دیگه حق تغییر فایل های بقیه رو ندارن البته به غیر از یوزر روت
برای این که فایل های یه یوزر دیگه رو بتونید تغییر بدید باید رمز اون یوزر یا دسترسی روت داشته باشید پس برای مورد سوم هم مشکلی نیست
برای مورد چهارم هم لینک زیر مفید هستش
https://superuser.com/questions/695162/how-to-chown-directory-for-multiple-users
و این هم تو سوال هاتون نبود اما خیلی نزدیک هستش
https://serverfault.com/questions/326107/how-to-restrict-a-linux-user-to-read-only-specific-folder

[norouzi90]

با درود و سپاس به مرتضی . م

برای مورد دوم که کلا یوزرهای دیگه حق تغییر فایل های بقیه رو ندارن البته به غیر از یوزر روت

بله نگاه کردم ، درست فرمودید.برای کاربرهای دیگه  گزینه ها غیر فعال بودند. ولی گزینه  copy همچنان فعال می باشد.
آیا راهی وجود دارد که این گزینه هم برای کاربرهای دیگر غیرفعال شود؟ و تنها فایل ها را مشاهده کرده و تنها اجرا نمایند.

( می پرسید مگه من بیکارم که به این گیر داده ام؟ اگر کاربر کوچولویی داشته باشید که عاشق copy and paste باشد.
قضیه کمی روشن تر می شود.)

برای این که فایل های یه یوزر دیگه رو بتونید تغییر بدید باید رمز اون یوزر یا دسترسی روت داشته باشید پس برای مورد سوم هم مشکلی نیست

خوب می خواهم برای حل این مشکل مالکیت این پارتیشن را بدهم به یوزر b  و یوزرهای c  و a   را عضو گروه b نمایم.( این چیزی بود که الان به ذهنم رسید. نمی دانم تا چه حدی می تواند منطقی باشد.)

دو تا لینک مربوطه برایم سنگین بود زیاد متوجه نشدم(  یعنی اینکه هیچی نفهمیدم ازش!)

-در  زمانیکه از محیط گرافیکی (نه ترمینال) برای تغییر  مجوزها استفاده می کنم . آیا راهکاری وجود دارد وقتیکه مالکیت  پارتیشنی را به یک کاربر  می دهیم کلیه فایل های درون آن پارتیشن هم  مالکیتشان به آن کاربر اختصاص یابد. بدون آنکه مجبور باشیم  بصورت تک تک فایل ها را تغییر مالکیت بدهیم. من که چیزی در محیط گرافیکی پیدا نکردم.

[Issac]

منظورتون چیه که نشه کپی کرد و فقط بشه مشاهده کرد؟
اگه چیزی رو بتونید بخونید پس حتما میتونید اونو حفظ کنید و در جای دیگه بنویسید.اگه نمیخواید کپی بشه باید مجوز خوندن رو بردارید.

در مورد اینکه پاراتیشن ها رو چطوری تنظیم کنید هم باید دنبال فایل /etc/fstab باشید.

اونطوری که من الان امتحان کردم(البته پاراتیشن هام ntfsبودن) اگه با هر کاربری یه پاراتیشن رو مونت کنی(به صورت گرافیکی(من از ناتیلوس استفاده کردم)) کاربر های دیگه نمیتونن به اون پاراتیشن دسترسی داشته باشن .
مثلا اگه کاربر b زود تر از کاربر a پاراتیشن دومتون رو مونت کنه اختیار کامل پاراتیشن رو به دست میاره و کاربر a حتی نمیتونه فایل های درون اون پاراتیشن رو ببینه. احتمالا راه حل اینه که تمام مجوز هارو تو فایل /etc/fstab تنظیم کنید که موقع بوت شدن سیستم اعمال بشه تا همه کار بر ها به اون پاراتیشن دسترسی داشته باشد.

بازم شماید مشکل از پاراتیشن های ntfs باشه من نمیدونم شاید فردا امتحان کردن

[norouzi90]

عمو  Issac   ، فدات بشم چی می شد یکی دو دقیقه بیشتر وقت می گذاشتی و سوالات من رو با دقت بیشتری می خوندی؟!!

منظورتون چیه که نشه کپی کرد و فقط بشه مشاهده کرد؟
اگه چیزی رو بتونید بخونید پس حتما میتونید اونو حفظ کنید و در جای دیگه بنویسید.اگه نمیخواید کپی بشه باید مجوز خوندن رو بردارید.

حتما برایت پیش اومده به سایتی سر زدی و از مطالب اون سایت خوشت اومده و خواستی از مطالب نوشتاری اون سایت copy and paste  کنی ولی نتونستی چون طراح سایت با روشهایی از این امر جلوگیری کرده.
خوب فرض کنیم فیلم یا یک فایل صوتی که برایت مهم بوده باشد و گذاشتی تا کاربرهای روی سیستمت ببینند یا بشنوند ولی دلت نخواهد copy بردارند آنوقت چی؟ چکار باید کرد؟
بله در اصل کاربری که اجازه خواندن داشته باشد می تواند کپی کند ولی فکر کنم روش یا روشهایی وجود دارد که تنها بگذاریم کاربر فایل را بخواند یا اجرا کند ولی کپی نکند.

در مورد اینکه پاراتیشن ها رو چطوری تنظیم کنید هم باید دنبال فایل /etc/fstab باشید.

اونطوری که من الان امتحان کردم(البته پاراتیشن هام ntfsبودن) اگه با هر کاربری یه پاراتیشن رو مونت کنی(به صورت گرافیکی(من از ناتیلوس استفاده کردم)) کاربر های دیگه نمیتونن به اون پاراتیشن دسترسی داشته باشن .
مثلا اگه کاربر b زود تر از کاربر a پاراتیشن دومتون رو مونت کنه اختیار کامل پاراتیشن رو به دست میاره و کاربر a حتی نمیتونه فایل های درون اون پاراتیشن رو ببینه. احتمالا راه حل اینه که تمام مجوز هارو تو فایل /etc/fstab تنظیم کنید که موقع بوت شدن سیستم اعمال بشه تا همه کار بر ها به اون پاراتیشن دسترسی داشته باشد.

سوالات من بیشتر در حوزه تعیین مجوزها و سطوح دسترسی کاربران  است نه مربوط به فایل /etc/fstab  که مباحثش بیشتر در راستای  option های mount و auto و …. می باشد. فایل /etc/fstab  را باز کن ببین در داخلش اصلا حرفی از کاربر زده؟!!
 سیستمم را در حالت automount قرار داده ام تا کلیه پارتیشن ها برای کلیه کاربران به راحتی در دسترس  باشد ولی حفاظت از فایل ها و جلوگیری از بهم ریختگی فایل و پوشه ها چیزی است که مرا بفکر فرو برده!!!!!!!!!!!!

باز هم ازت به خاطر وقتی که برای پاسخگویی به سوال من گذاشتی ممنون و سپاسگذارم.

[مرتضی . م]

بله در اصل کاربری که اجازه خواندن داشته باشد می تواند کپی کند ولی فکر کنم روش یا روشهایی وجود دارد که تنها بگذاریم کاربر فایل را بخواند یا اجرا کند ولی کپی نکند.

من که راه سرراستی به ذهنم نمیرسه تنها چیزی که الان به ذهنم میرسه اینه که خودتون یه رمز کننده بنویسید و فایل هاتون رو رمز کنید بعد به اون اسکریپتی که رمز رو باز گشایی میکنه فقط قابلیت اجرا بدید و برای این که یه موقع خود اسکریپت رو نبرن دسترسی هاش رو محدود کنید

[دانیال بهزادی]

حتما برایت پیش اومده به سایتی سر زدی و از مطالب اون سایت خوشت اومده و خواستی از مطالب نوشتاری اون سایت copy and paste  کنی ولی نتونستی چون طراح سایت با روشهایی از این امر جلوگیری کرده.
خوب فرض کنیم فیلم یا یک فایل صوتی که برایت مهم بوده باشد و گذاشتی تا کاربرهای روی سیستمت ببینند یا بشنوند ولی دلت نخواهد copy بردارند آنوقت چی؟ چکار باید کرد؟
بله در اصل کاربری که اجازه خواندن داشته باشد می تواند کپی کند ولی فکر کنم روش یا روشهایی وجود دارد که تنها بگذاریم کاربر فایل را بخواند یا اجرا کند ولی کپی نکند.

نه. چنین چیزی امکان‌پذیر نیست. توی اون سایت‌ها هم جاوااسکریپت داره جلوش رو می‌گیره که فقط با یه دکمه می‌شه از کار انداختش.

در مورد پرسش اصلی هم:

برای افراز ۱ اون رو به عنوان ریشه در نظر می‌گیری و خود سیستم‌عامل همهٔ کارها رو انجام می‌ده.

برای افراز ۲ خونهٔ خودت رو اون‌جا می‌سازی و به other دسترسی فقط‌خواندنی می‌دی.

برای افراز ۳ خونهٔ کاربرهای دیگه رو اون‌جا می‌سازی و به other دسترسی خواندن و نوشتن می‌دی.

برای افراز ۴ هم نزدیک‌ترین چیز عملی بهش، استفاده از بیت جسبناک (sticky bit) است. به این صورت که همه می‌تونن بخوننش و فقط کسی که چیزی رو ایجاد کرده، می‌تونه حذفش کنه.

[Issac]

منظورتون چیه که نشه کپی کرد و فقط بشه مشاهده کرد؟
اگه چیزی رو بتونید بخونید پس حتما میتونید اونو حفظ کنید و در جای دیگه بنویسید.اگه نمیخواید کپی بشه باید مجوز خوندن رو بردارید.

حتما برایت پیش اومده به سایتی سر زدی و از مطالب اون سایت خوشت اومده و خواستی از مطالب نوشتاری اون سایت copy and paste  کنی ولی نتونستی چون طراح سایت با روشهایی از این امر جلوگیری کرده.
خوب فرض کنیم فیلم یا یک فایل صوتی که برایت مهم بوده باشد و گذاشتی تا کاربرهای روی سیستمت ببینند یا بشنوند ولی دلت نخواهد copy بردارند آنوقت چی؟ چکار باید کرد؟
بله در اصل کاربری که اجازه خواندن داشته باشد می تواند کپی کند ولی فکر کنم روش یا روشهایی وجود دارد که تنها بگذاریم کاربر فایل را بخواند یا اجرا کند ولی کپی نکند.

شما بگرد ..... اگه راه منطقی یا غیر منطقی برای این کار پیدا کردی به ما هم بگو 

[norouzi90]

شما بگرد ..... اگه راه منطقی یا غیر منطقی برای این کار پیدا کردی به ما هم بگو

فکر کنم راه این کار را برای فایل های صوتی و تصویری پیدا کردم .
بوسیله لینک های نرم یا soft link ها می توان از کپی فایل هایی که خواهان کپی آنها توسط
دیگر کاربران نیستیم، استفاده نماییم.(منحصرا فایل های صوتی و تصویری).
با این روش کاربران می توانند فایل های صوتی یا تصویری را بشنوند ویا ببینند ولی نمی توانند کپی نمایند.
مگر اینکه طرف بخواهد هکر بازی دربیاورد.آنوقت نوش جانش.
 

[Issac]

یعنی یه کاربر نمیتونه سافت لینک رو کپی کنه؟

بنظرتون کار زیر نیاز به هکر بازی داره

کد: [انتخاب]

cat MySoftLink > MyFile

البته یه جور میشه که کاربر فقط بتونه یه فایل رو ببینه و اجرا کنه و نتونه کپی کنی، اینه که فقط بتونه چند تا برنامه محدود رو اجرا کنه و نتونه بقیه برنامه ها رو اجرا کنه . یه جور تحریمش کنید.
مثلا فقط بتونه vlc رو اجرا کنه و دیگه هیچ برنامه ای رو نتونه اجرا کنه

[norouzi90]

دوست خوبم Issac  ، خیلی متشکرم که ایراد  راهکاری  را که ارایه دادم  را بیان فرمودید.


می خواهم راهکارم را به طرق زیر تکمیل و اصلاح نمایم.

۱-سایر  کاربرها  را بصورت standard تعریف می کنیم.

۲-یک گروه برای کاربران مجاز به استفاده از ترمینال ها ایجاد می کنیم. مثلا در سیستم من گروه a که خودم عضو آن هستم وجود دارد . بنابراین نیازی به ایجاد گروه جدیدی نبود.

۳- برنامه یا برنامه های ترمینالی را که از آنها استفاده می کنیم پیدا می کنیم. مثلا  در سیستم من GNOME Terminal است.

مالکیت آنرا بوسیله فرمان زیر  تغییر می دهیم.

کد: [انتخاب]

chown   root:a /usr/bin/gnome-terminal

حالا اجازه اجرا برای مالک و گروه مجاز را صادر می کنیم( در اینجا a ) و برای  دیگران هیچ اجازه ای صادر نمی شود.

کد: [انتخاب]

chmod  750 /usr/bin/gnome-terminal

۴-حالا بوسیله لینک های نرم یا soft link ها می توان  فایل هایی راکه خواهان کپی آنها توسط
دیگر کاربران نیستیم در پارتیشن آنها بریزیم.(منحصرا فایل های صوتی و ویدیویی)


خواهشمندم اگر باز هم اشکالی داشت بیان بفرمایید تا ببینم چه خاکی به روی سرم بریزم.

 

[Issac]

واقعا فکر کردید این کار فایده داره؟

خوب بنظرتون کار بر نمیتونه یه ترمینال دیگه مثلا کنسول نصب کنه.

یا اصلا یه ترمینال پرتابل پیدا کنه و اجرا کنه؟

من که فکر نمی‌کنم دور زدن این کاری که کردید برای یه کاربر متوسط اصلا سخت باشه.

ولی شاید روش بهتری باشه که هنوز پیدا نکردید. ایشالا که یه راه بهتر پیدا کنید

[مرتضی . م]

خودتون یه رمز کننده بنویسید و فایل هاتون رو رمز کنید بعد به اون اسکریپتی که رمز رو باز گشایی میکنه فقط قابلیت اجرا بدید و برای این که یه موقع خود اسکریپت رو نبرن دسترسی هاش رو محدود کنید

الان مشکل این چیه؟

[norouzi90]

واقعا فکر کردید این کار فایده داره؟

بله ، مگر اینکه شما یا سایر دوستان بتوانید  عملا خلافش را ثابت کنید.

خوب بنظرتون کار بر نمیتونه یه ترمینال دیگه مثلا کنسول نصب کنه.

نه ، نمی تواند. چون

۱-سایر  کاربرها  را بصورت standard تعریف می کنیم.

اگر دقت کرده باشید گفتم کاربر standard  نه کاربر Administrator  با تواناییهای sudo .
 

یا اصلا یه ترمینال پرتابل پیدا کنه و اجرا کنه؟

اینجا رفتی کوچه علی چپ

من که فکر نمی‌کنم دور زدن این کاری که کردید برای یه کاربر متوسط اصلا سخت باشه.

اگر می تونی یا سایر دوستان می توانند بسم الله . واقعا خوشحال می شوم اگر بتوانید. آنوقت  من هم اگر بتوانم اصلاحیه خواهم زد.

ولی شاید روش بهتری باشه که هنوز پیدا نکردید. ایشالا که یه راه بهتر پیدا کنید

کار این یکی را یکسره کن اگر نشد ، چشم می روم روی سایر گزینه ها.

در ضمن ممنونم که برام وقت می گذاری.

[Issac]

بعضی برنامه ها یه‌ نسخه پرتابل هم دارن.(پرتابل یعنی قابل جابجایی)
مثلا یه ترمینال به اسم hyper هست که نسخه appimage داره.یه کاربر میتونه اونو دانلود کنه و با یه کلیک اونو اجرا کنه بدونه اینکه نیاز به دسترسی sudo داشته‌ باشه. اینطوری به ترمینال دسترسی داره.
یه مثال دیگه : شما دسترسی خوندن رو بقیه کاربر ها دادید ولی نمیخواید اون ها فایل هاتون رو کپی کنن. شاید یه راه هم پیدا کردید که نتونن.
چقدر احتمال داره که وقتی که دارن یه فیلم یا اهنگ رو میبینن یا گوش میدن از صفحه کامپیوتر با گوشی شون فیلم نگیرن؟ خوب اینطوری فیلمی که نمیخواستید کپی بشه و اونا داشته باشنش رو اونا دارن.


یه جا یه ادم نادان نوشته بود اگه نمیخواید کامپیوترتون هک بشه . باید اونو خاموش کنید.
اینم مثل کار شماست اگه نمیخواید اونها فایل های شما رو بردارن خوب دسترسی خوندن بهشون ندین. یا ازشون محترمانه در خواست کنین که فایل شما رو بر ندارن.