Skrivet av cbtcp:
Tack för era svar! Om rättigheterna "ställs ner" påverkar det vad som syns ut "Utforskaren" (osäker på vad Utforskaren heter i Linux)? Vill att så lite som möjligt av underliggande system ens syns, allt för att förenkla för användarna... Skrivbordet ska vara det enda synliga så någon "Utforskare" behöver inte ens finnas. Inga menyer ska finnas heller. De två ikonerna (browser + office) ska inte heller gå att "ta bort" medan allt användargenererat är "ostatiskt". Begär jag för mycket kanske?
Nej då, du begär inte alldeles för mycket. Men du ser det lite från fel ände. Har tyvärrr inte tid att skriva något långt och utförligt just nu, men betänk följande:
Linux har två användarnivåer: "vanliga användare" och "root", där root kan göra vad denne önskar på systemet i stort sett.
Allting i Linux är en fil - allt från dokument, vidare till mappar och ända ner till sockets och processer.
Linux filrättigheter jobbar på principen att varje enskild fil har en ägargrupp (group) och en ägaranvändare (user). Vem som kan läsa, skriva och exekvera filen avgörs på enskild filnivå (och root ignorerar dessa rättigheter) utifrån tre olika variabler: "user", "group" och "anyone".
Antag följande filstruktur (motsvarande vad du ser om du kör "ls -l"):
Mapp [foo:foogroup] <drwxr-x--->
Fil1 [foo:foogroup] <-rwxrwxr-x>
Fil2 [foo:foogroup] <-rw-r--r-->
Alla filerna har ägaren foo (user) och foogroup (group). Rättigheterna inom <> läses grupperade "1,3,3,3". Den första (d) visar att Mapp är just en mapp (vilket under ytan är en samling pekare till inodes ordnade under mappen, men det tänker jag inte gå in på närmare för stunden), och de övriga är read|write|exec (där "-" visar att behörigheten saknas) i ordningen "user|group|anyone".
Vi tar nu fyra olika användare (user:group):
foo:foogroup
moo:foogroup
fee:users
root:root
foo, moo och root kommer att kunna lista och gå in i Mapp, men inte fee.
foo och root kan skapa objekt i Mapp.
Fil1 kan läsas och exekveras av alla användare, men fee kan inte skriva till filen. Det kan te sig märkligt att fee inte kan se eller gå in i Mapp men ändå komma åt Fil1, men det är så det funkar, så vet man sökvägen dit eller ser till att ha en symlink dit så kan man komma åt den (vilket kan vara användbart för att "dölja" filsystemet från användare som ändock kan behöva access till enstaka filer).
Fil2 kan läsas av alla, men endast root och foo kan skriva till den.
Utifrån detta exempel, https://wiki.archlinux.org/index.php/users_and_groups och manpages för chmod/chown bör du kunna komma rätt så långt i dina laborationer. Det viktigaste att komma ihåg är att det är filrättigheterna som avgör vad varje användare kan göra, och vad varje användare har tillgång till är en indirekt följd utav sina grupptillhörigheter.