Wie default Besitzer setzen?

nEiMi · Beitrag von **nEiMi** » 12.10.2006 12:13:55

Hallihallo,

ich habe einen Samba-Dateiserver am laufen, jetzt sollen jedoch noch die Zugriffsrechte festgelegt werden.

mein Share [data] hat ein Unterverzeichnis "music" das root gehört und mit verschiedenen ACL´s versehen ist, nun sollen alle Dateien und Verzeichnisse die in dem Unterverzeichnis "music" erstellt werden wieder root gehören!

Wie kann ich das bewerkstelligen?
Gibt es einen Sambaparameter oder kann ich den "Default Besitzer" irgendwie anders definieren?

Hab schon die Suchfunktion und auch Google bemüht, aber leider nichts gefunden!

Six · Beitrag von **Six** » 12.10.2006 17:36:10

nEiMi hat geschrieben: Hab schon die Suchfunktion und auch Google bemüht, aber leider nichts gefunden!

Das kann nur am Suchstring liegen, versuche mal "samba force user".

nEiMi · Beitrag von **nEiMi** » 13.10.2006 08:15:38

Hallo und erstmal danke für deine Antwort!

Diese beiden Parameter hatte ich schon gefunden, aber leider ist das nicht dass was ich will!
Denn mit den beiden Parametern "force user" und "force group" werden ja nicht nur die Dateien mit den angegebenen Besitzer bzw. Besitzergruppe erstellt, sondern man hat dann die kompletten Rechte des definierten Users und so kann ich dann den Zugriff per ACL´s nicht mehr begrenzen!

Trotzdem Danke, aber vielleicht hat jemand eine andere Lösung

Six · Beitrag von **Six** » 13.10.2006 19:13:46

Hmh, mit ACLs kenne ich mich kaum aus. Wenn es genügen würde, daß alle Dateien im Share derselben Gruppe gehören, dann könnte das setgid Bit helfen. Dazu mußt du in die Sharekonfiguration diese Zeile aufnehmen.

Code: Alles auswählen

force directory mode = 4775

Statt 775 wählst du einfach die Berechtigungen, die du gerne hättest.

nEiMi · Beitrag von **nEiMi** » 19.10.2006 08:27:27

Also, hab jetzt mal ein bischen nach "setgid" bzw. dann auch "setuid" gegoogelt und ich denke das ich zumindest das "setgid" weiterhelfen könnte

http://www.easylinux.de/2005/10/060-rechte/ hat geschrieben:Ist ein Verzeichnis mit dem SetGID-Attribut versehen, gehören alle in diesem Ordner neu angelegten Dateien automatisch der Gruppe, die auch das Verzeichnis besitzt. Das SetUID-Attribut dagegen ignoriert Linux im Falle von Verzeichnissen.

nun würde ich somit das "setgid"-Bit auf den Ordner music setzen und somit werden dann alle Unterverzeichnisse/Dateien mit der Benutzergruppe(root) erstellt die auch music hat, der Besitzer wird allerdings der der das Verzeichnis bzw. die Datei erstellt!
Oder versteh ich das richtig?

jhr-online · Beitrag von **jhr-online** » 19.10.2006 09:04:11

Ich vermute, das siehst du richtig, aber ich würde die Sachen nicht root schenken. Mir gefällt es grundsätzlich nicht, wenn root in den Daten so oft auftaucht. Das klingt so danach, als wolle root dann mal per ftp oder so ran und dreht sich mir der Magen um...

Außerdem kann er sich die Sachen ja auch so holen. Kannst ja eine Gruppe definieren dafür; für die kannst du dann ja auch sehr flexibel Rechte setzen...

jhr

Six · Beitrag von **Six** » 19.10.2006 13:15:00

nEiMi hat geschrieben:Also, hab jetzt mal ein bischen nach "setgid" bzw. dann auch "setuid" gegoogelt und ich denke das ich zumindest das "setgid" weiterhelfen könnte
http://www.easylinux.de/2005/10/060-rechte/ hat geschrieben:Ist ein Verzeichnis mit dem SetGID-Attribut versehen, gehören alle in diesem Ordner neu angelegten Dateien automatisch der Gruppe, die auch das Verzeichnis besitzt. Das SetUID-Attribut dagegen ignoriert Linux im Falle von Verzeichnissen.
nun würde ich somit das "setgid"-Bit auf den Ordner music setzen und somit werden dann alle Unterverzeichnisse/Dateien mit der Benutzergruppe(root) erstellt die auch music hat, der Besitzer wird allerdings der der das Verzeichnis bzw. die Datei erstellt!
Oder versteh ich das richtig?

Uni Bayreuth hat geschrieben:Setgid bei Directories
Das Setgid-Bit bei Directories bewirkt, daß alle in diesem Dierctory neu angelegten Dateien und Unterverzeichnisse nicht der Gruppe, der der anlegende Prozeß angehört, zugeordnet werden, sonder der Gruppe, zu der das Directory gehört.

http://www.rz.uni-bayreuth.de/lehre//un ... etuid.html

Beachte, daß Samba zwingend den oben erwähnten Eintrag im Share braucht, damit das Share auch das SETGID-Bit beachtet.

nEiMi · Beitrag von **nEiMi** » 19.10.2006 13:17:39

Aber was spricht den dagegen das die Dateien der Benutzergruppe root zugeordnet werden?
Somit hat root darauf immer Zugriff und die restlichen Rechte der verschiedenen Gruppen setze ich mit ACL´s!

Bin aber gerne für Verbesserungsvorschläge offen!

nepos · Beitrag von **nepos** » 19.10.2006 13:25:40

Root hat eh immer Zugriff, egal was du da an Rechten draufpackst.

nEiMi · Beitrag von **nEiMi** » 20.10.2006 16:57:00

Hallo nochmal,
also meine Rechte sehen jetzt so aus:

Code: Alles auswählen

Debian:/mnt/data# ls -la
insgesamt 48
drwxr-xr-x  6 root root  4096 2006-10-02 11:08 .
drwxr-xr-x  4 root root  4096 2006-09-25 19:37 ..
drwx------  2 root root 16384 2006-09-22 12:27 lost+found
drwxrws---+ 2 root root  4096 2006-10-02 17:42 movies
drwxrws---+ 3 root root  4096 2006-10-20 16:40 music
drwxrws---+ 2 root root  4096 2006-10-02 12:55 pictures
Debian:/mnt/data# getfacl pictures
# file: pictures
# owner: root
# group: root
user::rwx
group::rwx
group:smb-ms-admin:rwx
group:smb-poweruser:rwx
group:smb-user:rwx
mask::rwx
other::---
default:user::rwx
default:group::rwx
default:group:smb-ms-admin:rwx
default:group:smb-poweruser:rwx
default:group:smb-user:rwx
default:mask::rwx
default:other::---

und hier noch die Freigabe in der /etc/samba/smb.conf:

Code: Alles auswählen

[data]
   comment = pictures music movies
   path = /mnt/data
   guest ok = no
   writeable = yes

Es funktioniert auch(fast) alles so wie ich mir das nun vorgestellt habe:
-die festgelegten Gruppen können Dateien/Verzeichnisse erstellen/verändern/löschen
-die Hauptordner(music, pictures, movies) können nicht gelöscht werden

jedoch wenn ich versuche die Hauptordner zu löschen schlägt dies zwar fehl, jedoch wird der komplette Inhalt der Ordner gelöscht.
Wie kann ich das verhindern?

-auch kann ich von Windows auch z.B. der Gruppe smb-ms-admin alle Rechte entziehen
hab mal im Windows ne Testdatei angelegt und die Rechte weggenommen, sieht dann im putty so aus:

Code: Alles auswählen

Debian:/mnt/data/pictures# getfacl *
# file: IMG_3380.JPG
# owner: christian
# group: root
user::rwx
group::rwx
group:smb-poweruser:rwx
group:smb-user:rwx
mask::rwx
other::r--

doch Admin, Mitglied der Gruppe smb-ms-admin kann die datei immer noch Öffnen/Bearbeiten/löschen

was mach ich falsch?

Danke schonmal für eure Hilfe

nEiMi · Beitrag von **nEiMi** » 25.10.2006 17:11:05

Kann mir denn wirklich niemand sagen warum die Benutzer trotz der Entziehung der Rechte noch Zugriff auf die Dateien/Verzeichnisse haben?

Six · Beitrag von **Six** » 25.10.2006 17:21:58

Wie gesagt, ich kenne mich mit ACLs (weder POSIX noch WIN) nicht wirklich aus. Meine Tips wandeln daher auf normalen UNIX-Pfaden. Lasse dir spaßeshalber mal die Gruppenmitgliedschaft von smb-admin anzeigen, vielleicht kommen wir damit weiter.

Code: Alles auswählen

groups smb-admin

nEiMi · Beitrag von **nEiMi** » 25.10.2006 19:30:04

Erstmal danke das du mir nochmal hilfst oder zumindest helfen willst

hier mal die gewünschte Ausgabe

Code: Alles auswählen

Debian:/# groups admin
admin : smb-ms-admin

also admin ist nur in der einen Gruppe Mitglied, an dem sollte es also nicht liegen.

bin echt am Verzweifeln

könnte es sein das ich in der Sambaconfiguration etwas falsch gesetzt bzw. etwas nicht gesetzt habe das ich evtl. bräuchte?

debianforum.de

Wie default Besitzer setzen?

Wie default Besitzer setzen?

Re: Wie default Besitzer setzen?