Samba/Unix-Rechte : Welche Strategie ist sinnvoller?

21/08/2007 - 18:43 von Patrick Gerhard Stößer | Report spam
Hallo,

ich setze gerade einen Samba-Server auf. OS ist Debian etch. Auf dem
Server làuft ausschließlich Samba (und sshd , aber nur zur Wartung,
nicht für die User). Nachdem das Einbinden in ein AD wunderbar
funktioniert, habe ich aber nun ein andere Frage. Es geht um die
Rechtegewàhrung in den Freigaben. Ich sehe drei Wege:

[1] Samba-Rechte offen und Zugriffe über Unix-Rechte regeln
[2] Unix-Rechte offen und nur über valid users und write list regeln
[3] beides

[1] hat das Problem, dass fremde User zwar Dateien nicht lesen können,
aber sehen, und Verzeichnisstrukturen und Dateinamen sind ja auch schon
aussagekràftig. Also scheidet das wohl aus. Die Methode kann ja auch nix
sein, dann könnte man ja gleich alle User in eine Freigabe stecken...

[2] ist eigentlich ok, wenn die User keinen Shellzugang haben, was sie
bei mir nicht haben. Die Leute kommen erst gar nicht in fremde Shares.
Aber reichen die Sicherheitsmechanismen von Samba wirklich aus, sind die
bulletproof?

[3] ist sicherlich am sichersten: Gelànge es einem User, die
Beschrànkungen von Samba zu überwinden, so könnte er dennoch nicht auf
die fremden Dateien zugreifen. Nachteil: erhöhte Komplexitàt durch
"doppelte Buchführung" und damit auch eine zusàtzliche Fehlerquelle.

Wie "macht man das" nun nach den anerkannten Regeln der Kunst? KISS,
also Variation 2, also alles auf chmod 777 und valid users sowie read
list bzw. write list regeln den Rest? Oder eher doch 3, mit dem Nachteil
des deutlich erhöhten Aufwandes?

Vielen Dank, mfg, pgs


Neue Wege der Streitbeilegung: Zivile Konfliktbearbeitung
<http://texte.pgs-info.de>
 

Lesen sie die antworten

#1 Timo Freyer
21/08/2007 - 19:23 | Warnen spam
Patrick Gerhard Stößer schrieb:

[1] Samba-Rechte offen und Zugriffe über Unix-Rechte regeln
[2] Unix-Rechte offen und nur über valid users und write list regeln
[3] beides

[1] hat das Problem, dass fremde User zwar Dateien nicht lesen können,
aber sehen, und Verzeichnisstrukturen und Dateinamen sind ja auch schon
aussagekràftig. Also scheidet das wohl aus. Die Methode kann ja auch nix
sein, dann könnte man ja gleich alle User in eine Freigabe stecken...



falls es dir reicht du die Freigaben über homes zu regeln, kannst du mit
'valid users = %S' verhindern das benutzer a das home verzeichnis von
benutzer b einsehen kann


AMD Athlon XP 2400+ | 1011 MB Ram | Kubuntu 7.04 | Opera 9.23 Build 660

[E-Mail Adresse ROT13 Verschlüsselt http://www.rot13.de]

Ähnliche fragen