# In welcher Datei kann ich die Gruppenrechte editieren ?



## rollerueckwaerts (20. Oktober 2010)

Hallo,
ich bin kein allzu erfahrener Linux-User und such mir hier nen Wolf 
Ich möchte einer Gruppe das Recht geben neue User zu erstellen, aber der Gruppe gleichzeitig verbieten User zu bearbeiten oder zu löschen.
Hat jemand nen Tipp wo die zu bearbeitende Datei liegt ?


Lieben Dank schonmal jetzt ******


----------



## Bratkartoffel (20. Oktober 2010)

Hallo,

ich denke mit Boardmitteln kannst du das nicht realisieren. Es gibt unter *nix 3 verschiedene Rechte, welche du auf Dateien / Programme / Verzeichnisse vergeben kannst:
Lesen, Schreiben, Ausführen.
Diese Rechte kannst du auf einen Benutzer, eine Gruppe oder alle anderen festlegen.
"Bearbeiten / Löschen" ist hier das selbe wie "Schreiben".

Eine Möglichkeit wäre ein selbst geschriebenes Programm / Script, welches du mit einem SUID ausstattest und welches nur die angegebene Operation erlaubt.

Gruß
BK


----------



## deepthroat (20. Oktober 2010)

Hi.





Bratkartoffel hat gesagt.:


> Eine Möglichkeit wäre ein selbst geschriebenes Programm / Script, welches du mit einem SUID ausstattest und welches nur die angegebene Operation erlaubt.


So ein Programm gibt es schon. Es nennt sich: sudo 

Konfiguriere /etc/sodoers so, das die gewünschte Gruppe das adduser Kommando aufrufen darf (oder wie immer das Programm in deiner Distribution heißt).

Gruß


----------



## Bratkartoffel (20. Oktober 2010)

Hallo,

es gibt (bei meinem Debian) 2 Programme welche in Frage kommen könnten:
/usr/sbin/useradd - create a new user or update default new user information
/usr/sbin/adduser - add a user [...] to the system

Vom ersten würde ich abraten, da man mit dem "-k" das Skeleton-Verzeichnis ändern kann. Könnte man hier auch z.B.: /root/ angeben und somit eine Kopie aller Dateien von root bekommen?

Das zweite würde ich nicht verwenden, denn hiermit lassen sich die Gruppen bereits existierender Benutzer verändern. (In neue Gruppe einfügen mit "adduser user group").

Meiner Meinung nach sind somit beide Möglichkeiten aus dem Rennen.

Gruß
BK


----------



## deepthroat (20. Oktober 2010)

Bratkartoffel hat gesagt.:


> es gibt (bei meinem Debian) 2 Programme welche in Frage kommen könnten:
> /usr/sbin/useradd - create a new user or update default new user information
> /usr/sbin/adduser - add a user [...] to the system
> 
> ...


Nein, man kann bei sudo sehr genau definieren wie Programme aufgerufen werden dürfen, also auch welche Optionen übergeben werden dürfen.

Man muß nur sicherstellen, dass adduser nur mit einem Argument aufgerufen wird.  "man sudoers"

Wenn einem das zu kompliziert ist, erstellt man ein Wrapper-Skript und konfiguriert das für sudo.

Gruß


----------

