Lokaler Root-Zugriff aber keine Root-Berechtigungen im Netzwerk?

[kalamazoo]

Ausgangslage: QNAP-NAS als Datei-Server auf dem auch die Familie als Benutzer Zugriff hat. Mein 15-jähriges Töchterchen, das in der Schule Python-Programmierung lernt (und somit in vielem schon mehr Ahnung hat als ich), ist mit Ihren eingeschränkten Berechtigungen (kein Root-Zugriff) auf ihrem eigenen PC mittlerweile mehr als unzufrieden.

Problem: Wie kann ich ihr auf einem im LAN hängenden PC lokal alle Rechte einräumen, ohne dass sie auch das ganze Netzwerk übernehmen kann?

Mir ist unter anderem das Zusammenspiel der verschiedenen Berechtigungen am lokalen Rechner und am NAS nicht wirklich klar (hab da auch nicht wirklich was weiterführenden gefunden, insbesondere nicht hinsichtlich der Verwaltung via ssh). Bei meinem rudimentären Verständnis der QNAP-Rechteverwaltung habe ich jedoch herausgefunden, dass die am lokalen PC angelegte Benutzer-ID alle mit der gleichen ID am NAS angelegten Datein als Eigentümer übernimmt, i.e. wenn Hinz auf seinem PC die UID 1000 hat, dann "gehören" ihm alle Dateien, die Kunz auf dem NAS angelegt hat falls Kunz auf seinem Gerät ebenfalls mit UID 1000 unterwegs ist -- und folglich müsste Hinz mit uid=0 auch alle Administratorenrechte haben.

Ich hoffe, es ist einigermassen klar geworden, worauf ich hinaus will

[heisenberg]

Solange Du kein netzwerkbasiertes Authentifizierungssystem verwendest ist ein lokaler Root-Zugriff nur eben genau das: Lokal und ohne Rechte sonst wo.

Jetzt kommt es noch darauf an, wie Du auf die Daten des NAS zugreifst. Falls da per NFS etwas freigegeben ist, gibt es die Möglichkeit, dass man auf der Freigabe die Option "no_root_squash" setzt. Vorgabe wäre das Gegenteil. root_squash heisst, dass der Benutzer Root einem anderen Benutzer zugeordnet wird. Ich meine das wäre per Vorgabe "nobody", damit genau das, was Du befürchtest nicht passiert: D. h. dass ein lokaler root in der NFS-Freigabe Dateien mit root-Berechtigungen überschreiben kann. Aber wie geschrieben: So etwas müsstest Du aktiv konfiguriert haben und solltest es also daher wissen.

Ein weitere dumme Möglichkeit wäre, dass alle root-Passwörter aller System identisch sind. Wenn Du das Passwort natürlich weiter gibst, hat Sie Zugriff auf alles. Soweit so vorhersehbar.

Ich sehe da kein Problem darin, dass Sie Ihr root-pw bekommt.

[kalamazoo]

Solange Du kein netzwerkbasiertes Authentifizierungssystem verwendest ist ein lokaler Root-Zugriff nur eben genau das: Lokal und ohne Rechte sonst wo.

Das heisst, ich muss eigentlich nichts ändern. Ein netzwerkbasiertes Authentifizierungssystem wird wohl vom NAS aus gesteuert.

Wenn ich Dich richtig verstanden habe, verhindert ein no_root_squash, dass ein Remote-Root Vollzugriff auf das NAS erhält; man setzt das wohl auch am NAS, aber wie?
Weiters: hier warnt man davor, ist das relevant?

https://serverfault.com/questions/65344 ... oot-squash meint: "rather than setting no_root_squash instead you want to set root=, and designate some specific clients to act as root" -- ähnliche Frage wir oben: wo und wie würde ich das per ssh-CLI machen?

Ein weitere dumme Möglichkeit wäre, dass alle root-Passwörter aller System identisch sind.

Ja, das ist auch der Grund, dass ich beim NAS-Zugriff von verschiedenen Systemen mit allen lokalen roots die gleichen Rechte habe. Wie das bei einem root mit anderem Passwort aussieht, hat ich noch nicht getestet.

Kennt übrigens jemand ein grundlegendes Manual für die Verwaltung eines NAS via CLI? Bei dem QNAP-DE ist alles sehr bunt und etwas unübersichtlich, da dauert es, bis man das richtige Häkchen gefunden hat.

[MSfree]

Wenn ich Dich richtig verstanden habe, verhindert ein no_root_squash, dass ein Remote-Root Vollzugriff auf das NAS erhält; man setzt das wohl auch am NAS, aber wie?

Ein remote-root hat niemals Vollzugriff auf das NAS. Er hat höchstens Zugriff auf das Dateisystem. Ich würde unter Vollzugriff näämlich verstehen, daß er auch Zugriff auf eine remote Shell oder andere Administrationsprogramme hat.

Diese NASen geben ja auch nicht ihr komplettes Dateisystem frei sondern nur den Teil, der von remote Benutzern beschrieben werden darf. An Konfigurationsdateien, die typischerweise unter /etc stehen, kommt der remote-root also sowieso nicht ran solange er sich nicht via Shell einlogt, und das kann man durch ein Passwort verhindern, das nicht dasjenige ist, das ein lokaler root auf seinem Rechner hat.