Samba 3.0.2 - Homeverzeichnisse ungeschützt??
![](https://seccdn.libravatar.org/avatar/75d9c42ba34d3db3d5146e7b421a8a0a.jpg?s=120&d=mm&r=g)
Hallo, ich habe gestern auf Samba 3.0.2 upgedatet. System läuft unter SuSE 8.2. Mir ist heute folgendes aufgefallen. Wenn ich mich mit irgendwelchen Shares auf meinem Server verbinden möchte, klappt dies auch. Es kommt die Benutzer- und Kennwortabfrage, bzw. meine Windows-Kennung wird korrekt übernommen. Wenn ich jetzt aber zum Bsp. einfach ein anderes Homeverzeichnis anwählen (z. B. //server/andererbenutzername) bekomme ich ohne Passwortabfrage gleich Sicht auf die Freigabe. Müsste Samba nicht nach Benutzername und Benutzerpasswort des jew. home-Shares fragen? Hier mein Eintrag aus der smb.conf [homes] comment = Home Directories browseable = no writeable = yes veto files = /.*/ Passwörter werden über die smbpasswd-Datei verwaltet. Danke für Eure Hilfe. Gruß Christian Vallo
![](https://seccdn.libravatar.org/avatar/5885cb5265fd13b2dd5d83027a1fd8d1.jpg?s=120&d=mm&r=g)
Hallo Christian, On Sat, Feb 14, 2004 at 03:54:41PM +0100, Vallo, Christian (Linux) wrote:
Mir ist heute folgendes aufgefallen. Wenn ich mich mit irgendwelchen Shares auf meinem Server verbinden möchte, klappt dies auch. Es kommt die Benutzer- und Kennwortabfrage, bzw. meine Windows-Kennung wird korrekt übernommen.
das sollte auch so sein, fällt mir schon gar nicht mehr auf *smile*
Wenn ich jetzt aber zum Bsp. einfach ein anderes Homeverzeichnis anwählen (z. B. //server/andererbenutzername) bekomme ich ohne Passwortabfrage gleich Sicht auf die Freigabe. Müsste Samba nicht nach Benutzername und Benutzerpasswort des jew. home-Shares fragen?
Wenn du es richtig konfigurierst, dann schon. [global] security = user invalid users = root @wheel ... guest ok = no public = no writeable = no browsable = no printable = no
[homes] comment = Home Directories browseable = no writeable = yes veto files = /.*/
Alternativ kannst du die Optioenen auch nach [home] packen ich finde es aber besser zuerst alles zu verbieten und dann nur das gewünschte zu erlauben. Greetings Daniel -- man kann immer mehrmals scheitern, aber irgendwann bricht das Problem abgenutzt zusammen ;) -- IH][Q5`pwn3d
![](https://seccdn.libravatar.org/avatar/75d9c42ba34d3db3d5146e7b421a8a0a.jpg?s=120&d=mm&r=g)
Danke Daniel, danke für Deine Mail. Leider hat sich bei mir nichts geändert. Ich greife mit WinXP (mit allen Updates) auf Samba 3.0.2 zu. Hier nochmals meine "ganze" smb.conf: # /etc/samba/smb.conf # # Copyright (c) 2003 SuSE Linux AG, GS Berlin, Germany. # # comments to gd@suse.de # [global] encrypt passwords = yes guest ok = no public = no writeable = no browseable = no printable = no invalid users = root @wheel socket options = TCP_NODELAY SO_KEEPALIVE SO_SNDBUF=8192 SO_RCVBUF=8192 utmp = yes workgroup = KREATIV time server = yes interfaces = 127.0.0.1 eth0 bind interfaces only = true # this enables MS Distributed File System. host msdfs = yes # printing... printing = cups printcap name = cups load printers = yes # unicode unix charset = ISO8859-15 unicode = yes display charset = UTF8 dos charset = ISO8859-15 # is this a BDC? local master = yes domain master = no domain logons = yes security = user [printers] comment = Alle Drucker path = /tmp printable = yes create mask = 0600 browseable = no use client driver = yes [tmp] comment = TMP-Samba browseable = no writeable = yes valid users = @users root path = /tmp/samba [homes] comment = Home Directories browseable = no writeable = yes veto files = /.*/ [produktion] comment = Produktion auf dem Linux-Server (SuSE 8.2) path = /volumes/samba/produktion writeable = yes valid users = christian root create mask = 0640 directory mask = 0750 [backup] comment = Backup auf dem Linux-Server (SuSE 8.2) path = /volumes/samba/backup writeable = yes valid users = christian root create mask = 0640 directory mask = 0750 [apache] comment = htdocs auf dem Linux-Server path = /srv/www/htdocs writeable = yes valid users = christian root [archiv] comment = Archiv, Vorbereitet zum Brennen path = /volumes/samba/archiv writeable = yes browseable = yes valid users = christian root [dvd] path = /media/dvd browseable = no valid users = christian [cdrom] path = /media/cdrom browseable = no valid users = christian @users [ftp_space] path = /srv/ftp/pub browseable = yes valid users = christian andrea root create mask = 0775 directory mask = 0775 [futura] path = /volumes/samba/futura browseable = yes valid users = root dh christian writeable = yes [suse9] path = /volumes/suse9 browseable = no writeable = no Gruß Christian Am Sam, den 14.02.2004 schrieb Daniel Lord um 16:26:
Hallo Christian,
On Sat, Feb 14, 2004 at 03:54:41PM +0100, Vallo, Christian (Linux) wrote:
Mir ist heute folgendes aufgefallen. Wenn ich mich mit irgendwelchen Shares auf meinem Server verbinden möchte, klappt dies auch. Es kommt die Benutzer- und Kennwortabfrage, bzw. meine Windows-Kennung wird korrekt übernommen.
das sollte auch so sein, fällt mir schon gar nicht mehr auf *smile*
Wenn ich jetzt aber zum Bsp. einfach ein anderes Homeverzeichnis anwählen (z. B. //server/andererbenutzername) bekomme ich ohne Passwortabfrage gleich Sicht auf die Freigabe. Müsste Samba nicht nach Benutzername und Benutzerpasswort des jew. home-Shares fragen?
Wenn du es richtig konfigurierst, dann schon.
[global] security = user invalid users = root @wheel ... guest ok = no public = no writeable = no browsable = no printable = no
[homes] comment = Home Directories browseable = no writeable = yes veto files = /.*/
Alternativ kannst du die Optioenen auch nach [home] packen ich finde es aber besser zuerst alles zu verbieten und dann nur das gewünschte zu erlauben.
Greetings Daniel -- man kann immer mehrmals scheitern, aber irgendwann bricht das Problem abgenutzt zusammen ;) -- IH][Q5`pwn3d
![](https://seccdn.libravatar.org/avatar/735ea797d876adb026ae955e8adbf597.jpg?s=120&d=mm&r=g)
Am Samstag, 14. Februar 2004 16:26 schrieb Daniel Lord:
On Sat, Feb 14, 2004 at 03:54:41PM +0100, Vallo, Christian (Linux) wrote: [...]
Wenn ich jetzt aber zum Bsp. einfach ein anderes Homeverzeichnis anwählen (z. B. //server/andererbenutzername) bekomme ich ohne Passwortabfrage gleich Sicht auf die Freigabe. Müsste Samba nicht nach Benutzername und Benutzerpasswort des jew. home-Shares fragen?
Wenn du es richtig konfigurierst, dann schon. [...]
Moment mal: Versuch doch das gleiche mal unter Linux. Natürlich kannst Du die Home-Verzeichnisse der anderen User lesen - die Rechte stehen normalerweise auf 755 (also dürfen alle jedes Home-Verzeichnis lesen). Das ist so Standard, wenn Du das nicht willst, musst Du unter Linux dafür sorgen, dass es nicht geht! Versuch mal eine Datei im Home eines anderen Users anzulegen - das sollte eigentlich nicht gehen. Jan
![](https://seccdn.libravatar.org/avatar/5885cb5265fd13b2dd5d83027a1fd8d1.jpg?s=120&d=mm&r=g)
Hallo, On Sat, Feb 14, 2004 at 09:10:25PM +0100, Jan Trippler wrote:
Am Samstag, 14. Februar 2004 16:26 schrieb Daniel Lord:
On Sat, Feb 14, 2004 at 03:54:41PM +0100, Vallo, Christian (Linux) wrote: [...]
Wenn ich jetzt aber zum Bsp. einfach ein anderes Homeverzeichnis anwählen (z. B. //server/andererbenutzername) bekomme ich ohne Passwortabfrage gleich Sicht auf die Freigabe. Müsste Samba nicht nach Benutzername und Benutzerpasswort des jew. home-Shares fragen?
Wenn du es richtig konfigurierst, dann schon. [...]
Moment mal: Versuch doch das gleiche mal unter Linux. Natürlich kannst Du die Home-Verzeichnisse der anderen User lesen - die Rechte stehen normalerweise auf 755 (also dürfen alle jedes Home-Verzeichnis lesen). Das ist so Standard, wenn Du das nicht willst, musst Du unter Linux dafür sorgen, dass es nicht geht! Versuch mal eine Datei im Home eines anderen Users anzulegen - das sollte eigentlich nicht gehen.
Jup, bei Samba lässt sich das immer auf zwei Ebenen regeln. Die Regel für Samba ist ein [home] ... comment = Diesesmal habe ich es auch getestet ;) valid users = %S ... das ich vorher natürlich verpennt habe. Vom Sicherheitsstandpunkt her ist es sicher sinnvoll beide Möglichkeiten einzuschränken :) Greetings Daniel -- ...ich liebe die Sterne und beklage mich über die Sonne, die sie mir verdunkelt.
![](https://seccdn.libravatar.org/avatar/75d9c42ba34d3db3d5146e7b421a8a0a.jpg?s=120&d=mm&r=g)
Damit wäre meine Frage beantwortet. Ein herzliches Dankeschön an Daniel!
Wenn ich jetzt aber zum Bsp. einfach ein anderes Homeverzeichnis anwählen (z. B. //server/andererbenutzername) bekomme ich ohne Passwortabfrage gleich Sicht auf die Freigabe. Müsste Samba nicht nach Benutzername und Benutzerpasswort des jew. home-Shares fragen?
[home] ... comment = Diesesmal habe ich es auch getestet ;) valid users = %S ...
![](https://seccdn.libravatar.org/avatar/8efdb29ec2defcd37d758c8bae38e41e.jpg?s=120&d=mm&r=g)
Hallo, * On Sat, Feb 14, 2004 at 03:54 PM (+0100), Vallo, Christian (Linux) wrote:
ich habe gestern auf Samba 3.0.2 upgedatet. System läuft unter SuSE 8.2.
Mir ist heute folgendes aufgefallen. Wenn ich mich mit irgendwelchen Shares auf meinem Server verbinden möchte, klappt dies auch. Es kommt die Benutzer- und Kennwortabfrage, bzw. meine Windows-Kennung wird korrekt übernommen.
Wenn ich jetzt aber zum Bsp. einfach ein anderes Homeverzeichnis anwählen (z. B. //server/andererbenutzername) bekomme ich ohne Passwortabfrage gleich Sicht auf die Freigabe. Müsste Samba nicht nach Benutzername und Benutzerpasswort des jew. home-Shares fragen?
Hast Du mal geschaut, wie die Unix-Rechte auf die Home-Verzeichnisse aussehen? Also konkret: was liefert ein "ls -l /home" für Rechte (unter der Voraussetzung, dass "/home" der Mountpoint Deiner Home-Verzeichnisse ist)? Wenn ich auf "\\sambaserver\user1" zugreife (mich dort mit Benutzernamen und Passwort anmelde) und anschließend "\\sambaserver\user2" eingebe, dann bekomme ich in der Tat das Home-Verzeichnis von "user2" aufgelistet, ohne dass ich dessen Benutzername bzw. Passwort eingeben musste. Aller- dings habe ich darauf dann nur Leserechte. Nachdem ich aber die Unix-Permissions für die Home-Verzeichnisse von "755" auf "700" gesetzt hatte, war kein solcher Zugriff mehr möglich. Das Ganze ist nicht nur ein Verhalten von Samba-3.0.x, sondern tritt unter Samba-2.2.8a ebenso auf. Checke also mal Deine Unix-Rechte für die Home-Verzeichnisse, denn die sind die Grundlage für alles, was Samba macht. Natürlich gibt es auch Möglichkeiten, solche Zugriffe auf Samba-Ebene einzustellen, ich denke, dass das, was Daniel Lord vorgeschlagen hat, sollte auch tun. Gruß, Steffen
participants (4)
-
Daniel Lord
-
Jan.Trippler@t-online.de
-
Steffen Moser
-
Vallo, Christian (Linux)