Patrick Gerhard Stößer
08-21-2007, 05:43 PM
Hallo,
ich setze gerade einen Samba-Server auf. OS ist Debian etch. Auf dem
Server läuft ausschließlich Samba (und sshd , aber nur zur Wartung,
nicht für die User). Nachdem das Einbinden in ein AD wunderbar
funktioniert, habe ich aber nun ein andere Frage. Es geht um die
Rechtegewährung in den Freigaben. Ich sehe drei Wege:
[1] Samba-Rechte offen und Zugriffe über Unix-Rechte regeln
[2] Unix-Rechte offen und nur über valid users und write list regeln
[3] beides
[1] hat das Problem, dass fremde User zwar Dateien nicht lesen können,
aber sehen, und Verzeichnisstrukturen und Dateinamen sind ja auch schon
aussagekräftig. Also scheidet das wohl aus. Die Methode kann ja auch nix
sein, dann könnte man ja gleich alle User in eine Freigabe stecken...
[2] ist eigentlich ok, wenn die User keinen Shellzugang haben, was sie
bei mir nicht haben. Die Leute kommen erst gar nicht in fremde Shares.
Aber reichen die Sicherheitsmechanismen von Samba wirklich aus, sind die
bulletproof?
[3] ist sicherlich am sichersten: Gelänge es einem User, die
Beschränkungen von Samba zu überwinden, so könnte er dennoch nicht auf
die fremden Dateien zugreifen. Nachteil: erhöhte Komplexität durch
"doppelte Buchführung" und damit auch eine zusätzliche Fehlerquelle.
Wie "macht man das" nun nach den anerkannten Regeln der Kunst? KISS,
also Variation 2, also alles auf chmod 777 und valid users sowie read
list bzw. write list regeln den Rest? Oder eher doch 3, mit dem Nachteil
des deutlich erhöhten Aufwandes?
Vielen Dank, mfg, pgs
--
Neue Wege der Streitbeilegung: Zivile Konfliktbearbeitung
<http://texte.pgs-info.de>
ich setze gerade einen Samba-Server auf. OS ist Debian etch. Auf dem
Server läuft ausschließlich Samba (und sshd , aber nur zur Wartung,
nicht für die User). Nachdem das Einbinden in ein AD wunderbar
funktioniert, habe ich aber nun ein andere Frage. Es geht um die
Rechtegewährung in den Freigaben. Ich sehe drei Wege:
[1] Samba-Rechte offen und Zugriffe über Unix-Rechte regeln
[2] Unix-Rechte offen und nur über valid users und write list regeln
[3] beides
[1] hat das Problem, dass fremde User zwar Dateien nicht lesen können,
aber sehen, und Verzeichnisstrukturen und Dateinamen sind ja auch schon
aussagekräftig. Also scheidet das wohl aus. Die Methode kann ja auch nix
sein, dann könnte man ja gleich alle User in eine Freigabe stecken...
[2] ist eigentlich ok, wenn die User keinen Shellzugang haben, was sie
bei mir nicht haben. Die Leute kommen erst gar nicht in fremde Shares.
Aber reichen die Sicherheitsmechanismen von Samba wirklich aus, sind die
bulletproof?
[3] ist sicherlich am sichersten: Gelänge es einem User, die
Beschränkungen von Samba zu überwinden, so könnte er dennoch nicht auf
die fremden Dateien zugreifen. Nachteil: erhöhte Komplexität durch
"doppelte Buchführung" und damit auch eine zusätzliche Fehlerquelle.
Wie "macht man das" nun nach den anerkannten Regeln der Kunst? KISS,
also Variation 2, also alles auf chmod 777 und valid users sowie read
list bzw. write list regeln den Rest? Oder eher doch 3, mit dem Nachteil
des deutlich erhöhten Aufwandes?
Vielen Dank, mfg, pgs
--
Neue Wege der Streitbeilegung: Zivile Konfliktbearbeitung
<http://texte.pgs-info.de>