Welchen Accounttyp nimmt man standarmässig für einen normalen Nutzer

Lance

Well-Known Member
Zitat FreeBSD Handbuch "Es gibt drei Haupttypen von Accounts: Systembenutzer, Benutzer-Accounts und der Superuser-Account."

Beim Systembenutzer nimmt man ja idR "operator", der superuser ist "root" und beim normalem user? Da steht kein Beispiel im Handbuch. Ich nahm immer "staff" habe aber immer wieder das Gefühl, dass dabei einiges nicht ganz rund läuft. Laut dieser Seite zb. https://www.digitalocean.com/community/tutorials/how-to-add-and-remove-users-on-freebsd
nimmt man nur wheel oder gar nichts (also auch kein "staff").

ich würd gern wissen ob man das korrekterweise so macht, also ob "staff" quasi weitere Einschränkungen hat als wenn ich das Feld "login group" leer lasse.
 
A weng unglücklich formuliert und du beantwortest es fast selber.
Der Normalo-Nutzer ist in seiner eigenen gleichnamigen Gruppe. Alles weitere gibt mehr Rechte.

Alles weitere an Rechten 'kommt dann darauf an'. ;)
 
Bei "Unix" hast du die Wahl - du kannst auch für deine Benutzer jeweils eigene Gruppen einrichten
Es hat sich z.B. seit Jahren eingebürgert, für jeden User eine eigene Gruppe gleichen Namens (wie der Username) anzulegen, und z.B. das Homeshare eines Users gruppenmäßig diesem Namen zuzuordnen.

Für Systemoperator-User kannst du z.B. als Gruppe (bei FreeBSD) "wheel" auswählen, die User dieser Gruppe dürfen dann z.B. su nach root machen.

Die Mitglieder der Gruppe "operator" dürfen z.B. einen "shutdown" Befehl ausführen, das darf dann die Gruppe "wheel" z.B. wieder nicht.

Für normale User könntest du z.B. eine Gruppe "user" oder "nfsuser" (für remote Shares) anlegen - auf was genau kommt es dir an?
 
auf was genau kommt es dir an?
Der "operator" kann das WLAN an und abwählen und es wird auch korrekt angezeigt ob er verbunden ist, mit welchem Netzwerk usw.
"staff" kann das nicht. Er ist zwar verbunden, kann das WLAN aber nicht ändern und ihm wird nichtmal eine Verbindung angezeigt.
Und der operator kann immer das System vernünftig herunterfahren und auch die "Software Station" ausführen.

Nun will ich nicht gleich operator sein und will mich jetzt nicht durch jedes einzelne Recht wurschteln um zu gewähren oder zu verbieten.

Auch wenn ich vom operator zum staff wechsle (mich also ab und wieder anmelde) so kann staff nicht mehr den Rechner herunterfahren. Dass kann er nur wenn ich mich nach dem Starten des Systems gleich als user der gruppe staff anmelde. Auf meinem Firmenlaptop hab ich zwei operator Accounts aber ich hätte es mit den Rechten gerne so wie der zweite user (nicht Systadmin, Standarduser) z.B. unter Ubuntu. (ja sorry wieder fällt der Name ;) ).

Ich dachte evtl dass das Konzept mit der Gruppe "staff" evtl veraltet ist und man es heute so nicht mehr macht bzw eben dass ich mich damit u.U. zusätzlich beschneide. Ich werds künftig mal ohne "staff" versuchen, denn dieser kommt ja teilweise fast schon einem Gastaccount gleich.
 
Ich erstelle meist zwei Benutzer nach Installation - einen welcher zusätzlich in wheel ist, und einen "normalen" Benutzer, also nicht in "wheel", aber auch in keiner anderen defaultmäßig vorhandenen Gruppe, wie z.B. staff oder operator; dieser Nutzer hat aber andere Gruppenzugehörigkeiten, Gruppen welche im internen Netz existieren, also selbst nach Installation im BSD angelegt werden müssen (nutze kein NIS/LDAP, zu kleine Umgebung).
Das reicht für meine Zwecke, mir fehlte bislang nichts.
 
Ja ich hatte bei Solaris/FreeBSD immer einen Nutzer der Wheel und Operator war (GhostBSD richtet einen solchen bei der Installation ein) und dann halt auch einen normalen User nur mit "staff".

Habe aber mittlerweile gelesen dass "staff" angeblich tatsächlich noch ein "Relikt" von früher sein soll und lediglich bei OSX vorkommt oder vorkam. Wahrscheinlich hat man damit aber weder mehr noch weniger Rechte als wie wenn ich einfach den Namen des Nutzers nehme. Aber ich probiers irgendwann aus.
 
Is schon ne ganze Weile her, aber ich denke ich hatte damals nie User speziell in "staff" auf HP-UX, Solaris, AIX und Irix (gut, Irix war eh wieder eigen), aber das hängt vermutlich auch von den Gegebenheiten bei jedem einzelnen ab.
 
Zitat FreeBSD Handbuch "Es gibt drei Haupttypen von Accounts: Systembenutzer, Benutzer-Accounts und der Superuser-Account."

Beim Systembenutzer nimmt man ja idR "operator", der superuser ist "root" und beim normalem user?
Du (selbst) hast in der Regel überhaupt keinen Grund einen Systembenutzer anzulegen. Deswegen mein Tipp: Lass die Finger davon. :) Systembenutzer werden "automatisch" angelegt, wenn du ein entsprechendes Package installierst. Das mit dem Superuser hast du richtig erkannt, das ist root.

Nun zum normalen Benutzer: Auch wenn du mit deinem DVD-Laufwerk in einen unglücklichen Fehler gelaufen bist (der inzwischen behoben wurde und wohl nur GhostBSD betrifft), solltest du berücksichtigen, dass FreeBSD ein System ist, das es schon eine gute Zeit gibt. Es wird von erfahrenen Leuten gepflegt, die regelmäßig wissen, was sie tun. Du kannst also davon ausgehen, dass die Standardeinstellungen für dich regelmäßig passen. Das gilt auch für die Gruppen, denen ein neu angelegter Benutzer per default zugewiesen ist. Lass mich ein wenig ketzerisch fragen: Du hast keine Ahnung, was die Gruppe staff macht. Warum denkst du, dass es Sinn macht, jeden "Normalbenutzer" dieser Gruppe zuzuordnen? Wenn es notwendig wäre, wäre das sicher schon berücksichtigt worden.

Das System soll nun einigermaßen sicher daherkommen. Aus diesem Grund, wird eben ein neu angelegter Benutzer nicht automatisch der Gruppe wheel, operator usw. hinzugefügt. FreeBSD ist nicht nur ein Multitasking-Betriebssystem, es ist ein Multiuser-Betriebssystem. Macht es also Sinn, dass jeder Normalbenutzer den Rechner ausschalten kann? Nein. Macht es Sinn, dass jeder Normalbenutzer mit "su" zu einem anderen Benutzer werden kann? Nein. Ich halte es für sinnvoll, dass du, wenn du möchtest, dass ein Benutzer erweiterte Rechte hat, in diesem Fall stets aktiv werden musst, weil du es bewusst möchtest. Im Zweifel kannst du auch durchaus ohne Zusatzrechte arbeiten. Willst du ins System eingreifen, loggst du dich als root ein. Allerdings ist das - insbesondere remote - keine gute Idee, es soll dir lediglich verdeutlichen, was ich meine. :)

Da steht kein Beispiel im Handbuch. Ich nahm immer "staff" habe aber immer wieder das Gefühl, dass dabei einiges nicht ganz rund läuft. Laut dieser Seite zb. https://www.digitalocean.com/community/tutorials/how-to-add-and-remove-users-on-freebsd
nimmt man nur wheel oder gar nichts (also auch kein "staff").
Auch wenn ich glaube, dass es auf deinem System - wie du recherchiert hast - keine Auswirkung hat, wenn du in der Gruppe staff bist, frage ich mich noch immer, wie du auf die Idee kommst, ohne Wissen, was diese Gruppe macht, den Benutzer der Gruppe zuzuordnen, obwohl im Handbuch (... mit gutem Grund? ;) ) kein Beispiel steht.

ich würd gern wissen ob man das korrekterweise so macht, also ob "staff" quasi weitere Einschränkungen hat als wenn ich das Feld "login group" leer lasse.
Würde man es korrekterweise so machen, wäre der Benutzer dieser Gruppe per default zugewiesen. ich denke, dass du sehr gut fährst, wenn du das Feld leer lässt. Wenn du feststellst, dass du bei gewollten eingriffen ins System, dich immer als root einloggen musst und du das nicht möchtest, dann gib dem entsprechenden Benutzer eben das Zusatzrecht, es zu können, indem du ihn der Gruppe wheel zuordnest (zu lesen in der manpage von su). Weißt du das bereits bei der Installation des Systems, weil du erfahren genug bist und du eben dieses Wissen hast: Trage wheel in die Zeile "login group" ein. Aber eben nicht bei jedem Benutzer sondern nur bei den Benutzern, die dieses Recht bekommen sollen.

HTH

Nachtrag: Leider fehlt der Passus noch im deutschen Handbuch, deswegen noch ein Auszug aus dem englischen Handbuch in Bezug auf die Gruppe operator:
https://www.freebsd.org/doc/handbook/users-synopsis.html schrieb:
Care must be taken when using the operator group, as unintended superuser-like access privileges may be granted, including but not limited to shutdown, reboot, and access to all items in /dev in the group.
 
Ich denke mal, daß es davon abhängt, wofür der Rechner ist . Firmenserver oder PC auf dem heimischen Schreibtisch. Auf dem heimischen Schreibtisch habe ich einen Nutzer mit wheel Zugehörigkeit , einen Normalo Nutzer für mich ohne wheel, dessen Gruppe ich Zugriff auf die Schnitzstellen einräume und einen restriktierten Nutzer gast in gruppe gast. Die restlichen Standard Gruppen ignoriere ich. Runterfahren tut der Power Button.
 
Zurück
Oben