The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Samba настройка прав"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Samba, вопросы интеграции Unix и Windows (Samba)
Изначальное сообщение [ Отслеживать ]

"Samba настройка прав"  +/
Сообщение от wsnet (ok) on 12-Дек-11, 22:05 
Всем доброго времени!
Никак не могу разобраться с правами в самбе, уже голова кипит, в чем дело не понимаю

Собственно, имею конфиг smb.conf:

    [global]
    WORKGROUP= workgroup
    security = share
    и NETBIOS log т.д определяю

    [share]
    comment = Public Folder
    valid users = user1 user2
    path = /data/share
    writeable = yes ;Разрешаем доступ на запись
    directory mask = 0755
    create mask = 0744


1)Собственно на папку /data/share даю доступ chmod 777
2)Далее создаю двоих указанных юзверов в системе и самбе соответственно.
3)Захожу в винде под одним из них - под user1 и захожу в свою расшарку, далее поскольку запись разрешена создаю директорию USER1

В freebsd смотрю доступ на созданную папку - хозяин мой юзер под которым я зашел, группа -wheel, владельцу доступ 7, группе и всем остальным - 5, т.е на созданную папку выставлены следующие расширения:

USER1 user1:wheel drwxr-xr-x

4)Захожу под вторым юзером - user2 удаляю директорию USER1, созданную первым юзеров в расшарке - так ведь удаляется!!! - несмотря на все права в unix.

Поясните кто-нибудь я ожидал другого эффекта - что директория из под другого юзера не даст удалить чужие директории!
Читал эту статью http://www.k-max.name/windows/samba-in-domain-active-directory/
там также написано что удалять директории не получится!

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Samba настройка прав"  +/
Сообщение от JohnProfic (ok) on 13-Дек-11, 16:21 
>[оверквотинг удален]
> 2)Далее создаю двоих указанных юзверов в системе и самбе соответственно.
> 3)Захожу в винде под одним из них - под user1 и захожу
> в свою расшарку, далее поскольку запись разрешена создаю директорию USER1
> В freebsd смотрю доступ на созданную папку - хозяин мой юзер под
> которым я зашел, группа -wheel, владельцу доступ 7, группе и всем
> остальным - 5, т.е на созданную папку выставлены следующие расширения:
> USER1 user1:wheel drwxr-xr-x
> 4)Захожу под вторым юзером - user2 удаляю директорию USER1, созданную первым юзеров
> в расшарке - так ведь удаляется!!! - несмотря на все права
> в unix.

Какие права Unix? В 1 пункте указано, что права на каталог /data/share 777. Если создать вложенный каталог в каталоге USER1 или присвоить всему каталогу /data/share sticky-bit то тогда, возможно, будет как хочется.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Samba настройка прав"  +/
Сообщение от wsnet (ok) on 13-Дек-11, 19:16 
>[оверквотинг удален]
>> В freebsd смотрю доступ на созданную папку - хозяин мой юзер под
>> которым я зашел, группа -wheel, владельцу доступ 7, группе и всем
>> остальным - 5, т.е на созданную папку выставлены следующие расширения:
>> USER1 user1:wheel drwxr-xr-x
>> 4)Захожу под вторым юзером - user2 удаляю директорию USER1, созданную первым юзеров
>> в расшарке - так ведь удаляется!!! - несмотря на все права
>> в unix.
> Какие права Unix? В 1 пункте указано, что права на каталог /data/share
> 777. Если создать вложенный каталог в каталоге USER1 или присвоить всему
> каталогу /data/share sticky-bit то тогда, возможно, будет как хочется.

Да все это применительно к правам Unix просто поясните в Unix права я привел на папку USER1:
USER1 user1:wheel drwxr-xr-x

Как другой пользователь может удалить эту папку ?
У него ведь нет на это прав, а все равно папка удаляется, то есть удаляю я ее под виндой, в unix проверяю действительно папка удаляется.
Это с разумом никак моим не сочитается.....

Может поясните как такое вообще возможно ???

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Samba настройка прав"  +/
Сообщение от JohnProfic (ok) on 13-Дек-11, 19:24 
> Да все это применительно к правам Unix просто поясните в Unix права
> я привел на папку USER1:
> USER1 user1:wheel drwxr-xr-x
> Как другой пользователь может удалить эту папку ?
> У него ведь нет на это прав, а все равно папка удаляется,
> то есть удаляю я ее под виндой, в unix проверяю действительно
> папка удаляется.
> Это с разумом никак моим не сочитается.....
> Может поясните как такое вообще возможно ???

Есть у него на это все права. Для того, чтобы удалить объект в ФС нужно иметь права на запись в РОДИТЕЛЬСКИЙ каталог. Что собственно в данном случае и имеем. В данном случае системе начхать на права на сам объект, если, конечно, не установлен бит липкости (sticky-bit).

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Samba настройка прав"  +/
Сообщение от wsnet (ok) on 13-Дек-11, 20:19 
>[оверквотинг удален]
>> У него ведь нет на это прав, а все равно папка удаляется,
>> то есть удаляю я ее под виндой, в unix проверяю действительно
>> папка удаляется.
>> Это с разумом никак моим не сочитается.....
>> Может поясните как такое вообще возможно ???
> Есть у него на это все права. Для того, чтобы удалить объект
> в ФС нужно иметь права на запись в РОДИТЕЛЬСКИЙ каталог. Что
> собственно в данном случае и имеем. В данном случае системе начхать
> на права на сам объект, если, конечно, не установлен бит липкости
> (sticky-bit).

JohnProfic реально мозги мне вправили!

То есть чтобы такого не было надо на шару выставить:
chmod 1777 share

То есть этой командой и поднимается sticky-bit ?


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Samba настройка прав"  +/
Сообщение от wsnet (ok) on 13-Дек-11, 20:58 
>[оверквотинг удален]
>>> Может поясните как такое вообще возможно ???
>> Есть у него на это все права. Для того, чтобы удалить объект
>> в ФС нужно иметь права на запись в РОДИТЕЛЬСКИЙ каталог. Что
>> собственно в данном случае и имеем. В данном случае системе начхать
>> на права на сам объект, если, конечно, не установлен бит липкости
>> (sticky-bit).
> JohnProfic реально мозги мне вправили!
> То есть чтобы такого не было надо на шару выставить:
> chmod 1777 share
> То есть этой командой и поднимается sticky-bit ?

Попробывал сейчас установить стик-бит на директорию пользователя - все равно директория удаляется другим юзером....

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Samba настройка прав"  +/
Сообщение от JohnProfic (ok) on 13-Дек-11, 21:24 
>>> в ФС нужно иметь права на запись в РОДИТЕЛЬСКИЙ каталог. Что
>>> собственно в данном случае и имеем. В данном случае системе начхать
>>> на права на сам объект, если, конечно, не установлен бит липкости
>>> (sticky-bit).
>> JohnProfic реально мозги мне вправили!
>> То есть чтобы такого не было надо на шару выставить:
>> chmod 1777 share
>> То есть этой командой и поднимается sticky-bit ?
> Попробывал сейчас установить стик-бит на директорию пользователя - все равно директория
> удаляется другим юзером....

Упс, не до конца правильно написал: бит липкости нужно устанавливать на каталог В КОТОРОМ нужно запретить удаление файлов не их владельцами.
"The restricted deletion flag or sticky bit is a single bit, whose interpretation depends on the file type. For directories, it prevents unprivileged users from removing or renaming a file in the directory unless they own the file or the directory; this is called the restricted deletion flag for the directory, and is commonly found on world-writable directories like /tmp." (с) http://linux.die.net/man/1/chmod

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Samba настройка прав"  +/
Сообщение от wsnet (ok) on 13-Дек-11, 22:17 
>[оверквотинг удален]
>> Попробывал сейчас установить стик-бит на директорию пользователя - все равно директория
>> удаляется другим юзером....
> Упс, не до конца правильно написал: бит липкости нужно устанавливать на каталог
> В КОТОРОМ нужно запретить удаление файлов не их владельцами.
> "The restricted deletion flag or sticky bit is a single bit, whose
> interpretation depends on the file type. For directories, it prevents unprivileged
> users from removing or renaming a file in the directory unless
> they own the file or the directory; this is called the
> restricted deletion flag for the directory, and is commonly found on
> world-writable directories like /tmp." (с) http://linux.die.net/man/1/chmod

Вообщем проблему решил.
JohnProfic огромный вам респект!

Поставил маску в smb.conf
create mode = 1744
directory mode = 1755

а также на шару корневую
chmod 1777 share

И все заработало вроде бы!


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру