PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Fedora / Samba - Nur Home Verzeichnis



Sonixx
19.05.08, 00:36
Moin

Erstmal sorry - Ich bin Umsteiger und hab grad XP hinter mir gelassen. Nach vielem gegoogle hab ich schon so einiges erreicht, meist einfacher als man denken mag doch bereiten mir einige Probleme wirklich Kopfzerbrechen. So zum Beispiel Samba.

Genug zur Einleitung, hier mein Problem :

Ich habe auf meinem Linux Rechner Samba über den Paketmanager installiert und im Gnome dafür die Konfig - Oberfläche entdeckt. Sah alles ganz einfach aus. Ich habe eine Freigabe auf meine zweite Festplatte gesetzt, die noch mit NTFS formatiert ist, und habe alle Benutzer fürs lesen und schreiben freigegeben. Hat natürlich nicht funktioniert :(

Also hab ich etwas gespielt und habe meinen Linux Account als berechtigten Benutzer eingetragen.

Gehe ich nun im Explorer mit Adresse \\10.0.2.2 auf die Freigaben des Linux Rechners und Logge mich mit meinem Linux Login ein, so gekomme ich die beiden Freigaben zu sehen.

- Meinen Home Ordner
- Die freigegebene 2te HDD

In meinem Home Ordner war ich dann am surfen, das funktioniert, doch leider bekomme ich die Meldung *Fehlende Berechtigung* wenn ich auf die zweite HDD möchte.
Ich habe dann das Sakrileg begangen und habe die Rechte für die zweite Platte auf 777 gesetzt so das jeder dort alles anstellen kann, in der Hoffnung das ich dann Zugriff erhalten würde, doch das war leider ein Irrglaube.

Allerdings meldet sich immer kurz nach dem Versuch einen Zugriff auf die Freigabe zu machen der SELinux Troubleshooter.

Meldung :


Zusammenfassung:

SELinux is preventing the samba daemon from serving r/o local files to remote
clients.

Detaillierte Beschreibung:

SELinux has preventing the samba daemon (smbd) from reading files on the local
system. If you have not exported these file systems, this could signals an
intrusion.

Zugriff erlauben:

If you want to export file systems using samba you need to turn on the
samba_export_all_ro boolean: "setsebool -P samba_export_all_ro=1".

Folgender Befehl erlaubt diesen Zugriff:

setsebool -P samba_export_all_ro=1

Zusätzliche Informationen:

Quellkontext system_u:system_r:smbd_t:s0
Zielkontext system_u:object_r:fusefs_t:s0
Zielobjekte / [ dir ]
Source smbd
Source Path /usr/sbin/smbd
Port <Unbekannt>
Host localhost.localdomain
Source RPM Packages samba-3.0.28a-0.fc8
Target RPM Packages filesystem-2.4.11-1.fc8
RPM-Richtlinie selinux-policy-3.0.8-101.fc8
SELinux aktiviert True
Richtlinienversion targeted
MLS aktiviert True
Enforcing-Modus Enforcing
Plugin-Name samba_export_all_ro
Hostname localhost.localdomain
Plattform Linux localhost.localdomain 2.6.24.7-92.fc8 #1 SMP
Wed May 7 16:50:09 EDT 2008 i686 i686
Anzahl der Alarme 4
Zuerst gesehen Mo 19 Mai 2008 00:13:29 CEST
Zuletzt gesehen Mo 19 Mai 2008 00:13:37 CEST
Lokale ID 19bacdfa-df3b-48f3-87f8-70154f9af734
Zeilennummern

Raw-Audit-Meldungen

host=localhost.localdomain type=AVC msg=audit(1211148817.104:34): avc: denied { read } for pid=3929 comm="smbd" name="/" dev=sdb1 ino=5 scontext=system_u:system_r:smbd_t:s0 tcontext=system_u:object_r:fusefs_t:s0 tclass=dir

host=localhost.localdomain type=SYSCALL msg=audit(1211148817.104:34): arch=40000003 syscall=5 success=no exit=-13 a0=b832dda0 a1=98800 a2=0 a3=b834dc00 items=0 ppid=2927 pid=3929 auid=4294967295 uid=500 gid=0 euid=500 suid=0 fsuid=500 egid=500 sgid=0 fsgid=500 tty=(none) comm="smbd" exe="/usr/sbin/smbd" subj=system_u:system_r:smbd_t:s0 key=(null)


************************************************** ************************************************** *

Tjooo mit nem bisschen Englisch ist das ganze recht einfach zu verstehen. Ich bin dann also ins SEManagement und habe dieses Plugin aktiviert, hat nur leider keine Veränderung bewirkt da es sich weiter sperrt. Auch habe ich anschliessend das Plugin für Read/write System Files aktiviert, auch keine Wirkung :(

Hier ein Auszug aus der /var/log/samba/log.vbox (XP ist ein Virtueller Rechner)

[2008/05/19 00:25:20, 3] smbd/sec_ctx.c:set_sec_ctx(241)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2008/05/19 00:25:20, 5] auth/auth_util.c:debug_nt_user_token(448)
NT user token: (NULL)
[2008/05/19 00:25:20, 5] auth/auth_util.c:debug_unix_user_token(474)
UNIX token of user 0
Primary group is 0 and contains 0 supplementary groups
[2008/05/19 00:25:20, 5] smbd/uid.c:change_to_root_user(288)
change_to_root_user: now uid=(0,0) gid=(0,0)
[2008/05/19 00:26:20, 3] smbd/sec_ctx.c:set_sec_ctx(241)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2008/05/19 00:26:20, 5] auth/auth_util.c:debug_nt_user_token(448)
NT user token: (NULL)
[2008/05/19 00:26:20, 5] auth/auth_util.c:debug_unix_user_token(474)
UNIX token of user 0
Primary group is 0 and contains 0 supplementary groups
[2008/05/19 00:26:20, 5] smbd/uid.c:change_to_ro

So langsam bin ich mit meinem Latein am Ende doch vieleicht hat ja jemand von Euch eine einfache Lösung für mich (Das Abschalten von SELinux hab ich schon ausgeschlossen)

Gruss Sonixx

Sonixx
20.05.08, 20:52
Schade das es hier Niemanden gibt der mir etwas darüber erzählen kann :/

Allerdings habe ich eine Möglichkeit, KEINE Lösung !!, gefunden.
Ich habe SELinux deaktiviert und werd mich nun erst einmal schlau lesen wie man dieses anscheinend mächtige Werkzeug beherrscht.
Die Policy von Red Hat scheint noch nicht vollkommen zu sein

asi_dkn
20.05.08, 23:21
Uuuuuh selinux, ganz delikate Sache. Ich selber kenns echt nicht gut genug um dir jetzt gross Ratschläge geben zu können, aber du müsstest, damit selinux richtig arbeitet, deine files labeln. Labeln kannst du diese aber ziemlich sicher nicht wenn die auf ner NTFS Platte liegen.

Selinux bietet dir zwar einiges an Sicherheit, schränkt dich aber eben auch ein. Bis du dein System so weit hast bis selinux alles zulässt was du so gerne willst... ich weiss nicht, ist etwas wofür man sich 1) einiges an Wissen aneignen muss und 2) viel Zeit brauchen wird.

Wenn du selinux nicht dringend brauchst, resp. dir nicht sicher bis ob du's brauchst, würde ich mal sagen das du das abschaltest. Ich kann mich irren und eventuell meldet sich da noch jemand zu Wort der sich damit besser auskennt und mir sagt das ich grob verlässige Ratschläge austeile ;)

Sonixx
21.05.08, 20:57
Hihi :) Ersteinmal danke für deine Antwort, da sich jeder vor dem Thema zu drücken scheint ;)
Ich hab mich natürlich in der Zwischenzeit auch etwas weitergebildet und mit dem labeln liegst du goldrichtig. Bin nun dabei alles auf ext3 umzustellen und hab dazu Windoof endgültig als eigenständiges OS von meinem Rechner gekillt.

Vieleicht sollte man auch sagen ich habe meinen Rechner von dem Übel befreit :D

Noch ein kleiner Tip am Rand für alle die den SELinux Troubleshooter nutzen :

Auf Fedora in der Konsole per su auf root wechseln. Bedenke :

################################################## #####
Folgender Befehl erlaubt diesen Zugriff:

setsebool -P samba_export_all_ro=1
################################################## #####

Der Path von setsebool muss komplett angegeben werden, *=* kann weggelassen werden :

/usr/sbin/setsebool -P samba_export_all_ro 1