Ubuntu Suomen keskustelualueet
Ubuntun käyttö => Ubuntu tietokoneissa => Aiheen aloitti: Seppo Jyrkinen - 19.09.25 - klo:11.35
-
LibreOfficen tekstinkäsittelyssä tein mallipohjan, jossa Luku ja Kirjoitusoikeudet on annettu kaikille kolmelle tasolle (Omistaja, Ryhmä, Muut). Mutta kun teen kyseisen pohjan avulla tiedoston ja talletan, niin ”Muut” saa oikeudet ainoastaan lukemiseen.
Kuinka muokkausoikeudet saisi automaattisesti tiedostoihin myös ulkopuolisille? Aikaisemmin tämä toimi juuri näin.
-
Tuo on yksi asia, jotta Un*xissa on tosi vaikea saada toimimaan oikein. Pitää asettaa sekä kansion että tiedoston käyttöoikeudet, eikä sekään riitä, koska asiaan vaikuttaa myös prosessin umask — ja sen asettaminen onkin työn ja tuskan takana. Nykyiset graafiset ympäristöt eivät lue ~/.xinitrc-tiedostoa tai vastaavia. /etc/login.defs on sekin tältä osin vanhennettu eikä ainakaan Debian 13:ssa enää toimi.
”Oikein” vastaus lienee PAM, mutta miten se sen avulla oikeasti tehdään, minä en ainakaan tiedä.
-
Pitänee sitten käyttää vanhaa kikkaa ja kopioida valmiit asetukset omaavia tiedostoja pohjiksi.
-
Kansioon pitää asettaa SGID-bitti (https://en.wikipedia.org/wiki/Setuid#SGID) ja kaikkien käyttäjien tulee kuulua kansion omistajaryhmään. Yhteinen kansio luodaan tähän tapaan:
mkdir yhteinenkansiochown omatunnus:ryhmatunnus yhteinenkansiochmod 2775 yhteinenkansio
Lisäksi järjestelmän umask-arvoksi pitäisi asettaa 002, jotta oletuksena uudet tiedostot luodaan ryhmän kirjoitusoikeudella. Nähtävästi umaskin asettamisessa on ollut pitkäaikaisia PAM-järjestelmään sekä Systemd:hen liittyviä bugeja, jotka käytännössä pakottavat umaskiksi 022:n, vaikka käyttäjä yrittäisi jotain muuta. Lisäksi graafisilla työpöytäympäristöillä voi olla vaikutusta asiaan. Ongelmia on kuitenkin viime vuosina myös korjattu: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=646692
Nykyisin Debianissa ja Ubuntussa pitäisi olla /etc/login.defs-tiedostossa nämä olennaiset asetukset:
UMASK 022
# If USERGROUPS_ENAB is set to "yes", that will modify this UMASK default value
USERGROUPS_ENAB yes
Tässä USERGROUPS_ENAB yes muuttaa 022-umaskin tavallisilla käyttäjätunnuksilla 002:ksi.
Komentorivillä käytössä olevan asetusarvon voi tarkistaa komennolla umask:
umask0002
-
Ongelma tuntuu poistuneen. Poistin nimittäin apukäyttäjän työkoneeltani. Periaatteessa pääkäyttäjänä pitäisi toimia vain harvoin, mutta työkoneeni on irti verkosta. Jonkun kerran vuodessa päivitän Päätteen kanssa atp:t.
Tätä pääkäyttäjä-apukäyttäjä-oikeudet asiaa kannattaisi kyllä pääkallonpaikalla kehittää, enemmän kuin Ubuntun ulkonäköä. Monimutkaisuus sulkee pois ison osan Linuxin käyttäjistä ja se puolestaan heikentää tietoturvaa.
-
Tätä pääkäyttäjä-apukäyttäjä-oikeudet asiaa kannattaisi kyllä pääkallonpaikalla kehittää, enemmän kuin Ubuntun ulkonäköä. Monimutkaisuus sulkee pois ison osan Linuxin käyttäjistä ja se puolestaan heikentää tietoturvaa.
Ei se kyllä ole kovin monimutkainen. Tiedostotasolla on joskus hieman säädettävää, mutta muuten toimii oikein mainiosti. Pääkäyttö peruskäyttäjänä ja sudoa käyttää vain silloin kuin sitä oikeasti tarvitsee. Ryhmiä tai muita käyttäjiähän ei 1h-systeemi oikeastaan tarvitse.
-
Nykyisin Debianissa ja Ubuntussa pitäisi olla /etc/login.defs-tiedostossa nämä olennaiset asetukset:
Nimenomaan ei enää ole. Debianissa oli versioon 12 saakka, mutta ei enää 13:ssa.
Ja toinen juttu on se, ettei tuo asetus ole toiminut koskaan. Ainakin kaikki Gnomen ohjelmat jättävät sen iloisesti huomiotta.
-
Ja toinen juttu on se, ettei tuo asetus ole toiminut koskaan. Ainakin kaikki Gnomen ohjelmat jättävät sen iloisesti huomiotta.
GNOME ja KDE laitetaan ruotuun joko Systemd:n umask-asetuksella tai pam_umaskilla. Ohje: https://wiki.archlinux.org/title/Umask#Set_umask_value_for_KDE_/_Plasma