Fórum Root.cz
Hlavní témata => Server => Téma založeno: doga312 25. 03. 2018, 20:40:10
-
Ahoj, narazil jsem na takovou nepříjemnost, určitě má řešení ale já ho nevidím. Mám skupinu sambashare, přes kterou povoluji číst sdílené soubory sambou. Ostatní nemají žádný přístup. Náhodou jsem narazil na to, že uživatelé, kteří v této skupině nejsou, přesto můžou číst.
Pro ověření jsem vytvořil uživatele pokus:
sudo adduser --quiet --no-create-home --disabled-password --gecos Pokus --ingroup sambashare pokusUživatele to vytvoří dle daných parametrů až na skupinu, kterou nepřidělí a uživatel v dané skupině není, tak jsem si toho všimnul.
Vytvořil jsem samba uživatele:
sudo smbpasswd -a pokusvypis práv:
ls -laF /mnt
drwxr-x--- 26 user sambashare 4096 bře 8 11:20 Filmy/nastavení samby:
[Filmy]
comment = Ubuntu
path = /mnt/Filmy
available = yes
read only = no
browsable = yes
public = no
writable = true
only guest = false
Sambu jsem nastavoval kdysi, když jsem začínal s linuxem, tak si tím nejsem moc jist ale měl jsem za to, že práva souborů jsou prioritní nad nastavením samby.
Otázka č.1: Proč příkaz vytvoření uživatele nepřiřadí skupinu dle parametru?
Otázka č.2: Proč, i když není uživatel pokus součástí skupiny sambashare, může číst?
Děkuji za pomoc, nějak mi to hlava nebere.
-
Otázka č.1: Proč příkaz vytvoření uživatele nepřiřadí skupinu dle parametru?
Otázka č.2: Proč, i když není uživatel pokus součástí skupiny sambashare, může číst?
Nemam bohuzel ubuntu, ale kdyz vyjdu z chovani Debianu, tak mi ten prikaz uzivatele do skupiny hodi v pohode. Takze v prikazu by snad chyba byt nemela, byt vytvarim uzivatele trochu jinak.
# adduser --quiet --no-create-home --disabled-password --gecos Pokus --ingroup daemon pokus
# id pokus
uid=1001(pokus) gid=1(daemon) groups=1(daemon)
Pokud se bavime o lokalnim uzivateli na tom ubuntu, tak podle toho vypisu nesmi.
-
ad 1) tohel by mělo fungovat, jakou máš verzi OS?
ad 2) Jaký máš globální config? Vypadá to na zapnutý nějaký user mapping, u samby uživatel přistupuje přes daeomona a ne přímo a až daemon řeší oprávnění. Linux FS by ti tohle nedovolil.
-
Ahoj,
používám Ubuntu Mate 16.04.
Problém č.1:
Tak s tím uživatelem se to má tak:
Když se dívám přes grafické prostředí na nastavení uživatelů a skupin, uživatel pokus není ve skupině sambashare. V /etc/group též není součástí skupiny sambashare. ALE při vypisu
id pokus
uid=1007(pokus) gid=129(sambashare) skupiny=129(sambashare)
je součástí skupiny.
Problém č.2:
Možná řeší problém č.1 :D
Dík za pomoc s tou divočinou ;)
-
Řekl bych, že Linux práva jsou asi 777 a práva pro SMB nejsou správně nastavena v sekci Global.
Zkus mrknout do dokumentace a omez oprávnění pro sdílení pro Group, nebo nastav oprávnění v Linuxu na tvoji Group (práva pro přístup z Linuxu a práva pro sdílení jsou dvě naprosto rozdílné věci a vždy je to součet obou, vyhraje restriktivnější nastavení).
Je to stejné, jako ve Windows, Right (pro SMB) a Permissions pro soubory/složky v OS.
-
Ahoj,
ještě jsem vytvořil uživatele který OPRAVDU není ve skupině sambashare a nemá přístup, takže zabezpečení funguje v pořádku.
Z toho vylívají dvě otázky:
1. Jak je možné, že se nastavení skupin zobrazuje na více místech systému různě?
2. Nevíte co znamená v nastavení samby v Global usershare allow guests = yes?
Dík, ať se daří ;)
-
1. Jak je možné, že se nastavení skupin zobrazuje na více místech systému různě?
Ad1: V urcitych pripadech se zobrazuje pouze primarni skupina uzivatele. Nebral bych to uplne jako chybu. Kazdopadne ve vetsine distribuci by mel prikaz "id" napraskat clenstvi i v dalsich skupinach.