Práva souboru, samba a nechtěný přístup

Práva souboru, samba a nechtěný přístup
« kdy: 25. 03. 2018, 20:40:10 »
Ahoj, narazil jsem na takovou nepříjemnost, určitě má řešení ale já ho nevidím. Mám skupinu sambashare, přes kterou povoluji číst sdílené soubory sambou. Ostatní nemají žádný přístup. Náhodou jsem narazil na to, že uživatelé, kteří v této skupině nejsou, přesto můžou číst.

Pro ověření jsem vytvořil uživatele pokus:
Kód: [Vybrat]
sudo adduser --quiet --no-create-home --disabled-password  --gecos Pokus  --ingroup sambashare pokusUživatele to vytvoří dle daných parametrů až na skupinu, kterou nepřidělí a uživatel v dané skupině není, tak jsem si toho všimnul.
Vytvořil jsem samba uživatele:
Kód: [Vybrat]
sudo smbpasswd -a pokusvypis práv:
Kód: [Vybrat]
ls -laF /mnt
drwxr-x--- 26 user sambashare    4096 bře  8 11:20 Filmy/
nastavení samby:
Kód: [Vybrat]
[Filmy]
comment = Ubuntu
path = /mnt/Filmy
available = yes
read only = no
browsable = yes
public = no
writable = true
only guest = false
Sambu jsem nastavoval kdysi, když jsem začínal s linuxem, tak si tím nejsem moc jist ale měl jsem za to, že práva souborů jsou prioritní nad nastavením samby.

Otázka č.1: Proč příkaz vytvoření uživatele nepřiřadí skupinu dle parametru?
Otázka č.2: Proč, i když není uživatel pokus součástí skupiny sambashare, může číst?

Děkuji za pomoc, nějak mi to hlava nebere.




Skid

Re:Práva souboru, samba a nechtěný přístup
« Odpověď #1 kdy: 26. 03. 2018, 08:01:47 »
Otázka č.1: Proč příkaz vytvoření uživatele nepřiřadí skupinu dle parametru?
Otázka č.2: Proč, i když není uživatel pokus součástí skupiny sambashare, může číst?
Nemam bohuzel ubuntu, ale kdyz vyjdu z chovani Debianu, tak mi ten prikaz uzivatele do skupiny hodi v pohode. Takze v prikazu by snad chyba byt nemela, byt vytvarim uzivatele trochu jinak.

# adduser --quiet --no-create-home --disabled-password  --gecos Pokus  --ingroup daemon pokus
# id pokus
uid=1001(pokus) gid=1(daemon) groups=1(daemon)

Pokud se bavime o lokalnim uzivateli na tom ubuntu, tak podle toho vypisu nesmi.
-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
G! d- a s: C++ BAHSL++ P+ L++
E--- W+ N-- K- w-- O- M- V- PE Y
PGP- t--- !tv b+ DI- D+ e++ h--
------END GEEK CODE BLOCK-----

Re:Práva souboru, samba a nechtěný přístup
« Odpověď #2 kdy: 26. 03. 2018, 08:25:18 »
ad 1) tohel by mělo fungovat, jakou máš verzi OS?
ad 2) Jaký máš globální config? Vypadá to na zapnutý nějaký user mapping, u samby uživatel přistupuje přes daeomona a ne přímo a až daemon řeší oprávnění. Linux FS by ti tohle nedovolil.

Re:Práva souboru, samba a nechtěný přístup
« Odpověď #3 kdy: 26. 03. 2018, 10:32:43 »
Ahoj,
používám Ubuntu Mate 16.04.
Problém č.1:
Tak s tím uživatelem se to má tak:
Když se dívám přes grafické prostředí na nastavení uživatelů a skupin, uživatel pokus není ve skupině sambashare. V
Kód: [Vybrat]
/etc/group též není součástí skupiny sambashare. ALE při vypisu
Kód: [Vybrat]
id pokus
uid=1007(pokus) gid=129(sambashare) skupiny=129(sambashare)
je součástí skupiny.
Problém č.2:
Možná řeší problém č.1 :D

Dík za pomoc s tou divočinou ;)


D.J.Bobo

Re:Práva souboru, samba a nechtěný přístup
« Odpověď #4 kdy: 26. 03. 2018, 16:34:45 »
Řekl bych, že Linux práva jsou asi 777 a práva pro SMB nejsou správně nastavena v sekci Global.
Zkus mrknout do dokumentace a omez oprávnění pro sdílení pro Group, nebo nastav oprávnění v Linuxu na tvoji Group (práva pro přístup z Linuxu a práva pro sdílení jsou dvě naprosto rozdílné věci a vždy je to součet obou, vyhraje restriktivnější nastavení).

Je to stejné, jako ve Windows, Right (pro SMB) a Permissions pro soubory/složky v OS.


Re:Práva souboru, samba a nechtěný přístup
« Odpověď #5 kdy: 26. 03. 2018, 22:10:51 »
Ahoj,
ještě jsem vytvořil uživatele který OPRAVDU není ve skupině sambashare a nemá přístup, takže zabezpečení funguje v pořádku.
Z toho vylívají dvě otázky:
1. Jak je možné, že se nastavení skupin zobrazuje na více místech systému různě?
2. Nevíte co znamená v nastavení samby v Global usershare allow guests = yes?

Dík, ať se daří ;)

Skid

Re:Práva souboru, samba a nechtěný přístup
« Odpověď #6 kdy: 27. 03. 2018, 07:05:13 »
1. Jak je možné, že se nastavení skupin zobrazuje na více místech systému různě?

Ad1: V urcitych pripadech se zobrazuje pouze primarni skupina uzivatele. Nebral bych to uplne jako chybu. Kazdopadne ve vetsine distribuci by mel prikaz "id" napraskat clenstvi i v dalsich skupinach.
-----BEGIN GEEK CODE BLOCK-----
Version: 3.12
G! d- a s: C++ BAHSL++ P+ L++
E--- W+ N-- K- w-- O- M- V- PE Y
PGP- t--- !tv b+ DI- D+ e++ h--
------END GEEK CODE BLOCK-----