HOME-Variable des Users

[boriq]

Hallo Synology-Kollegen,

jeder user hat bei mir eigenes Home-Verzeichnis unter /volume1/homes/user
Wenn ich mich aber unter einem user anmelde ist die HOME-Variable auf /root fest eingestellt. Steht im /etc/profile. D.h. der Befehl ~ führt zum /root und nicht zum /volume1/homes/user

Jetzt die Frage. Könnte es vielleicht Probleme geben wenn ich diese HOME-Variable von /root auf /volume1/homes/user ändern werde?

Hat es jemand schon gemacht? Vielleicht hat es einen Sinn, dass in /etc/profile für jeden User die HOME-Variable auf /root gesetzt wird.?

Danke.
Gruß
Peter

 

[itari]

Macht es auf einer DS Sinn, sich mit einem anderen Linux-User als 'root' anzumelden?

Du kannst jederzeit in der .profile der Benutzer die HOME-Variable abändern.

Itari

 

[boriq]

Danke.

Ich habe zwei synologys daheim und bastle mir ein backup-skript. Die eine synology soll sich auf die andere automatisch über ssh anmelden und daten automatisch verschieben.
Und das ganze wollte ich unter anderem user als root machen.

 

[itari]

Ich habe zwei synologys daheim und bastle mir ein backup-skript.

Warum machst das nicht mit der im DS-Manager eingebauten Netzwerk-Sicherung?

Itari

 

[magick]

Das statische Setzen von HOME ist schon etwas merkwürdig.
Da sollte eigentlich der Pfad aus passwd drin stehen. Naja, es scheint, das
an logins von anderen Usern nicht wirklich gedacht wurde.

Ich persönlich finde das durchaus in bestimmten Fällen sinnvoll. Ein shell account kann durchaus Sinn machen und spätestens wenn man sich mal von aussen einloggen will, ist root eh böse.

Ich benutze einen z.B. einen user account, um per ssh durch unsere Firewall zu tunneln

 

[itari]

Ein shell account kann durchaus Sinn machen und spätestens wenn man sich mal von aussen einloggen will, ist root eh böse.

Ob 'root' ein böser Junge ist oder einfach nur der Admin, will ich jetzt nicht kommentieren Troztdem die Frage, was will ein normaler Linux-User auf der DS? Was kann er da groß tun? Außer ein wenig Verwaltung ist doch auf der DS nicht wirklich was für normale User, was sie nutzen können, oder?

Itari

 

[magick]

Ob 'root' ein böser Junge ist oder einfach nur der Admin, will ich jetzt nicht kommentieren Troztdem die Frage, was will ein normaler Linux-User auf der DS? Was kann er da groß tun? Außer ein wenig Verwaltung ist doch auf der DS nicht wirklich was für normale User, was sie nutzen können, oder?

Itari

Nunja, zum einen ist auch der "root" gelegentlich ein normaler User und man sollte sich angewöhnen, root nur für das notwendigste zu benutzen und für alles andere einen user account. Obs auf der DS direkt Sinn macht, kann man sich drüber streiten, aber ich benutze auf allen Linux-Maschinen einen user und mache Administratives per su/sudo.

Ausser meinem Tunnel fallen mir allerdings ehrlich gesagt auch nicht allzuviele Anwendungsmöglichkeiten für nicht-administrative user. Vielleicht entschlüsseln oder ähnliches.

 

[itari]

Wieso soll der sudo eines normalen User (aus dem Netz) 'ungefährlicher' sein als direkt mit 'root' sich einzuloggen? In dem Moment, wo du über Admin-Rechte verfügst (und seien sie noch so 'eingeschränkt'), kannst ein 'böser' Junge sein.

Ist so wie ein Sicherheitsgurt bei 240 auf der Autobahn. Verhindet auch keine Unfälle. Autounfälle auf Autobahnen kann man nur dadurch wirklich verhindern, in dem man Autobahnen abschafft oder Autos oder Autofahrer oder alles oder so

Itari

 

[magick]

Wieso soll der sudo eines normalen User (aus dem Netz) 'ungefährlicher' sein als direkt mit 'root' sich einzuloggen? In dem Moment, wo du über Admin-Rechte verfügst (und seien sie noch so 'eingeschränkt'), kannst ein 'böser' Junge sein.

Ist so wie ein Sicherheitsgurt bei 240 auf der Autobahn. Verhindet auch keine Unfälle. Autounfälle auf Autobahnen kann man nur dadurch wirklich verhindern, in dem man Autobahnen abschafft oder Autos oder Autofahrer oder alles oder so

Itari

Offensichtlich hast Du noch nie ein "rm -rf *" mal als root und mal als user gemacht ;-)

Man sollte, wenn möglich, nur das als root laufen lassen, was unbedingt root-rechte haben muss. Auf der synology laufen ja auch jede Menge Dienste nicht als root. Ich hab hier für den Tunnel ne ssh-Session offen. Wenn ich jetzt mal aufm Klo bin, kann sich jemand an den Rechner schleichen und ist auf meinem Server. Er kann dort zwar Daten löschen oder auch runterziehen, er kann aber sich aber keine Hintertür einbauen, weil ich nur als ein User ohne Root-Rechte eingeloggt bin.

Oder in deiner Analogie, ein Sicherheitsgurt bei 240 auf der Autobahn verhindert keine Unfälle, aber erhöht die Überlebenswahrscheinlichkeit enorm

 

[itari]

Offensichtlich hast Du noch nie ein "rm -rf *" mal als root und mal als user gemacht ;-)

Nö, sollte ich das? Ich mach da lieber einen dd if=/dev/zero of=/dev/hda ... ist gründlicher

Man sollte, wenn möglich, nur das als root laufen lassen, was unbedingt root-rechte haben muss.

... außer man ist Kevin und alleine zu Hause (auf dem System) ...

Auf der synology laufen ja auch jede Menge Dienste nicht als root.

finde ich zwar nicht gerade, aber wenn du meinst

Ich hab hier für den Tunnel ne ssh-Session offen. Wenn ich jetzt mal aufm Klo bin, kann sich jemand an den Rechner schleichen und ist auf meinem Server. Er kann dort zwar Daten löschen oder auch runterziehen, er kann aber sich aber keine Hintertür einbauen, weil ich nur als ein User ohne Root-Rechte eingeloggt bin.

Du solltest dich immer ausloggen, wenn du aufs Klo gehst, das ist besser als sudo. Ansonsten denke ich, wirst lange Passworte benutzen (mindesten 12-16 Stellen) und die jede Woche wechseln ...

Oder in deiner Analogie, ein Sicherheitsgurt bei 240 auf der Autobahn verhindert keine Unfälle, aber erhöht die Überlebenswahrscheinlichkeit enorm

Man kann über Sicherheit so oder so sprechen. Ich denke aber, dass man zwischen einem Server und einem Linux-Arbeitsplatz schon unterscheiden sollte und auch die Regeln, unter denen man da arbeitet, differenzierter sehen sollte. Einen Server von Internet aus administrieren zu wollen, ist (egal was man da benutzt) immer ein Sicherheitsrisiko. Das kann man auch nicht mit sudo schön reden. Da muss man andere Geschütze auffahren, und ich glaube, du bist da bei mir ...

Itari

 

[magick]

Hmm, hatte einfach angenommen, das zumindestd die User-Webserver nicht als root laufen. Naja, falsch gedacht. Ein NAS ist kein vollständiger Linux-Server (100 * an die Tafel schreib)

Eigentlich gings ja um Gründe für einen user account auf der DS. Da fallen mir bei einem NAS nicht allzuviele Gründe für ein, ausser das es ganz praktisch sein kann, immer einen ssh-account zur Verfügung zu haben, der dann auch nicht unbedingt root sein muss.

Das Sudo nicht die Sicherheit erhöht, da geb ich Dir völlig recht, dafür ists ja auch eigentlich garnicht gedacht.

 

[magick]

Hmm, hatte einfach angenommen, das zumindestd die User-Webserver nicht als root laufen. Naja, falsch gedacht.

Nö, doch nicht. Die user httpds laufen als nobody.

 

[boriq]

Warum machst das nicht mit der im DS-Manager eingebauten Netzwerk-Sicherung?

Die gefällt mir nicht. Ich will das ganze bissl mehr unter Kontrolle haben.
Wie geschrieben habe ich zwei DS. Auf beiden habe ich ein Backup-Verzeichnis mit bestimmte Struktur. Auf DS1 läuft ein cron-job der "ständig" beobachtet ob etwas neues im Backup ist. Wenn ja meldet sich DS1 auf DS2 und verschiebt es auf die DS2. Auf DS2 läuft auch einen cron-job und mittels mein python-Skript (S3cmd) backupt alles auf Amazon's S3. Und für diese zwei cron-jobs auf beiden DS wollte ich einen anderen user als root verwenden.

Also habe ich zum Beispiel eine neue Fotosamlung auf DS1. Packe ich sie in einen Archiv mit nem starkem Passwort und schiebe in Backup-Dir. Und die cron-jobs machen den rest automatisch.

Die DS1 läuft nur wenn nötig und die DS2 läuft ständig. Die DS1 ist nur im "privatem" Bereich erreichbar, die DS2 ist sozusagen eine DMZ-Server ohne privaten Daten.

 

[itari]

jeder user hat bei mir eigenes Home-Verzeichnis unter /volume1/homes/user
Wenn ich mich aber unter einem user anmelde ist die HOME-Variable auf /root fest eingestellt. Steht im /etc/profile. D.h. der Befehl ~ führt zum /root und nicht zum /volume1/homes/user

Jetzt die Frage. Könnte es vielleicht Probleme geben wenn ich diese HOME-Variable von /root auf /volume1/homes/user ändern werde?

Hat es jemand schon gemacht? Vielleicht hat es einen Sinn, dass in /etc/profile für jeden User die HOME-Variable auf /root gesetzt wird.?

Ich denke, dass man HOME in der /etc/profile (oder in der .profile) ändern kann. Aber wenn man alle Seiteneffekte ausschließen will, kann man auch in /etc/profile-Skript ein Weiche bezüglich des Users einbauen (if ...).

Das Kürzel ~ verwende ich nie, weil ich oft mit Shells arbeite, die das nicht verstehen. Es gab hier eine Diskussion, dass es auch Probleme mit ~ gibt. Ich würde daher die Finger von lassen. In meinen Augen ist die ~ auch eher was für die interaktive Nutzung und nicht für Batches.

Ich persönlich würde das Backup auch immer unter 'root' laufen lassen, aber das ist nun Geschmackssache.

Itari

 

[magick]

Das Kürzel ~ verwende ich nie, weil ich oft mit Shells arbeite, die das nicht verstehen. Es gab hier eine Diskussion, dass es auch Probleme mit ~ gibt. Ich würde daher die Finger von lassen. In meinen Augen ist die ~ auch eher was für die interaktive Nutzung und nicht für Batches.
Itari

Jep, ~ sollte man nie in Scripten verwenden, aber $(HOME) ist durchaus die vorgesehende Methode, an sein Home-Verzeichnis zu kommen. Und eigentlich ist die übliche Methode, das HOME beim login anhand des Eintrags in der passwd gesetzt wird. Warum die DS das nicht tut, ist mir nicht ganz klar. Vielleicht hatten sie ein Problem und haben es durch das fixe setzen von HOME gefixt.

Die shell machts ja soweit korrekt, das man beim login im richtigen Verzeichnis landet. Vermutlich würde das entfernen der Zuweisung in /etc/profile sogar für richtige $HOMEs sorgen, aber vermutlich mit irgendwelchen Seiteneffekten.
Ein .profile im Heimatverzeichnis funktioniert zumindest, es wird beim login geparsed.