Problem se Sambou (systemem pristupovych prav) - problem vyr

noel na beta.cermak.cz noel na beta.cermak.cz
Pátek Květen 19 13:22:32 CEST 2000 

Ted jsem si chvili hral s nastavenimi Samby a zjistil jsem, ze kazdy
ma c¨v podstae pravdu. Vzdy ale zavisi na konkretni situaci a
konkternim nastaveni. Tak lze "bugy" eliminovat. Je to stale "jen"
emulator .....

> Nechcel som o tom pisat obsirne ale ked uz na to prislo
> su tu dva emaily ktore jasne deklaruju bug v sambe (alebo mozno v
> protokole SMB)
> kazdy kto ma prava READ tj dostane sa do adresara ma prava na zapis aj
> keby ich mal mat len read pokial sa pouzije force a pokial je security
> share
> takto mi svojho casu zmazali useri subor quota.user
> pre tych co zo sambou nemaju svoje "skusenosti" doporucujem nastavit
> chroot (je tam ne to direktiva)
>
>
> PRVY
>
> > [share tr]
> >          comment = SapsProW
> >          path = /share/tr
pokud bude skupinovym vlastnikem skupina popusers (vlastnikem by
asi mel zustat root) a pristup bude nastaven na 770, tak nikdo, kdo
neni vyjmenovan v one skupine, se k tomuto zdroji nedostane.
Ani z W95/98 ani jako Unixovy uzivatel....
Vyzkouseno pri security=user

> >          force group = +popusers
> >          writeable = Yes
> >          create mask = 0770
> >          directory mask = 0770
> >
> > v konfiguraci Samby je vyse uvedeny text a deje se toto:
> >
> > uzivatel c.1 ulozi soubor z windows 98 pres Sambu na Linux.
> >
> > jestlize se pres "mc" podivam na "chmod" vidim, ze uzivatel ma plna
> > prava
> > cteni i zapisu, ale pro skupinu  je dane jen cteni.
> >
> > uzivatel c.2 otevre stejny soubor co uzivatel 1 a klidne do nej zapise
> > co
> > potrebuje.
> >
> > oba uzivatele jsou ve skupine "popusers"
> >
> > puvodne jsem si myslel, ze neco takoveho je nemozne, ale dival jsem se
> > na
> > ty
> > prava 3x a videl jsem i pozmeneni souboru uzivatelem c.2
>
>
> DRUHY
>
> > Pri teto odpovedi mi trochu zatrnulo, ale pokusil jsem se napojit na server
> > pres Sambu ja (nejsem ve skupine, ktera ma pristup) a ackoliv jsem uvidel s
> > W98 sdileny adresar, nedostal jsem se do něj.
> >
> > >
> > > pozor na parameter force
> > > on moze za istych okolnosti umoznit hocikomu hocico
> > > parameter force group a force user ma za okolnosti ze ma user teoreticke
> > > prava aspon na read v praxi za nasledok rw pristup na vsetko

Ano, viz komentar vyse. Je potreba peclive planovat komu, jak, co.

> > >
> > > force je skoro ako suid
> > >
> > > dz
>

--
L.V.
jezevec

---- neproslo jazykovou korekturou ----

Další informace o konferenci Linux