Zusammenfassung und Loesungsweg fuer u. a. Problem:
(Der finale Loesungs-Schuss steht ganz unten)
====================================================
Hallo Bernd, Falk, Guenther und Martin (alphabet. sortiert;-)
Danke erst einmal fuer die vielen Anregungen und Loesungsvorschlaege,
die ich von Euch erhalten habe.
Dass ich mich erst heute zu diesem Thema zurueckmelde, hat einen
einfachen Grund: Ich habe hier keinen Windows-Rechner stehen und immer
beim Kunden ausprobieren, war mir dann zu doof. So habe ich heute
anlaesslich eines ekelhaft-schwuelen Wetters mal einen Win-PC
hochgezogen, um endlich fuer das angegebene Problem eine Loesung zu
finden.
Das Problem formulierte ich wie folgt:
Am 24.07.01, 16:57:59, schrieb Peter Blancke
Auf das unter Samba freizugebende Verzeichnis /server/dokumente sollen von den 40 Windows-Usern des Servers 20 User nicht, 10 User nur lesend und weitere 10 User schreibend und lesend zugreifen duerfen.
Der erste "Schubs ins Kreuz" kam von Dir, Falko.
ja, das ist richtig, aber trenn dich mal von dem gedanken das du das komplett mit unix boardmitteln lösen willst.
In der Tat, das habe ich dann auch getan und bin dann endlich zu dem Entschluss gekommen, dass - ausser fuer Home-Freigaben - tatsaechlich die Schaltung der Verzeichnisse/Dateien auf einen "unverfaenglichen" User mit anschliessender Zusammenfassung von Read- bzw. Read-/Write-Rechten in Gruppen der gangbarste Weg sei. Als den "unverfaenglichen" User habe ich dann nobody/nogroup gewaehlt. Danke, Falko, auch fuer den Tipp mit den Gruppendefinitionen und dem vorangestellten @-Zeichen. Das hat mir weitergeholfen. Dann hatte Martin folgenden Tipp:
Du kannst unter Linux grds. Rwx auf das Verzeichnis setzen und den Eigentuemer als z. B. Root.gruppe1 setzen.
Ich weiss zwar nicht, was "grds." ist, aber so bin ich dann vorgegangen. Das Verzeichnis /server/dokumente hat jetzt bei mir als Eigentuemer "root.nogroup" und als Rechte drwxrwx--- Eine andere Idee von Dir, Martin, habe ich dann allerdings verworfen:
Die Rechte anschliessend unter NT / W2K, sofern dies Deine Clients sind, vergeben (Schreib oder nur leserechte mit Gruppen).
Noe. Die Rechte werden bei mir hier ausschliesslich ueber den Linux-Server geregelt. Da will ich doch nichts an anderen Muehlen einstellen muessen. Und noch eine Idee von Dir verworfen:
Und other gibt's du nur Leserechte (chmod 775)
Noe. Das auch nicht. Die Leute kommen naemlich auch ueber Telnet/SSH an den Rechner heran, sollen sie auch. Und dann habe ich ja wieder das Problem, dass die dann doch in die Verzeichnisse hineinschauen koennen und sich das Zeug dort herausholen. Nein und niemals nein. Das bleibt bei 0770. Auch Deine Ideen, Guenther, mit "unter nt mit security manager" und "2k mit mcc" usw. habe ich verworfen. Ich will doch die Zugriffe ausschliesslich auf dem Linux-Server einstellen und absichern. Alles andere ist mir da viel zu unsicher. Martin, Dein Argument mit der "Loeschfalle" und das "t-Bit" habe ich nicht ganz verstanden. Mit allen meinen Experimenten ist meine unten aufgefuehrte Loesung so, dass tatsaechlich Loeschen durch Unbekannte weder ueber die Samba-Freigaben noch direkt auf der Konsole moeglich ist. Das habe ich eben gerade noch ausfuehrlich getestet. Bernd, vielen Dank fuer Deine ausfuehrlichen Anmerkungen. Ueberhaupt: Ich habe immer viel Freude an Deinen ausfuehrlichen Beitraegen. Danke - mal so nebenbei - fuer soviel Geduld und Muehe! (Das darf ja auch mal erwaehnt werden) Du fragst, was ich mit "Schreiben" meine. Ich meine mit "Schreiben" in einem Verzeichnis: Dateien und Verzeichnisse anlegen, Dateien und Verzeichnisse umbenennen, Dateien veraendern, Dateien und Verzeichnisse loeschen. So, wie ich es in meiner Aufgabenstellung postulierte. So, jetzt kommt hier aber das Ergebnis meiner Untersuchungen. Ich habe in /etc/group zwei Gruppen angelegt: In die erste Gruppe "doku_write" habe ich alle User angelegt, die in meinem Verzeichnis /server/dokumente Schreib- und Leserechte haben sollen. In die Gruppe "docu_read" habe ich alle User angelegt, die nur Leserechte haben sollen. Alle anderen User gehoeren diesen beiden Gruppen definitiv _nicht_ an. Das Verzeichnis /server/dokumente hat die oben angegebenen Rechte und Benutzereintraege. Das Share in der /etc/smb.conf habe ich nun wie folgt angelegt: [doku] comment = Dokumentenverzeichnis path = /server/dokumente force user = nobody force group = nogroup writeable = no valid users = +doku_read, +doku_write read list = +doku_read write list = +doku_write browseable = yes create mask = 0000 force create mode = 0770 directory mask = 0000 force directory mode = 0770 guest ok = no Ich erzwinge also fuer alle Vorgaenge die Zugriffsrechte von "nobody.nogroup" und verhindere somit schon einmal die Einsichtnahme in das Verzeichnis auf der Shell durch Unbefugte. Die angegebenen erzwungenen Rechte 0770 sind eigentlich schon zu viel, 0700 sollte auch reichen, aber ich habe jetzt keine Lust, das noch auszuprobieren, weil ich gleich in den Biergarten gehen moechte. Mit den Eintraegen "read list" und "write list" setze ich die gewuenschten und oben beschriebenen Zugriffsmoeglichkeiten. Dabei habe ich festgestellt, dass User, die diesen beiden Gruppen nicht angehoeren, dennoch mit Read-Rechten arbeiten konnten. Ich benutze hier Samba 2.0.7. Ist das dort vielleicht ein Fehler? Durch Einfuegen des Eintrags "valid users" habe ich dann endlich den Rest derjenigen, die ich hier nicht sehen moechte, ausgesperrt. Die sehen zwar das Share noch in der Netzwerkumgebung, werden aber - nach Anwahl - aufgefordert, ein Passwort einzugeben. Und da ist dann wirklich Schluss, weil da nichts mehr weiter geht. Es waere schoener gewesen, dass die das Share erst gar nicht sehen wuerden, aber wenn ich "browseable" auf "no" stelle, sehen es auch die berechtigten User nicht mehr. Das ist dumm. So, das war ein schoenes Stueck Arbeit und eine Menge neuer Erfahrungen mit Samba. Montag geht es zum Kunden und dann kann ich dessen Sicherheitswuensche befriedigen. Fuer Ergaenzungen und weiteren Anregungen bin ich zur Zeit sehr empfaenglich. Herzlichen Dank an alle an der Diskussion Beteiligten! Gruss Peter Blancke -- Nachtwaechter ist der Wahnsinn, weil er wacht...