Unerfahrene User - Wie Schreibrechte einschränken?

[sweber]

Hallo,

der Titel ist etwas vage formuliert, ist mir nicht besser eingefallen.

Es geht darum, dass ich verschiedene Geräte verwalte, die von Freunden oder Bekannten genutzt werden, die technisch wenig Ahnung oder Erfahrung haben. Mit "Geräte" meine ich im weitesten Sinne Homeserver. Für diese suche ich eine Lösung, standardmäßig nur Leserechte zu haben, aber ohne viel Aufwand Schreibrechte erhalten zu können.

Als Beispiel habe ich neulich einen openmediavault mit SMB-Shares eingerichtet. Bisher mache ich es immer so, dass ich einen Nutzer anlege, der für entsprechende Shares Leserechte, aber keine Schreibrechte hat. Diese Zugangsdaten werden im Betriebssystem des Nutzers hinterlegt. Dadurch sind die Daten im Normalfall vor versehentlichem Überschreiben oder auch einem Verschlüsselungstrojaner geschützt.

Jetzt will man natürlich auch mal Daten neu dort ablegen oder verschieben oder löschen. Allerdings sind die mir bekannten Wege, das zu bewerkstelligen, für unerfahrene Nutzer alle recht kompliziert, zum Beispiel:

• In den Adminbereich des Servers einloggen und die Nutzerrechte des existierenden Nutzers temporär auf Schreibrechte erhöhen;
• Einen zweiten User mit Schreibrechten angelegt haben und dann diesen nutzen. Problem: Hat man einmal einen Satz Zugangsdaten in Windows hinterlegt, ist es auch gar nicht so einfach, andere zu verwenden

Übersehe ich etwas? Gibt es eine "DAU-kompatible" Möglichkeit, dies umzusetzen?

 

[sikarr]

Dadurch sind die Daten im Normalfall vor versehentlichem Überschreiben oder auch einem Verschlüsselungstrojaner geschützt.

Nicht wirklich, wenn er als angemeldeter User läuft kommt er auch auf den Server

Jetzt will man natürlich auch mal Daten neu dort ablegen oder verschieben oder löschen.

Dann gib ihm Schreibrechte

In den Adminbereich des Servers einloggen und die Nutzerrechte des existierenden Nutzers temporär auf Schreibrechte erhöhen;

Das wäre halt die saubere Lösung

Einen zweiten User mit Schreibrechten angelegt haben und dann diesen nutzen. Problem: Hat man einmal einen Satz Zugangsdaten in Windows hinterlegt, ist es auch gar nicht so einfach, andere zu verwenden

Man könnte verschiedene Netzlaufwerke mit verschiedenen Nutzern anlegen oder es in eine Batch als Script packen, dann reicht für den Nutzer ein Doppelklick.

Übersehe ich etwas? Gibt es eine "DAU-kompatible" Möglichkeit, dies umzusetzen?

Nicht wirklich wenn du willst das er schreiben können soll braucht er auch das Recht dafür.

 

[Ja_Ge]

Shares Leserechte, aber keine Schreibrechte hat. Diese Zugangsdaten werden im Betriebssystem des Nutzers hinterlegt. Dadurch sind die Daten im Normalfall vor versehentlichem Überschreiben oder auch einem Verschlüsselungstrojaner geschützt.

Jetzt will man natürlich auch mal Daten neu dort ablegen oder verschieben oder löschen.

Das widerspricht sich schon im Grundsatz. Du kannst natürlich für die User einzelne Ordner zum Schreiben freigeben, so dass sie den „nur-lesen“ Teil nicht beeinflussen können.

Alternativ den Schreibzugriff nur bei Zugriff über die Website auf den Share.

Aber eigentlich ist genau dafür der Papierkorb von OMV da.

 

[1lluminate23]

Das einfachste wäre, dass die User nur ein Gäste-Konto bekommen

 

[sikarr]

@1lluminate23 Wo, auf dem Rechner oder NAS? dann können sie ja nix schreiben wie soll das gehen?

 

[SpamBot]

Für was ist den der Server da? Ich persönlich hätte ja meine Daten drauf, wenn ich da nicht permanent Schreibrechte hätte wäre das ziemlich sinnlos. Allgemein sollte es doch trotzdem ein Backup geben? Wozu dann die Daten nochmal extra schützen? Oder ist der Server das Backup? Dann funktioniert es ja auch nicht, was ist wenn der Nutzer später mit Admin Rechten mal dummsinn macht?

 

[sikarr]

Oder halt mit Snapshots arbeiten wenn möglich

 

[jenhls]

Es geht darum, dass ich verschiedene Geräte verwalte, die von Freunden oder Bekannten genutzt werden, die technisch wenig Ahnung oder Erfahrung haben.

Habe ich im weitesten Sinne auch.

standardmäßig nur Leserechte zu haben, aber ohne viel Aufwand Schreibrechte erhalten zu können.

Jetzt will man natürlich auch mal Daten neu dort ablegen oder verschieben oder löschen.

You can't have the cake and eat it. Entweder, die Leute können schreiben und löschen, oder sie können es halt nicht. Ich habe das so gelöst, dass meine wenig versierten Nutzer auf dem NAS zum Beispiel nur lesenden Zugriff auf die Foto- und Video- Bibliothek haben und ihre eigenen "Beiträge" in einen separaten Upload- Ordner packen können. Ab und an muss ich dann halt mal ran und wieder aufräumen. Das Aufräumen geht, wenn man das möchte, natürlich auch über einen Cronjob oder ähnliches.

 

[BeBur]

Vllt. einfach mal testweise Schreibrechte geben? Womöglich gibt es ja gar kein Problem. Ggf. noch inrekementelle Backups einrichten. Wenn dann einmal pro Jahr jemand was überschreibt, dann stellst du die Datei halt händisch wieder her. Dauert 5 Minuten.

 

[SaxnPaule]

Nutzer haben alle einen eigenen Ordner mit Schreibrechten, dessen Inhalt regelmäßig per Cronjob in den Ordner verschoben/gemerged wird, auf den sie nur Leserechte haben.

Je nach Anforderung kann regelmäßig dabei alle 10 Minuten oder auch alle 10 Tage sein.

Das löst zumindest das Problem von neuem und geändertem Inhalt.

Brauchst du nur noch eine praktikable Lösung fürs Löschen.

 

[Twostone]

Du könntest in der Theorie auch mit OverlayFS arbeiten, aber das schafft natürlich einigen Mehraufwand, nämlich in dem Falle, in dem überschriebene Daten tatsächlich auch gespeichert werden sollen. Zudem ist ein Verwerfen der Daten einer Session auch nicht so ohne Weiteres möglich, es sei denn, Du arbeitest mit tmpfs als Overlay. Aber selbst dann müsstest Du am Ende der Session das Dateisystem wieder aushängen (und dann wieder einhängen). Auch das ist wiederum einiger Mehraufwand und erfordert teils auch etwas tiefgreifendere Kenntnisse.

Einfacher (aber mit deutlich gestiegenem Speicherbedarf je nach Datenaufkommen) wären Dateisysteme mit Snapshot-Funktion wie BTRFS oder ZFS. Hierbei sollte sich natürlich der Snapshot-Ordner außerhalb der Freigabe befinden.
Nachteil hierbei: Zum Wiederherstellen einer versehentlich gelöschten Datei muß man sich dann schon z.B. via Secure Shell am Server einloggen oder mit SU-Rechten im Snapshot-Ordner wühlen (und wissen, in welchem Snapshot die Datei gesichert wurde: Script schreiben!). Auch wäre die Freigabe stets für die berechtigten User schreibbar, was ja nicht gewünscht war.

 

[chrigu]

das einfachste wäre, du würdest keine server-dienste anbieten oder verwalten.
weil so wie du fragst sind bestimmt ein paar türchen für die bösen mädels von nordkorea offen.
sobald ein türchen zu deinen server offen sind, nützt ein simpler schreibrecht-entzug nichts.

an deiner stelle würde ich ein server bei einem online anbieter mieten... der hat als grundaustattung ein backup im angebot, ist 24/7/365 erreichbar und braucht kein portforwarding und ist autark in sachen datensicherheit deiner kunden.

 

[BeBur]

1. Schreibrechte geben
2. Backups haben / einrichten
3. Einmal im Jahr wenn was ausversehen gelöscht wird die Datei(en) aus dem Backup wieder herstellen
4. Fertig

Zeitaufwand von 1.-4. ist niedriger als das Schreiben der bisherigen Beiträge gedauert hat.