Samba: Ändern Directory/File-Permissions verbieten

[TomL]

Moin

Ist es möglich, dem User auf einem Samba-Share das Ändern der File-Permissions zu verbieten? Wenn ganz regulär eine Datei anlegt wird, hat sie zunächst die in der smb.conf eingestellten Rechte. Aber es ist dem User problemlos möglich nachträglich diese Rechte zu verändern. Gibt es eine Möglichkeit, das zu verhindern? Ebenso, wenn ich eine Datei erlaubterweise in einen Samba-Share reinkopiere... zuerst wird sie korrekt angelegt, dann bekommt sie die gleichen Rechte, die sie zuvor auf der Quelle hatte.

Ich möchte erreichen, dass auf einigen Shares grundsätzlich für Dir's rwx,rwx,--- angelegt wird. Und alle Files erhalten rw-,rw-,---. Die Zugriffe sind dann weiter über Mitgliedschaft in entsprechenden Gruppen geregelt. Das funktioniert eigentlich alles genau so, wie es soll.... nur kann sich jeder User darüber hinwegsetzen, weil er selber die Rechte verändern kann. Wie kann ich verhindern, dass ein User kurzerhand bei "Others" ebenfalls "rwx" einträgt, oder dass das einfach mitkommt, weil er eine Datei mit diesen Rechten kopiert.

[Christoph Franzen]

Du könntest alle Benutzer in eine Gruppe – nennen wir sie mal „Sambanutzer“ – stecken und einen weiteren Benutzer „darfnix“ anlegen. Das Verzeichnis gehört „darfnix:Sambanutzer“ und Berechtigungen werden per SGID/ACL vererbt. Samba läßt Du nun neue Dateien/Verzeichnisse zwangsweise „darfnix:Sambanutzer“ übereignen. Das Verfahren geht nur, wenn das Verzeichnis ein reiner Server-Speicherplatz zur gemeinsamen Nutzung ist, bei dem egal ist, welche Dateien von wem da abgelegt worden sind. Das bewirkt, daß eine Datei, sobald einmal erschaffen, nicht mehr ihrem Schöpfer gehört, der die Rechte dann nicht mehr ändern darf. Schreiben und Lesen kann man über die Gruppenrechte weiterhin gestatten.

[Dimejo]

Ich möchte erreichen, dass auf einigen Shares grundsätzlich für Dir's rwx,rwx,--- angelegt wird. Und alle Files erhalten rw-,rw-,---. Die Zugriffe sind dann weiter über Mitgliedschaft in entsprechenden Gruppen geregelt. Das funktioniert eigentlich alles genau so, wie es soll.... nur kann sich jeder User darüber hinwegsetzen, weil er selber die Rechte verändern kann. Wie kann ich verhindern, dass ein User kurzerhand bei "Others" ebenfalls "rwx" einträgt, oder dass das einfach mitkommt, weil er eine Datei mit diesen Rechten kopiert.

Sieh Dir mal diesen Blog-Beitrag an. Dort wird beschrieben wie Du mit security mask/security mode das nachträgliche Ändern der Rechte verhindern kannst.

[TomL]

Sieh Dir mal diesen Blog-Beitrag an. Dort wird beschrieben wie Du mit security mask/security mode das nachträgliche Ändern der Rechte verhindern kannst.

Der Blog ist leider nicht mehr aktuell. Die 4 Security-Parameter sind seit Samba 4.0 nicht mehr enthalten. Man kann das hier nachlesen:
https://www.samba.org/samba/docs/man/ma ... onf.5.html
Und genau das war der Punkt, warum ich mich hier ans Forum gewendet habe.... ob es dafür alternativen gibt.