Hallo Liste, ich verwende Suse 42.2 mit kde. Habe einen Synology Server mit Samba freigegebenen Ordner. Ich habe die Freigaben in etc/fstab so "//server/Freigabe /home/BenutzerA/Überordner/MountOrdner cifs credentials=/home/BenutzerA/.smbcredentials.txt" eingetragen. Die Datei .smbcredentials habe ich mit root erstellt und die Rechte 700 vergeben. Auf dem Samba Server sind die Freigaben unter den Benutzern (Lese, Schreib- oder gar keine Rechte) ja klar geregelt. Aber eine eingehängte Freigabe könnte ein anderer Benutzer doch per Standard leicht über den home-Ordner des anderen Users einsehen oder sonstiges. Da ich die Samba Regelung für meine Suse Benutzer nicht torpedieren wollte, habe ich für jeden Susebenutzer und seine Sambafreigaben jeweils Einträge in die fstab wie oben gemacht und zusätzlich den "Überordner" auf 700 (Besitzer ist ja der User) gesetzt. So sind nach Systemstart alle Freigaben eingehängt und kein fremder User hat Zugriff auf den "Überordner" und damit auch nicht auf die Samba-Freigaben der anderen. So funktioniert m. Meinung nach alles. Ich frag mich jedoch, ob das eigentlich eine gute Lösung ist? Ich hoffe, Ihr könnt mir folgen. Danke und Grüße Philipp -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 07.06.2017 um 20:52 schrieb Philipp:
Wenn schon Paranoia, dann aber richtig! Gruß Manfred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 07.06.2017 um 22:19 schrieb Manfred Kreisl:
Hallo Manfred, danke für Deine hilfreiche Rückmeldung. Vielleicht habe ich die Sache nicht klar dargestellt. Fakt ist jedoch, dass z.B. User B, der für eine Samba Freigabe nur Leserechte hat, sich über das home des Users A, der auf die selbe Freigabe Schreib- und Leserechte hat, sich auf diese Freigabe Schreib- und Leserechte verschaffen kann. Wenn ich alles in fstab automatisiert + Passwörter wie beschrieben eintrage. Wenn mir nun User B durch Rumspielen auf dem System was löscht, dann ist das ja richtig paranoid von mir, wenn ich das nicht haben möchte. Ganz ehrlich, dann brauch ich auch keine unterschiedlichen User und Rechte auf Samba-Ebene. Da ich kein Experte bin, wollte ich halt eine Meinung haben, ob es mit meiner Lösung Rechteprobleme (zwischen Samba und Linux) gibt, und ob es da nicht noch eine elegantere Lösung gibt. Grüße Philipp -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Philipp, hallo zusammen, Am Donnerstag, 8. Juni 2017, 15:55:38 CEST schrieb Philipp:
Hmm, das würde auf komische Berechtigungen hindeuten. Kannst Du mal (ausschnittsweise) ein Verzeichnislisting einer gemounten Freigabe zeigen? Mich interessieren nur die Berechtigungen sowie Benutzer und Gruppe (also z. B. "-rw-r--r-- foo users"), die Dateinamen darfst Du gern weglassen oder ändern. Deine Lösung, im übergeordneten Verzeichnis andere Benutzer auszusperren, funktioniert (natürlich unter der Annahme, dass Du die Rechte wirklich passend gesetzt hast - drwx------ passt auf jeden Fall). Guck Dir aber mal man mount.cifs an, vor allem den Abschnitt FILE AND DIRECTORY OWNERSHIP AND PERMISSIONS Es gibt ein paar mount-Optionen für cifs, um den Dateieigentümer und die Berechtigungen festzulegen. Gruß Christian Boltz -- As usual, I'm voicing my opinion on this topic, not announcing "truth" ;) [Cristian Rodríguez in opensuse-factory] -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 09.06.2017 um 18:25 schrieb Christian Boltz:
Ich habe da auch so einen CIFS mount in meinem home Verzeichnis (allerdings per autofs). Und wenn das gerade mal gemountet ist, hat jeder andere User in diesem Verzeichnis ebenfalls Schreibrechte Gruß Manfred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 09.06.2017 um 18:37 schrieb Manfred Kreisl:
Ich denke, da passt alles, siehe unten. Server ist bereits runtergefahren und daneben schläft schon jemand :-), probiere ich morgen mal aus.
Danke für den Tipp.
Ich denke, meine Beobachtung ist ganz normal. Jeder User hat Leserechte auf das home des anderen. Wenn dort eine Freigabe gemountet ist, ist diese ja mit dem User und Passwort der Samba Freigabe gemountet und damit mit den Rechten des in der Freigabe angemeldeten User. Sobald man folglich irgendwie in die Freigabe kommt, hat man dann die Rechte des angemeldeten Users. Das bedeutet Unix-Rechte bis zur Freigabe, dann Samba-Rechte. Ich könnte die Freigabe ja theoretisch gleich zum "fremden" User mounten. Samba-User sind ja nicht Linux User. Danke Euch zweien, und viele Grüße Philipp -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo, Am Freitag, 9. Juni 2017, 18:37:01 schrieb Manfred Kreisl: Snip
Ich denke, du musst hier an der smb.conf ansetzen. Für die Sektion [home] gibt es ua den Parameter "valid user = %S". Wenn der gesetzt ist sollte allerdings der Parameter "guest ok = no" sein. -- Mit freundlichen Grüßen Matthias Müller (Benutzer #439779 im Linux-Counter http://counter.li.org) PS: Bitte senden Sie als Antwort auf meine E-Mails reine Text-Nachrichten!
Am 09.06.2017 um 22:43 schrieb Matthias Müller:
Kleine Korrektur: Die Gruppe lautet users und das ist auch noch heute so, zumindest bei openSUSE. Debian/Ubuntu verhalten sich da anders, da wird neben dem User immer eine Gruppe selbigen Namens angelegt
Das ändert aber rein gar nichts an dem Verhalten, grade mal ausprobiert. Funktioniert zwar mit den [homes] Share, aber mit keiner anderen Share. Gruß Manfred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo, Am Samstag, 10. Juni 2017, 20:20:35 schrieb Manfred Kreisl: Snip
Snip
Beim Zugriff auf den Share [homes], prüft Samba wer zugreifen will und stellt fest, das ist der Anwender "username". Geprüft wird noch ob er überhaupt auf die Shares zugreifen darf, zB über die smbpasswd. In der /etc/passwd ist für den Benutzer "username" das Verzeichnis "/home/username" hinterlegt. Der Wert "%S" für "valid user" wird durch Samba zu "username" aufgelöst. Jetzt prüft der smbd, über die /etc/passwd, ob der Benutzername und das Home-Verzeichnis zusammen passen und ordnet das Home-Verzeichnis dem Share [homes] zu. Dieser Share wird dann auf dem Client zu "//server/username" aufgelöst. Das gleiche läuft für den Benutzer "benutzername" ab. Da aber für "benutzername" ein anderes Home-Verzeichnis in der /etc/passwd steht, hat er keinen Zugriff auf "//server/username". Und umgekehrt "username" darf nicht in "//server/benutzername" rein. Sollte zumindest so sein und funktioniert bei uns im Büro mit ca 200 Anwendern eigentlich auch so. Bei allen anderen Shares greift der Mechanismus so nicht. Für diese Shares ist nirgends hinterlegt, dass sie irgend einem Benutzer zugeordnet sind. Außer vielleicht über die Linux-Dateirechte. Beim Zugriff auf zB den Share [daten] wird zwar geprüft, wer zugreifen will. Es wird auch geprüft, ob der Benutzername in der /etc/passwd und möglichweise auch in der smbpasswd auftaucht, eventl wird ein Passwort abgefragt. Und es wird %S aufgelöst, und zwar in den Namen, der gerade zugreifen will. Also in "username" und, in einem parallelen smbd-Prozess, zu "benutzername". In beiden Fällen gilt für den Share [daten], "valid user = %S", dh beide Benutzer haben Zugriff. In aller Regel lesend und schreibend. Wenn du verhindern willst, dass der Anwender "benutzername" in den Share [daten] schreiben kann, hilft hier nur, dass du den Parameter "valid user = username" setzt. Es gibt noch etliche Parameter mehr, mit denen dann der Zugriff feinstreifiger geregelt werden kann. Meiner Meinung nach musst du dein Zugriffsproblem über die Rechtevergabe regeln. Ob das jetzt Einträge in der smbpasswd, der smb.conf oder über sonstige Parameter in der Rechteverwaltung deiner Benutzerverwaltung musst du selbst rausfinden, hier kann ich dir leider nicht weiter helfen. Sorry, falls dir das alles schon bekannt ist. Außerdem ist es etwas simpel formuliert und deshalb möglicherweise auch ziemlich vereinfacht. -- Mit freundlichen Grüßen Matthias Müller (Benutzer #439779 im Linux-Counter http://counter.li.org) PS: Bitte senden Sie als Antwort auf meine E-Mails reine Text-Nachrichten!
Am 10.06.2017 um 23:29 schrieb Matthias Müller:
BTW, wer hat nun Recht bei %S: O'Reilly sagt zu %S %S Name der aktuellen Freigabe, und Du sagst "%S" für "valid user"
Macht ja nichts, ich habe den Thread ja nicht eröffnet, habe also kein potentielles Problem damit. Habe halt nur mal meine Gedanken dazu geäußert. Meiner Meinung ist das Problem, das Philipp angesprochen hat, mit Samba Konfiguriererei nicht in den Griff zu bekommen, oder wenn doch nur durch endlose Herumprobiererei. Da ist die von Ihm verwendete Lösung wesentlich einfacher und effizienter ;-) oder gleich das home Verzeichnis auf 0700 setzen, dann ist Ruhe :-)
Sorry, falls dir das alles schon bekannt ist. Außerdem ist es etwas simpel formuliert und deshalb möglicherweise auch ziemlich vereinfacht.
Kein Problem :-) Gruß Manfred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 11.06.2017 um 12:46 schrieb Manfred Kreisl:
Bevor ich die Synology NAS nutze, wollte ich halt mal Varianten durchspielen wie das für mich im Betrieb funktionieren könnte. Jetzt bin aber doch noch auf ein kleines Problem gestoßen. Wie gesagt habe ich alle meine Freigaben in die fstab in folgender Weise eingetragen://server/Freigabe /home/Benutzer/Überordner/MountOrdner cifs credentials=/home/Benutzer/.smbcredentials.txt Wie man weiter unten sieht, habe ich 7 Freigaben. drwxrwxrwx 1 root root 0 11. Jun 10:30 Bilder und Videos drwxrwxrwx 1 root root 0 10. Jun 21:37 Dokumente drwxrwxrwx 1 root root 0 10. Jun 10:02 Hörspiele drwxrwxrwx 1 root root 0 10. Jun 08:59 MedienMusic drwxrwxrwx 1 root root 0 11. Jun 13:41 Musik drwxrwxrwx 1 root root 0 10. Jun 16:19 Software drwxrwxrwx 1 1027 users 0 11. Jun 10:31 Benutzer Mein Problem ist folgendes: Wenn ich eine Datei vom Suse Rechner oder z.B. angeschlossenem USB Stick via Dolphin ausschneide und dann in einer Samba Freigabe einfüge, kommt die Meldung: "Zugriff verweigert auf Name der Freigabe (Ort im Linux System)". Mit kopieren und einfügen, danach am Quellort löschen, geht's ohne Probleme. Also nur Ausschneiden und einfügen macht Probleme. Wenn ich mit Dolphin unter root Rechten das gleiche bei einer Freigabe des Beispielbenutzer probiere, kommt die Meldung nicht. Ich vermute, es hat Linux seitig etwas mit den Usern zu tun. Vielleicht kann mir jemand helfen. Danke und Grüße Philipp -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 11.06.2017 um 14:05 schrieb Philipp:
Verrückt, für mich als Computer Depp eben! Ich habe gerade ein wenig probiert. Das Synology NAS hat mich als User auf die Nummer 1027 gesetzt, auf der Suse habe ich 1000. Nun habe ich bei meiner Suse mal ebenfalls die 1027 gesetzt, und siehe da jetzt funktioniert alles mit Ausschneiden und Einfügen. Nicht nur im home Ordner der NAS (oben der fstab Eintrag mit dem Ordner "Benutzer"), sondern in den anderen Ordnern auch. Kann mir das jemand erklären. Zieht das evtl. Probleme nach sich, dass ich die UID für meinen Suse User geändert habe. Ich persönlich kann mit der 1027 leben :-). Danke für Rückmeldungen! -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Philipp, Am Sonntag, 11. Juni 2017, 15:02:15 CEST schrieb Philipp: snip
Verrückt, für mich als Computer Depp eben! Jeder fängt mal klein an :-)
In Linux (übrigens auch unter Windows) werden sogenannte userids (user identifications, auch als uuid bezeichnet) verwendet. Für dein NAS bist du nicht der Benutzer philipp, sondern der Benutzer 1000, der da ankommt und Daten hin und her schaufeln will. Das ist aber nur dem Benutzer 1027 erlaubt. Dass beiden uuids der Name philipp als Benutzername zugeordnet ist, ist dem NAS und auch deiner Susi so wurscht wie nur irgendwas. Allerdings, sollte sich das bei einem Listing zeigen, wenn hier komische Benutzernamen bzw nur Nummern als Benutzernamen auftauchen
Wenn du dies Änderung mit YaSt gemacht hast, sollte auch eine Anpassung der Eigentumsverhältnisse von YaSt gemacht worden sein. Gib als root mal folgenden Befehl in einer Konsole ein: find / -uid 1000 -print 2> /dev/null wenn da keine Ausgabe kommt, ist alles ok. -- Mit freundlichen Grüßen Matthias Müller (Benutzer #439779 im Linux-Counter http://counter.li.org) PS: Bitte senden Sie als Antwort auf meine E-Mails reine Text-Nachrichten!
Am 11.06.2017 um 18:30 schrieb Matthias Müller:
Hallo Philipp,
Hallo Matthias
Komisch nur, dass ich sonst Schreibrechte zu haben scheine, siehe kopieren und einfügen geht. Aber egal, bin froh, dass es funktioniert.
Hab's mit yast gemacht, bei # find / -uid 1000 -print 2> /dev/null kommt nix. Danke und Grüße Philipp -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo, Am Sonntag, 11. Juni 2017, 12:46:03 CEST schrieb Manfred Kreisl: snip
Da aber für das Home-Verzeichnis der Service (Share) und der Benutzername gleich sind, passt das wieder. Und stimmt auch nur für die [homes]-Sektion Ist schon eine ganze Weile her, dass ich samba konfigurieren musste. snip
-- Mit freundlichen Grüßen Matthias Müller (Benutzer #439779 im Linux-Counter http://counter.li.org) PS: Bitte senden Sie als Antwort auf meine E-Mails reine Text-Nachrichten!
participants (4)
-
Christian Boltz -
Manfred Kreisl -
Matthias Müller -
Philipp