PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba-Share lässt sich mounten, aber kein Zugriff



Jurastudent
03.03.05, 11:24
Hallo miteinander

Ich habe hier ein kleines Problem: Nachdem mir in letzter Zeit klar geworden ist, wie leicht es sich von aussen (Internet) in Samba-Shares eindringen lässt, wurde mir etwas unwohl und ich wollte die Freigabe auf dem XP-Rechner (da kann ich nichts dafür) mal richtig "abdichten".

Die erwähnte Freigabe befindet sich auf einem XP (leider auch noch "Home-")Rechner und stellt ein Verzeichnis dar, in dem ich regelmässig Updates meines Linux-Rechners anlege. Da auch die Benutzer auf dem XP-Rechner keinen Zugriff auf das Backupverzeichnis haben sollen, habe ich dort kurzerhand einen User "root" angelegt und mit einem starken Passwort versehen. Danach habe ich den Zugriff auf das Backup-Verzeichnis für alle Benutzer ausser "root" gesperrt und das Verzeichnis im Netzwerk freigegeben.

Ich dachte eigentlich, ich hätte so alles richtig gemacht (obwohl ich zugeben muss, dass ich die Sache mit den Berechtigungen unter Windows nie so ganz verstanden habe :ugly: [warum kann das nicht so einfach wie unter Linux sein?]); das Mounten funktioniert auch tatsächlich, wenn ich als User "root" angebe und sein Passwort, geht das erfolgreich, aber wenn ich danach versuche, auf das Verzeichnis zuzugreifen, erhalte ich

[root@linux ~]# ls /mnt/backup
ls: /mnt/backup: Permission denied

Das Ganze mache ich wie Ihr seht unter Linux als root, denn mein normaler Benutzer braucht aus Sicherheitsgründen keinen Zugriff auf das Backup-Verzeichnis, ausserdem läuft das Backup sowieso per Cronjob von root.

Ich bitte untertänigst um Hilfestellung :).


P.S.: Der Klarheit halber möchte ich erwähnen, dass es mit einer "ganz normalen" Freigabe problemlos klappt, es muss daher irgendwie mit dieser Berechtigungsgeschichte zusammenhängen. So lassen kann ich das nicht, da ich auf dem Linux-Rechner ein paar vertrauliche Daten habe (auf ersterem sollten sie sicher sein, aber eben das Backup...).

----edit----
Hab ich ganz vergessen: Das Samba-Share mounte ich mit
$smbmount //192.168.0.1/$Backup /mnt/backup -o username=root,password=<password>

---edit2----
Sorry, mir ist eben noch etwas aufgefallen:
Wenn ich versuche, das Share mit einem anderen Benutzer zu mounten, der keinen Zugriff darauf hat, erhalte ich ebenfalls keine Fehlermeldung beim Mounten und beim Zugriff dieselbe - es scheint also, als hätte das Mounten doch nicht erfolgreich geklappt.

hubrach
04.03.05, 08:25
Hast Du den User auf der XP Maschine lokal angelegt ?
M.E. mußt du dann auch den Ursprung/Domäne beim mounten mit angeben ..

mount -t smbfs //192.168.0.1/$Backup /mnt/backup -o username=Rechnername\root,password=<password>

Jurastudent
04.03.05, 09:41
Danke dir, hubrach, das habe ich auch bereits so probiert - hat leider ebenfalls nichts gebracht.

Ich habe allerdings mittlerweile den Verdacht, dass ich die Berechtigungen "falsch" gesetzt habe; die Home-Edition (indiskutabel :mad:) hat ja ein beschnittenes Berechtigungsmodell, d.h. man kann nicht einfach über das Kontextmenü im Explorer die Berechtigungen verändern, sondern muss sich mit einem Eingabeaufforderungs-Tool namens cacls herumschlagen, das aber im Vergleich zu CHMOD irgendwie richtig kompliziert ist :ugly:. Ich befürchte, dass dies aber nicht die richtige Art war, die Berechtigungen von Freigaben zu verändern, habe jetzt jedoch eine Seite gefunden, wo auf dieses Problem etwas genauer eingegangen wird (es gibt einen Assistenten namens shrpubw.exe für die Freigaben, damit lassen sich die Berechtigungen einstellen) und hoffe, dass ich damit Erfolg haben werde (bin gerade am Testen).

Jedenfalls danke schon mal, ich werde mich melden, ob es geklappt hat.

craano
04.03.05, 10:07
Wie sieht das denn mit dem Windows Dienst aus, der die Freigabe im Netz zur Verfügung stellt?
Zumindest diesem mußt Du doch entsprechende Rechte erteilen, das er in Deinem Verzeichnis schreiben darf.
Wenn Du allem und jedem außer dem Benutzer "root" die Rechte nimmst, dann kann es meines erachtens nicht funktionieren.

Oder laufen die Systemdienste unter Windows nicht unter einem Systembenutzer oder laufen die eh immer mit Admin Rechten?

Gruß.
craano.

Jurastudent
04.03.05, 10:38
Wie sieht das denn mit dem Windows Dienst aus, der die Freigabe im Netz zur Verfügung stellt?
Zumindest diesem mußt Du doch entsprechende Rechte erteilen, das er in Deinem Verzeichnis schreiben darf.
Wenn Du allem und jedem außer dem Benutzer "root" die Rechte nimmst, dann kann es meines erachtens nicht funktionieren.

Oder laufen die Systemdienste unter Windows nicht unter einem Systembenutzer oder laufen die eh immer mit Admin Rechten?

Gruß.
craano.

Hmm da bin ich jetzt etwas überfragt. Bei den Diensten steht nicht, von welchem Benutzer sie ausgeführt werden, das was du sagst, klingt allerdings einleuchtend. Ich habe es jetzt aber mittlerweile auch so versucht, dass ich nur Administratoren (also allen) den Zugriff erlaube und später sogar so, dass jeder Lesezugriff hat. Selbst dann funktioniert es NICHT :confused:. Das einzige was funktioniert, ist die ganz normale Freigabe über das Kontextmenü, alles andere resultiert in "permission denied". Allerdings scheine ich trotzdem angemeldet zu sein, wenn ich das freigegebene Verzeichnis nämlich verschieben will, kommt eine Meldung, dass noch ein Benutzer angemeldet ist.

Wirklich eigenartig, ich komme echt nicht weiter. Immerhin sind die Freigaben versteckt, sodass ein Angreifer wissen müsste, wie sie heissen und ich da ich mir eigenartige Namen einfallen lasse, stellt das immerhin einen gewissen Schutz dar :ugly:.

Aber befriedigend ist das überhaupt nicht...

Warum ist Windows so kompilizert? :rolleyes:

----edit----
Ich vergass: Die Freigabe befindet sich auf einer NTFS-Partition, daran sollte es also nicht scheitern.