Thanks Thanks:  0
Ergebnis 1 bis 3 von 3
  1. #1
    Mitglied
    Registriert seit
    04.03.2016
    Beiträge
    66
    Thanks (gegeben)
    10
    Thanks (bekommen)
    1
    Total Downloaded
    0
    Total Downloaded
    0
    ReceiverDanke
    Box 1:
    Red Eagle Twinbox LCD
     
     

    Frage zu Benutzerrechten

    Hallo zusammen,

    ich benutze aktuell ein Image 6.2 und will dem User "kids" die Rechte einschränken bis auf das Movie-Verzeichnis. Offen gesagt versteh ich nicht ganz wie ich das machen muss.

    Folgende Zusammenhänge hab ich mir zusammengesucht um es zu verstehen, aber ich hänge fest. Könnte jemand sagen wo es hakt?


    Standard im Image V6.2 (und den späteren?) st eine unsichere Konfiguration mit SMBV1 und NetBIOS aktiviert, alle Zugriffe sind erlaubt und laufen als root.

    Das wird durch die /etc/samba/smb.conf gesteuert, dieses File bindet die Angaben aus /etc/samba/smb-global.conf ein. In der smb-global.conf werden die Angaben aus den folgenden Files in dieser Reihenfolge eingebunden:

    smb-global-conf - Auszug
    Code:
        include = /etc/samba/distro/smb-branding.conf 
        include = /etc/samba/distro/smb-shares.conf 
        include = /etc/samba/distro/smb-vmc.conf
        include = /etc/samba/smb-user.conf
    In der etc/samba/smb-user.conf ist die Einbindung der /etc/samba/distro/smb-secure.conf standardmäßig auskommentiert.

    Code:
    [global] 
    #       include = /etc/samba/distro/smb-secure.conf
    So lange dies so ist (default) wirkt die Angabe aus der ersten include Zeile der /etc/samba/smb-global.conf (siehe oben), die auf die Angabe aus smb-branding.conf verweist. Dort in der smb-branding.conf ist die smb-insecure.conf aktiviert mit den folgenden Einträgen:

    Code:
    [global] 
            server string = OpenATV %h network services 
     
    #       include = /etc/samba/distro/smb-secure.conf 
            include = /etc/samba/distro/smb-insecure.conf
    Wenn man also in der /etc/samba/smb-user.conf die auskommentierte Zeile "aktiviert" (=den hash entfernt), werden die Zuweisungen aus der "include" der smb-insecure.conf durch die Zuweisungen der "include" der smb-secure.conf ersetzt (diese Zuweisung erfolgt später). Damit ist User Level Security erreicht.

    Beachten, dass NUR Anpassungen in der smb-user.conf vorgesehen sind. Diese werden mitgesichert. Änderungen in anderen Dateien werden bei Updates überschrieben und sind auch nicht vorgesehen. Da die smb-user.conf als letztes per "include" eingebunden wird, ersetzen deren Zuweisungen die aus den der vorigen .conf Dateien.

    So weit meine selbst ermittelten "Weisheiten". Passt das?

    Mit diesen unten stehenden Codeblöcken in der /etc/samba/smb-user.conf werden weitere Zugriffsrechte gesteuert, aber wie exakt schränke ich nun den Zugriff des "kids" Users ein, damit er nur auf das Verzeichnis /media/hdd/movie Zugriff hat?

    Wäre schön, wenn jemand helfen könnte.

    Code:
    [Root] 
    #       veto files = /ThisBox/OtherBox/AnotherBox/YetAnotherBox/ 
    #       hide files = /ThisBox/OtherBox/AnotherBox/YetAnotherBox/ 
            comment = Everything - take care! 
            path = / 
            guest ok = yes 
            read only = no 
            valid users = root 
            admin users = root 
            force create mode = 600 
            force directory mode = 700 
    #    force security mode = 600 
    #    force directory security mode = 700 
            wide links = yes 
            follow symlinks = yes 
     
    [Harddisk] 
    #       veto files = /ThisBox/OtherBox/AnotherBox/YetAnotherBox/ 
    #       hide files = /ThisBox/OtherBox/AnotherBox/YetAnotherBox/ 
            comment = The harddisk 
            path = /media/hdd 
            guest ok = yes 
            read only = no 
            valid users = root kids 
            admin users = root 
            force create mode = 0600 
            force directory mode = 0700 
    #    force security mode = 600 
    #    force directory security mode = 700 
            wide links = yes 
            follow symlinks = yes 
     
    [USB] 
        comment = The USB or 2nd USB if 1st is HDD 
         path = /media/usb 
         read only = no 
        public = yes 
        guest ok = yes 
        valid users = root kids 
        admin users = root 
        force create mode = 600 
        force directory mode = 700 
        force security mode = 600 
    #    force security mode = 600 
    #    force directory security mode = 700 
        wide links = yes 
            follow symlinks = yes
    Geändert von jumo (30.06.2020 um 22:32 Uhr)

    •   Alt Advertising

       

  2. #2
    Avatar von Papi2000
    Registriert seit
    20.04.2013
    Beiträge
    24.824
    Thanks (gegeben)
    4679
    Thanks (bekommen)
    9077
    Total Downloaded
    596,61 MB
    Total Downloaded
    596,61 MB
    ReceiverDanke
    Box 1:
    GB Q4K-SC / UE4K-SC / UE4K-C
     
     
    Box 2:
    GigaBlue Q-SSC / Q+-SSC
     
     
    Box 3:
    DM900uhd-SS / Vu+Duo
     
     
    Box 4:
    ZGemma H7/H9 SF8008
     
     
    Box 5:
    diverse andere . . .
     
     
    Den User "kids" aus den bisherigen Freigaben rausnehmen.
    Dann eine neue Zugriffsfreigabe nur für den User "kids" anlegen, und dessen Passwort auf der Konsole der Box mit "smbpasswort -a kids" definieren.
    Code:
    ...
    #
    #
    [Kidsfiles] 
            comment = The Kids Files
            path = /media/hdd/movie 
            guest ok = no
            read only = no 
            valid users = kids 
            admin users = root 
            force create mode = 0600 
            force directory mode = 0700 
            wide links = no
            follow symlinks = no
    #
    #
    Damit hast du den Kids den Ordner unter separatem Namen [Kidsfiles] freigegeben, und sie darin "beschränkt".

    Man muß nicht nur die Standards benutzen. In älteren Windows-Versionen kann man das noch so auf einer Komandozeile sehen:
    Code:
    ...
    c:\>net view gbquad4k-3
    Freigegebene Ressourcen auf gbquad4k-3
    
    OpenATV GBQuad4k-3 network services
    
    Freigabename  Typ     Verwendet als  Kommentar
    
    -------------------------------------------------------------------------------
    Harddisk      Platte  (UNC)          The harddisk
    Harddisk1     Platte                 The harddisk behind
    Root          Platte  (UNC)          Everything - take care!
    SDCard        Platte                 The SDCard-Slot
    USBStick      Platte                 The Stick behind
    Der Befehl wurde erfolgreich ausgeführt.
    Geändert von Papi2000 (01.07.2020 um 02:48 Uhr)
    Grüßle
    Ralf
    ---------------------------------------------
    Gigablue Quad4K-mixed, UE4K, Trio4K, Quad_Plus-SSC, UE_Plus-SC, X2/X3-SC, UltraUE-SC, ...
    Astra 19.2E UniCable & KabelBW, oATV/teamBlue
    (u.a.: DM900uhd,Vu+Duo,ZGemma H9Twin & H7S), PC-DVB-S/C/T, Xtreamer, BDP5200, Philips 24PFS4022/12, 65OLED855/12,UE32C5700, RPi3+
    ---- Einen Receiver kann sich jeder kaufen - Eine stabile E²-Box muß man sich verdienen! ----



  3. #3
    Mitglied
    Registriert seit
    04.03.2016
    Beiträge
    66
    Thanks (gegeben)
    10
    Thanks (bekommen)
    1
    Themenstarter
    Total Downloaded
    0
    Total Downloaded
    0
    ReceiverDanke
    Box 1:
    Red Eagle Twinbox LCD
     
     
    Super! Herzlichen Dank.

    Mit den Ãnderungen in der smb-user.conf wars schon getan. Wieder was gelernt, bin davon ausgegangen, dass irgendwas anderes auch nicht passt, da ich mich als "kids" nicht auf der Maschine anmelden konnte. Hab nicht dran gedacht, dass der User kids "/bin/false" als Login-Shell in der "/etc/passwd" stehen hat.

    Den User kids gabs in der Samba Benutzerdatenbank schon (via pdbedit -L -w geschaut), ich nehme an dass die Synchronisation per libpam-smpassd oder sowas installiert ist. Das "smbpasswd -a kids" war gar nicht nötig.

    Beste Grüße
    Stefan


Stichworte

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Alle Zeitangaben in WEZ +1. Es ist jetzt 21:14 Uhr.
Powered by vBulletin® Version 4.2.5 (Deutsch)
Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.
Resources saved on this page: MySQL 5,26%
Parts of this site powered by vBulletin Mods & Addons from DragonByte Technologies Ltd. (Details)
vBulletin Skin By: PurevB.com