Arch Linux

Externe Festplatte / ext3 / ohne Root rw einbinben

Thinktank

Hallo,

Ich stehe vor folgendem Problem: Nach ein paar Überlegungen hab ich mich für folgende Partitionierung meiner externen Festplatte entschieden: 200 Gb ext3 und ca. 100 Gb NTFS. Da ich die Festplatte auch an Rechner schließen werde, an denen ich keine Root-Rechte habe, stehe ich vor einem Problem: Ext3 und NTFS werden standardmäßig per HAL read-only (zumindest bei mir) eingebunden und ich sehe nicht, wie ich das ohne Rootrechte ändern könnte. Bei USB-Sticks (FAT) funktioniert das ja mittlerweile tadellos, aber FAT wollte ich nicht einsetzen.

Gruß & schonmal vielen Dank

[gelöscht]

Ich hab's nicht getestet, aber ich glaube man muss /usr/share/hal/fdi/policy/10osvendor/20-storage-methods.fdi nach /etc/hal/fdi/policy/ kopieren und entsprechend anpassen (ro durch rw ersetzen).

Thinktank

Danke für deine Antwort, aber das geht leider ohne Root-Rechte nicht.

GerBra

Thinktank schrieb ...
eingebunden und ich sehe nicht, wie ich das ohne Rootrechte ändern könnte.
...
Danke für deine Antwort, aber das geht leider ohne Root-Rechte nicht.

Und das ist auch gut so.
Der korrekte Weg: man bittet den/die Admins das für den bestimmten User oder für diese bestimmte
Festplatte einzurichten. Eine Option wäre, eine bestimmte Festplatte per UUID als user-mountbar
einzutragen. Aber....

"Irgendwo" "irgendwie" einen externen Datenträger einhängen zu können (das ggf. automagisch
mit Schreibzugriff) birgt ein enormes Risiko (Datendiebstahl).
Und ein SIcherheitsrisiko.
Wenn der Admin nicht Vorsorge getroffen hat und diese Mounts nicht mindest nodev,noexec,nosuid
einhängt (bzw. auch die /home, /tmp usw. Partitionen ebenso gemountet hat), dann tun sich da
sehr schnell Sicherheitslücken auf um auf einem Rechner Root/Admin-Rechte zu bekommen.

Weiterhin Partitionen mit Linux-FS: Durchaus wahrscheinlich das du am Rechner B (wo User maier
angemeldet ist) auf deine Daten auf der HD nicht zugreifen kannst. Daheim (am Rechner A) bist
du der User schulze mit der uid/gid 1001. Am Rechner B hat maier aber nun die uid/gid 500. Und
schon kommst du unter seinem Account ggf. nicht an "deine" Daten heran (da uid/gid 1001 auf dem
ext. HD ext3). Und evtl. schlimmer: Auf Rechner B gibt es evtl. sogar einen User mit gid/uid 1001,
sagen wir schmidt. Dieser könnte nun ggf. Datenmißbrauch mit "deinen" Daten anstellen (er darf
la laut passswd/groups auf Rechner B). Oder umgekehrt könntest du mit Datenmißbrauch
anstellen wenn du Dateien "verfügbar" hättest (eben auf der HD), die du ggf. unter der der uid/gid
1001 (schmidt) "ausführen" könntest.

FAT kennt diese Unix-rechte auf FS-Ebene nun eben nicht, der einzige "Schutz" ist auf einem Linux
die Berechtigung des Mountpunkt-Verzeichnisses.
Deswegen ist es ziemlich unverantwortlich vom Admin wenn auf User-PCs (z.B. in Firma, Uni)
überhaupt externe Datenträger von Usern eingehängt werden dürften (evtl. sogar automatisch),
und das ohne besonderen Schutz, eben noexec, nosuid, ...)
Nicht umsonst ist das oftmals per Vorgabe sogar verboten und führt ggf. zum Verlust des
Arbeitsplatzes.
Diese "Möglichkeit" ist ein potentielles EInfalltor für Viren und andere Schadprogramme.

Thinktank

Ok, danke für die Klarstellung. Ich werde dann die Platte komplett in NTFS formatieren, da ext3 in meinen Augen keinen Vorteil bringt, wobei ich mich ungerne Microsoft beuge 🙂

GerBra

Wobei halt noch zu sagen ist, daß du die meisten der Sicherheitsaspekte auch mit nfts/fat FS
haben kannst (ein tar.gz läßt ich auch auf einem FAT-Dateissystem speichern).
//Edit2: wobei ein tar Archiv kein Problem darstellt, gerade nochmal kurz geschaut.....
Ursache des Problems ist immer das System auf dem jeweiligen PC.

Wenn man jetzt sagt: unter anderen Systemen geht das aber super einfach..... Das gleiche sagen
auch Schadcode-Verbreiter 😉

//Edit: mich wundert z.B. immer wie einfach es ist z.B. auf WIndows-Rechner in Firmen,Büros einfach
seine eigenen *.exe mitzubringen, zu starten usw....

[gelöscht]

GerBra schrieb //Edit: mich wundert z.B. immer wie einfach es ist z.B. auf WIndows-Rechner in Firmen,Büros einfach
seine eigenen *.exe mitzubringen, zu starten usw....

Die meisten Firmen / Büros sind froh, wenn der Kasten läuft und kümmern sich nur um das was man schnell einrichten und installieren kann. Hierunter zählen nun Antivirenprogramme, Firewalls und Updates. Tieferliegende Einstellungen seitens der Richtlinien am Arbeitsplatz selbst oder am AD / Terminalserver sind für viele Administratoren unbekannt oder sie wollen sich damit nicht auseinandersetzen. Dies musste ich schon aus eigener Erfahrung während meiner Ausbildung selbst feststellen. Dort gab es 2x ne nette Havarie und lustigerweise, war ich entweder krank oder im Praktikum. Jedenfalls hat sich bis heute noch nichts geändert, obwohl ich zu diesen Schritten geraten habe aber man will halt immer schlauer sein.
So sagte meine Ausbilderin diesbezüglich immer:

Wir können nicht alles möglich sperren, nur um das System sicherer zu machen. Die Auszubildenden sollen lernen mit der Technik umzugehen.

Wie gesagt: Resultat waren zwei Havarie-Fälle, bei denen 60 Personalcomputer und der Server ( Windows 2003, Active Directory, Fileserver ) komplett verseucht waren. Root-Kits, viren, Trojaner. Man durfte alles neu aufsetzen aber mich juckte es nicht :lol:
Der zweite Satz war auf die IT-System-Kaufleute bezogen. Die gesamte Geschichte erzähle ich lieber mal nicht, sonst fängt GerBra noch an zu schreien. So viel sei gesagt: Produktivsystem und Testsystem waren ein System ( Egal ob Server oder Workstation ). Virtuelle Maschinen wurden erst eingeführt, als ich fertig war mit der Ausbildung und meiner Ausbilderin zeigte was ich so alles anstellen konnte. Tja - So ist das.

Die Reihenfolge der Fragerei in einem Unternehmen ist auch extrem übel. Er muss nicht den Admin fragen, sondern seinen Vorgesetzten. Das kann langwierig sein aber es ist der sichere Weg. Fragt er direkt den Admin, so können beide ihren Job verlieren.

efreak4u

@ igprolin

bin ja mla begeistert, dass du als systemkaufmann soweit in der technik steckst... die bisherigen systemkaufmaenner, die ich kennen gelernt habe (auch die in meinem ausbildungsbetrieb) konnten nur verkaufen und das buerokratische zeug machen....

(bin gelernter systemelektroniker)

Robert

GerBra schrieb //Edit: mich wundert z.B. immer wie einfach es ist z.B. auf WIndows-Rechner in Firmen,Büros einfach
seine eigenen *.exe mitzubringen, zu starten usw....

Das ist immer ein großes Problem..
Bei uns in der Schule war es eine Zeit lang nicht möglich, externe Medien an zuschließen. Das sind öffentliche PC's. die für etwa 1000 Schüler zugänglich sind.
Problem hierbei : An den Rechnern soll/kann man Referate vorbereiten o.ä. . Es ist auch ganz schön, wenn man nach 2 Freistunden Arbeit sein Ergebnis abspeichern kann. Speicher ist in der Schule leider recht klein und begrenzt, ein USB Stick ist hier ganz hilfreich.
Auch ist es ziemlich cool, wenn man Portable Apps mit Firefox dabei hat und nicht auf einen anderen Browser zurückgreifen muss 😉
Inzwischen ist es glaubich überall möglich, USB Sticks und sowas zu verwenden.
Ergebnis : Auf meinem USB Stick findet sich öfter mal ein Virus, der aus der Schule stammt ..

[gelöscht]

efreak4u schrieb @ igprolin

bin ja mla begeistert, dass du als systemkaufmann soweit in der technik steckst... die bisherigen systemkaufmaenner, die ich kennen gelernt habe (auch die in meinem ausbildungsbetrieb) konnten nur verkaufen und das buerokratische zeug machen....

(bin gelernter systemelektroniker)

Ich hab zwar IT-System-Kaufmann gelernt, könnte aber nie etwas verkaufen. Selbst meine Ausbilder waren der Meinung, dass ich nach der Ausbildung nie als Kaufmann arbeiten könnte. Ich kann keinem Kunden einfach nen PC andrehen. Ich hab "leider?" die Macke, dass ich Kunden richtig berate und ihnen nur das Anbiete/Verkaufe was dieser auch benötigt. Ganz nach dem Motto: Hochleistungsrechner für Büroarbeiten ( Praktikumserfahrungen ).

Darüber hinaus befasse ich mich schon seit Jahren mit der Technik und schaue auch gerne mal tiefer in das System rein, bsp. welche Sicherheitsmechanismen man aktivieren könnte. Vor meiner Ausbildung hatte ich mit Windows 2003 / 2008 nichts zu tun, lernte mir aber alle binnen 6 Monaten selbst an.

Im Endeffekt kommt es nicht darauf an, was man gelernt hat, sondern was im Kopf steckt ... das beweise aber mal einem Arbeitgeber, der nur auf das Abschlusszeugnis schaut und dann eben nur liest "IT-System-Kaufmann". Jeder AG würde sich sagen: Der kann von Technik und Sicherheit nichts wissen.

// Edit
Im Übrigen mag ich den theoretischen Kram sowieso nicht, denn in der Theorie funktioniert fast alles. Vom kaufmännischen und somit vom bürokratischen Kram will ich erst garnix sagen 😉

efreak4u

igprolin schrieb Ich hab zwar IT-System-Kaufmann gelernt, könnte aber nie etwas verkaufen. Selbst meine Ausbilder waren der Meinung, dass ich nach der Ausbildung nie als Kaufmann arbeiten könnte. Ich kann keinem Kunden einfach nen PC andrehen. Ich hab "leider?" die Macke, dass ich Kunden richtig berate und ihnen nur das Anbiete/Verkaufe was dieser auch benötigt. Ganz nach dem Motto: Hochleistungsrechner für Büroarbeiten ( Praktikumserfahrungen ).

Darüber hinaus befasse ich mich schon seit Jahren mit der Technik und schaue auch gerne mal tiefer in das System rein, bsp. welche Sicherheitsmechanismen man aktivieren könnte. Vor meiner Ausbildung hatte ich mit Windows 2003 / 2008 nichts zu tun, lernte mir aber alle binnen 6 Monaten selbst an.

Im Endeffekt kommt es nicht darauf an, was man gelernt hat, sondern was im Kopf steckt ... das beweise aber mal einem Arbeitgeber, der nur auf das Abschlusszeugnis schaut und dann eben nur liest "IT-System-Kaufmann". Jeder AG würde sich sagen: Der kann von Technik und Sicherheit nichts wissen.

// Edit
Im Übrigen mag ich den theoretischen Kram sowieso nicht, denn in der Theorie funktioniert fast alles. Vom kaufmännischen und somit vom bürokratischen Kram will ich erst garnix sagen 😉

waerst dann mit systemelektroniker (vom bewerbungstechnischen und der interesse) nicht besser gekommen?

[gelöscht]

Wäre ich sicherlich schon aber die Ausbildung wurder von der Agentur für Arbeit gesponsort und zudem war es eine Rehabilitationsmaßnahme, da ich unter kleineren gesundheitlichen ( nur körperlich ) Defiziten leide. Die Worte des Amtsarztes waren zumal am Anfang der Ausbildung auch lustig ...

Sie sind zwar körperlich nicht sonderlich belastbar, dafür aber geistig. Ihr überdurchschnittliches logisches Denken sowie eine gut ausgeprägt Begabung Dinge schnell zu erlernen und auch anzuwenden, wird Sie später weit bringen.

Die gesundheitlichen Defizite äußern sich rein nur in der Hypermobilität, welche aber komplett verteilt ist aber derzeit zum Stehen gekommen ist. Wer sich darunter nichts vorstellen kann: Bei mir sind paar Schrauben locker 😉 ... Ich bin zu schnell gewachsen - Muskeln, Sehnen und Knochen kamen nur indirekt hinterher.

efreak4u

ah ja.. ok ^^