Hallo,
ich scheitere jetzt seit einigen Tagen an folgender Aufgabe :
Ich habe via autofs/sshfs ein Remoteverzeichnis eines NAS auf einem Server eingebunden. Der User ABC hat für dieses Verzeichnis volle Rechte (750). Auf dem Server läuft ein Dienst unter dem User www-data. Dieser Dienst soll nun in dem Verzeichnis des Users ABC als User www-data Datein speichern können.
Ein Ändern der Rechte des Verzeichnisses mit chmod 777 funktioniert nicht, mount --bind -o allow_other auch nicht
Letzte Möglichkeit wäre das Einrichten einer Netzwerkfreigabe als www-data User, was ich allerdings vermeiden möchte, da die Aktivierung des www-data Users als vollwertiger User ein Sicherheitsrisiko ist. Hinzufügen der www-data Gruppe zu User ABC würde ich auch gerne vermeiden, da der Webserver dann Zugriff auf alle ABC Verzeichnisse hat ( ABC ist Systemadmin )
Gibt es irgendeine Möglichkeit ein Verzeichnis, das unter dem User ABC gemountet ist für andere User freizugeben, sodass dieser User dann volle Zugriffrechte hat ?
Besteht die Möglichkeit dies über mount --bind zu realisieren, sprich die Schreibrechte von User ABC nur für dieses eine Verzeichnis auf einen anderen User zu "übertragen" ?
[solved] Rechtetverwaltung advanced - Remotemountpfade für versch. User
[solved] Rechtetverwaltung advanced - Remotemountpfade für versch. User
Zuletzt geändert von speefak am 17.05.2018 01:14:11, insgesamt 2-mal geändert.
-
Blackbox
- Beiträge: 4289
- Registriert: 17.09.2008 17:01:20
- Lizenz eigener Beiträge: GNU Free Documentation License
Re: Rechtetverwaltung advanced - Remotemountpfade für versch. User
Ich finde dein Konzept nicht zu Ende gedacht.speefak hat geschrieben:08.05.2018 13:51:37Ein Ändern der Rechtse des Verzeichnisses mit chmod 777 funktioniert nicht
Mount --bind -o allow_other auch nicht
Letzte Möglichkeit wäre das Einrichten einer Netzwerkfreigabe als www-data User, was ich allerdings vermeiden möchte, da die Aktivierung des www-data Users als vollwertiger User ein Sicherheitsrisiko ist. Hinzufügen der www-data Gruppe zu User ABC würde ich auch gerne vermeiden, da der Webserver dann Zugriff auf alle ABC Verzeichnisse hat ( ABC ist Systemadmin )
Warum findest du es besser
Code: Alles auswählen
chmod 777Weiterhin stößt mir auf, dass du dich offensichtlich wenig mit der Materie auseinandergesetzt hast und lediglich Ergebnisse einer $UCHMASHINE - unverstanden - umsetzt.
Vielleicht solltest du dir erst einmal überlegen, was genau du vorhast, danach ein Konzept entwickeln, wie du dein Vorhaben vernünftig, aber vor allem sicher umsetzt und zum Abschluss dieses Konzept umsetzen.
Das was du bisher gemacht hast ist, mit gefährlichem Halbwissen Sicherheitslücken bauen!
Aber vielleicht hast du dich auch nur unglücklich ausgedrückt, oder ich dich missverstanden?
Auch dann solltest du ein Konzept entwickeln, welches du plausible und verständlich erklären kannst.
Eigenbau PC: Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Desktop PC: Dell Inspiron 530 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Notebook: TUXEDO BU1406 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Alles Minimalinstallationen und ohne sudo/PA/PW.
Rootserver: Rocky Linux 9.3 - Kernel: 5.14
Freie Software unterstützen, Grundrechte stärken!
Desktop PC: Dell Inspiron 530 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Notebook: TUXEDO BU1406 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Alles Minimalinstallationen und ohne sudo/PA/PW.
Rootserver: Rocky Linux 9.3 - Kernel: 5.14
Freie Software unterstützen, Grundrechte stärken!
Re: Rechtetverwaltung advanced - Remotemountpfade für versch. User
"Aber vielleicht hast du dich auch nur unglücklich ausgedrückt," - ja das ist wohl der Fall gewesen 
Google und co habe nicht genutzt da ich mich mit den Rechten und der Nutzerverwaltung auskenne. Ein Berechtigungssystem auf Benutzer- und Gruppen-Ebene läuft bereits. Nur um den administrativen Aufwand gering zu halten wollte ich nicht noch einen neuen Nutzer nur für den o.g. Speicherpfad einrichten. Chmod 777 war ein Test und keine Dauerlösung, da 777 Rechte ein Sicherheitsrisiko darstellen.
Die Lösung ist recht einfach : Das Remoteverzeichnis (User@NAS) über sshfs/autofs mit den Nutzer und Gruppen IDs des www.data Nutzers des Servers einbinden (sshfs optionen : gid=33,uid=33) . Damit muss kein weiterer Nutzer auf dem NAS angelegt werden und der www-data Nutzer/Programm des Servers kann auf das gemountete Verzeichnis zugreifen ( Rechte 750 ). Der NAS Nutzer wiederum kann ohne weitere Berechtigungen auf die Dateien zugreifen.
Alternativ hätte man das Programm auch als einfacher Nutzer für den bereits ein Konto auf dem NAS existiert auf dem Server laufen lassen können, jedoch traten da dann neue Probleme auf.
Google und co habe nicht genutzt da ich mich mit den Rechten und der Nutzerverwaltung auskenne. Ein Berechtigungssystem auf Benutzer- und Gruppen-Ebene läuft bereits. Nur um den administrativen Aufwand gering zu halten wollte ich nicht noch einen neuen Nutzer nur für den o.g. Speicherpfad einrichten. Chmod 777 war ein Test und keine Dauerlösung, da 777 Rechte ein Sicherheitsrisiko darstellen.
Die Lösung ist recht einfach : Das Remoteverzeichnis (User@NAS) über sshfs/autofs mit den Nutzer und Gruppen IDs des www.data Nutzers des Servers einbinden (sshfs optionen : gid=33,uid=33) . Damit muss kein weiterer Nutzer auf dem NAS angelegt werden und der www-data Nutzer/Programm des Servers kann auf das gemountete Verzeichnis zugreifen ( Rechte 750 ). Der NAS Nutzer wiederum kann ohne weitere Berechtigungen auf die Dateien zugreifen.
Alternativ hätte man das Programm auch als einfacher Nutzer für den bereits ein Konto auf dem NAS existiert auf dem Server laufen lassen können, jedoch traten da dann neue Probleme auf.