Seid gegrüsst. Warum kann man als user nicht mounten? Ich möchte als normaler Benutzer ein Windows-Export eines entfernten Rechners lokal in mein Verzeichnis mounten. Kriege aber immmer die Meldung: "nur root" dürfe das. Ich habe schon ein bischen gegoogelt, kriege aber kein Bein in die Sache. Das SUID-Bit bei /bin/mount zu setzen (mit chmod +s /bin/mount) bringt auch nichts. Die Sicherheitsrichtlinie meines Suse 10.0 ist auf Easy gesetzt. Die ensprechende permissions-Datei enthält folgendes:
cat /etc/permissions.easy | grep mount # "user" entries in /etc/fstab make mount work for non-root users: # mount/umount have had their problems already: /bin/mount root:root 4755 /bin/umount root:root 4755
Wäre da vielleicht ein Ansatz möglich? Gruss, N. Eschricht -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Am Mittwoch, 21. Juni 2006 17:37 schrieb N. Eschricht:
Seid gegrüsst. Warum kann man als user nicht mounten? Ich möchte als normaler Benutzer ein Windows-Export eines entfernten Rechners lokal in mein Verzeichnis mounten. Kriege aber immmer die Meldung: "nur root" dürfe das. Ich habe schon ein bischen gegoogelt, kriege aber kein Bein in die Sache. Das SUID-Bit bei /bin/mount zu setzen (mit chmod +s /bin/mount) bringt auch nichts. Die Sicherheitsrichtlinie meines Suse 10.0 ist auf Easy gesetzt. Die ensprechende permissions-Datei enthält
folgendes:
cat /etc/permissions.easy | grep mount
# "user" entries in /etc/fstab make mount work for non-root users: # mount/umount have had their problems already: /bin/mount root:root 4755 /bin/umount root:root 4755
Wäre da vielleicht ein Ansatz möglich?
Gruss, N. Eschricht
man mount und dann die Optionen "group", "user" und "users" anschauen. und dann z.B. in 7etc/fstab schreiben: //SERVER/FS /mnt cifs defaults,users,noauto,user=Administrator,ro,iocharset=iso8859-15,gid=users (alles in eine Zeile schreiben). "user=Administrator" sagt, daß man mit als Windoof-User "Administrator" (d.h. mit dessen Rechten) auf den Windows-Share zugreifft. Wenn man in /etc/fstab kein Passwort reinschreiben will, (da ja jeder /etc/fstab lesen kann, empfiehlt sich das) wird dann beim mounten nach dem Windoof-Admin-Passwort gefragt. ansonsten "password=xxxxx" angeben Bye Jürgen -- Dr.rer.nat. Juergen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 92 04 87 1 Fax: +49(721) 92 04 87 2 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de Internet-Telefonie: www.skype.com Benutzer: juergen.vollmer
Am Mittwoch, 21. Juni 2006 17:37 schrieb N. Eschricht:
Seid gegrüsst. Warum kann man als user nicht mounten? Ich möchte als normaler Benutzer ein Windows-Export eines entfernten Rechners lokal in mein Verzeichnis mounten. Kriege aber immmer die Meldung: "nur root" dürfe das. Ich habe schon ein bischen gegoogelt, kriege aber kein Bein in die Sache. Das SUID-Bit bei /bin/mount zu setzen (mit chmod +s /bin/mount) bringt auch nichts. Die Sicherheitsrichtlinie meines Suse 10.0 ist auf Easy gesetzt. Die ensprechende permissions-Datei enthält
Hallo "N.", mit Einträgen wie dem folgenden in der /etc/fstab kannst du das auch als user mounten. Solltest du aber mit Bedacht einsetzen, vor allem wenn du mehrere User auf dem System hast... :-) ----------- /dev/sda5 /data2 auto noauto,user 0 0 ------------- Mit samba gibt's ne gute Manpage, da wäre dann der eintag fürs filesystem smbfs und unter den Options sollte - nein muss ein verweis auf eine lokale datei mit den credentials (username, passwort) stehen. zum Vorgehen: 1) testen als root mit mount -t smbfs ... -o username=... password=.... usw. (syntax in manpage) 2) username/password in ein gesichertes (chmod) file hinterlegen. 3) eintragen in fstab und testen als root (syntax in manpage) 4) hinzufügen von noauto,user und testen als user. viel spass, "N."! P.S: kennst du den film: N-eine stadt sucht einen mörder? :-)))))
folgendes:
cat /etc/permissions.easy | grep mount
# "user" entries in /etc/fstab make mount work for non-root users: # mount/umount have had their problems already: /bin/mount root:root 4755 /bin/umount root:root 4755
Wäre da vielleicht ein Ansatz möglich?
Gruss, N. Eschricht
-- Best Regards - Mit freundlichen Grüßen Markus Feilner -------------------------- Feilner IT Linux & GIS Linux Solutions, Training, Seminare und Workshops - auch Inhouse Kötztingerstr 6c 93057 Regensburg fon regensburg +49 941 8107989 mobil +49 170 3027092 www: www.feilner-it.net mail: mfeilner@feilner-it.net --------------------------------------- My new book - Out now: http://www.packtpub.com/openvpn/book OPENVPN : Building and Integrating Virtual Private Networks ======================================= -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Markus Feilner schrieb:
Am Mittwoch, 21. Juni 2006 17:37 schrieb N. Eschricht: <-snip->
Hallo "N.", mit Einträgen wie dem folgenden in der /etc/fstab kannst du das auch als user mounten. Solltest du aber mit Bedacht einsetzen, vor allem wenn du mehrere User auf dem System hast... :-) ----------- /dev/sda5 /data2 auto noauto,user 0 0 -------------
Mit samba gibt's ne gute Manpage, da wäre dann der eintag fürs filesystem smbfs und unter den Options sollte - nein muss ein verweis auf eine lokale datei mit den credentials (username, passwort) stehen. zum Vorgehen: 1) testen als root mit mount -t smbfs ... -o username=... password=.... usw. (syntax in manpage) 2) username/password in ein gesichertes (chmod) file hinterlegen. 3) eintragen in fstab und testen als root (syntax in manpage) 4) hinzufügen von noauto,user und testen als user.
viel spass, "N."!
P.S: kennst du den film: N-eine stadt sucht einen mörder? :-)))))
Der Weg über /etc/fstab und der Option "user" war mir bekannt, aber genau so soll es ja ebend nicht laufen. Ich möchte nicht für jeden, der sich eine beliebige Windowsfreigabe eines Kollegen mounten will, einen Eintrag in /etc/fstab anlegen. Die sollen einfach den Ordner mounten dürfen und fertig, die Syntax ist dafür doch recht einfach. Ich habe jetzt mal das SUID-Bit von smbmount gesetzt und kriege die Fehlermeldung: "libsmb based programs must *NOT* be setuid root" Das ist also auch keine Lösung. Ich weiss jetzt immer noch nicht, wer oder was das mounten als user eigentlich verhindert. "mount" selbst darf ja vom user ausgeführt werden. Warum darf er aber nicht mounten? Ich könnte die Kollegen ja überreden, mit "smbclient" zu arbeiten. Der arbeitet aber eher wie "ftp", so dass man sich lokale Kopien der Dateien ziehen müsste ... Schöner wäre allerdings, wenn sie einfach mounten dürfen. Spricht denn sicherheitstechnisch irgendwas dagegen? Gruss und Danke auch an Herrn Vollmer, N. Eschricht PS. Den Film habe ich nie gesehen, der Titel kommt mir aber bekannt vor. -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Hallo N., hallo Leute, Am Donnerstag, 22. Juni 2006 13:42 schrieb N. Eschricht:
Ich habe jetzt mal das SUID-Bit von smbmount gesetzt und kriege die Fehlermeldung: "libsmb based programs must *NOT* be setuid root"
IIRC musst Du /usr/bin/smbmnt [1] suid-root setzen, dann sollte smbmount auch als User funktionieren. Das dürfte sogar sicherer sein als die sudo-Lösung. Grund: Mit sudo smbmount kann man einen beliebigen Mountpoint angeben - beispielsweise auch /bin - und somit Systemprogramme wie /bin/su austauschen! smbmount erlaubt das Mounten nur dort, wo man auch als User Schreibrecht hat. Das Überdecken von Systemverzeichnissen ist damit unmöglich. Gruß Christian Boltz [1] man achte auf die unterschiedlichen Namen - smbmnt vs. smbmount -- ln -sf /dev/null /var/log und nie wieder irgendwelche Systemfehler. :-))))) [Ratti in fontlinge-devel] -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Christian Boltz schrieb:
Hallo N., hallo Leute,
Am Donnerstag, 22. Juni 2006 13:42 schrieb N. Eschricht:
Ich habe jetzt mal das SUID-Bit von smbmount gesetzt und kriege die Fehlermeldung: "libsmb based programs must *NOT* be setuid root"
IIRC musst Du /usr/bin/smbmnt [1] suid-root setzen, dann sollte smbmount auch als User funktionieren.
Das dürfte sogar sicherer sein als die sudo-Lösung. Grund: Mit sudo smbmount kann man einen beliebigen Mountpoint angeben - beispielsweise auch /bin - und somit Systemprogramme wie /bin/su austauschen!
smbmount erlaubt das Mounten nur dort, wo man auch als User Schreibrecht hat. Das Überdecken von Systemverzeichnissen ist damit unmöglich.
Gruß
Christian Boltz
[1] man achte auf die unterschiedlichen Namen - smbmnt vs. smbmount
Jipp, dass ist die beste Lösung! Man darf nur nicht vergessen das SUID-Bit für /usr/bin/smbumount auch zu setzen. Sonst kann der User die Verbindung nicht mehr aufheben. Vielen Dank, N. Eschricht -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
participants (4)
-
Christian Boltz -
Dr. Jürgen Vollmer -
Markus Feilner -
N. Eschricht