Benutzer der Gruppe "user" sehen "homes" und alle "home" Ordner

[ottosykora]

Das ist ja gerade das Problem, dass eben ALLE Zugriff auf jeden Ordner unterhalb HOMES haben und nicht nur der Admin und je Ordner die jeweiligen Benutzer!

ich behaupte einfach so was schafft man nur wenn man irgednwo an den Rechten der Systemordner herumbastelt. Dann ist aber wahrscheinlich auch noch vieles anderes kaputt.
Habe da momentan 8 DS in Reichweite, von 211 bis 218+, zwei Rackstn dabei etc. Bei keiner sieht ein User mehr als sein eigenes /home. Und das ist nicht von der Version der DSM abhängig. Und ich denke nicht so was kann man einfach mit irgendeinem Klick in DSM reparieren.
Aus diversen Experimenten mit Syno kann ich mich errinern, nach etwas herumspielen an Systemordnern musste ich nur einen Weg wählen: komplett neu aufsetzen des Sysems
Dann Rechte nur über Gruppen verteilen und keinen Chaos mit Rechten an Einzeluser auch wenn so was grundsätzlich möglich ist.

 

[GasserMa]

Das ist falsch. Das Problem habe ich nun erkannt. Es geht nicht um uns Benutzer, es liegt an einem unterschiedlichen Verhalten der Systeme, 5.2 vs. 6.2, welche ich hier testen konnte.

Es ist so, wie ich schon beschrieben habe.
Wurden in 5.2 die Rechte des jeweiligen persönlichen Ordners, HOME auch dann nicht geändert, wenn man allgemein die Rechte für HOMES geändert hat.
Der Grund, diese Rechte zu ändern, konnte u.a. sein, dass nicht jeder HOMES mit allen Unterorder sehen und zugreifen konnte. Aber einige, wie z.B. die Administratoren sollten das schon können.

Der Unterschied zu 6.2 ist scheinbar der, dass die Rechte bis zum persönlichen Ordner, HOME und zwar jeden Benutzers vererbt werden und nicht unabhängig sind.

Ändere ich z.B. HOMES u.a. auf, lesen, wird dies für jeden Benutzer übernommen, auch wenn er nicht in der jeweiligen Gruppe bzw. Benutzer mit diesem Recht ist. Setze ich z.B. HOMES auf; «keinen Zugriff», kann keiner mehr auf seinen HOME-Ordner zugreifen, sogar ich als ADMIN nicht. Der einfache Grund, weil eben das «Durchqueren» nach unten gesperrt wird und keiner mehr über den Order HOMES auf seinen Ordner zugreifen kann! Und genau das ist anders als unter 5.2!!

Wie gesagt, unter 5.2 war die Sache besser gelöst, dort war HOME unabhängig und immer für den jeweiligen Benutzer auf LESEN und Schreiben, wollte man etwas Anderes, z.B. ein Benutzer nur lesen kann, musste man das händisch über die Files Station ändern. Ändere ich HOMES, wie oben beschrieben, sperre ich jeden raus, oder jeder kann alles lesen und muss genau die Änderung vornehme, welche ich oben (Bilder) beschreiben habe und das geht bloss händisch über die Files Station, anderswo kann man das nicht mehr korrigieren, dumm finde ich. Warum ändert das überhaupt die Rechte der persönlichen Ordner, bzw. warum müssen diese alle HOMES «durchqueren»?? Das müsste nämlich nicht so sein, unter 5.2 ging es ja auch.

 

[geimist]

… Ändere ich z.B. HOMES u.a. auf …

Warum sollte man das tun? Das ist doch genau der Punkt, der schon von den anderen angesprochen wurde: Nichts an den Rechten der Systemordner zu ändern. Oder verstehe ich das Problem auch noch nicht

 

[ottosykora]

shön, aber ich habe da auch ältere Systeme und in dieser Beziehung gibt es kein Unterschied ob es un 4.3, 5.2 oder 6.2 ist.
Habe noch nie ein Syno gesehen wo die Situation defoult so ist wie du es beschreibst. Erst nach einem Eingriff in die Rechteverwaltung kann so was erscheinen, dann ist halt Neuinstallation die beste Lösung.
Bei 6.2 DSM habe ich nun auf allen mir gerade zugänglichen DS nachgeschaut, von deinem Problem keine Spur. /home ist ja schleisslich eine Linux Systemeinrichtung und daran was zu ändern oder meinen wenn ich hier klicke, dann kann ich es ja wieder wegklicken ist ziemlich problematisch.

/homes ist eine Sammlung der /home und auch auf 6.2-xxxx hat ein normaler Benutzer nur seinen eigenen /home und hat keinen ZUgriff auf die anderen. Ein Mitgleid der Administrator Gruppe sieht /homes mit all den persönlichen Ordnern drin und seinen eigenen /home natürlich.
Somit gibt es gar keinen Bedarf was zu ändern. Es kaum einen Grund hier zu ändern, irgendwo Häckchen setzen oder entfernen.

Aber Leute versuchen auch an inneren Ordnern in /home was zu ändern, was damit dem System angetan wird überlegt sich kaum jemand.

 

[ottosykora]

Der Unterschied zu 6.2 ist scheinbar der, dass die Rechte bis zum persönlichen Ordner, HOME und zwar jeden Benutzers vererbt werden und nicht unabhängig sind.

.

dann ich dein System wohl voll zerschossen, Neuinstallation wird das Beste sein

Ändere ich z.B. HOMES u.a. auf, lesen,.

und damit System auf Kopf stellen..?

 

[synfor]

Bei meiner DS218j mit DSM 6.2.1u4 sehe ich als normaler Nutzer in der Netzwerkumgebung zwar die Freigabe /homes, habe auf diese jedoch keinerlei Zugriff. Das geht sogar soweit, dass der Nutzer auf sein eigenes Home nur über die virtuelle Freigabe /home zugreifen kann. Wobei, wenn mich meine Erinnerung nicht trügt, so war die Freigabe /homes früher schon mal versteckt. Mir ist allerdings nicht bewusst, dass ich daran selbst etwas geändert habe.

Die Berechtigungen in homes sehen bei mir so aus:

 

[GasserMa]

Du hast das Problem scheinbar nicht erkannt. Welches Gerät benutzt du, ich habe hier ein DS1618+ und ein DS210+.

Dem sollte an sich so sein. Aber die Rechte ändern sich eben, wenn man nicht will, dass jeder auf HOMES zugreifen kann, oder sehen kann. Und das kann man eben bloss, wenn man HOMES in der Netzwerkumgebung versteckt, bzw. eben die Rechte ändert, auf kein Zugriff. Unter 5.2 war das nie ein Problem, HOME hatte immer lesen/schreiben für den jeweiligen Benutzer, was man auch mit HOMES anstellte.
Mal sehen, ob bei meinem Gerät die Rechte anderes gesetzt sind, als das, was du hier (Bild ) hast, aber so viel ich getestet habe, werden diese überschrieben, wenn man in einer Gruppe oder Benutzer HOMES auf; "kein Zugriff" ändert und zwar für alle, auch für jene, die man nicht ändern möchte.

 

[GasserMa]

Hallo @synfor, du hast recht, wenn ich die Rechte so setze, bleibt es, ohne diese zu überschreiben!! Habe da wohl ein Gerät bekommen, wo die Rechte falsch gesetzt waren, nun ist alles so wie unter DSM 5.2. freu, freu, freu.

 

[Fusion]

Also aus meiner Erfahrung mit 211j, 241+, 215+, 216+, 415+ 916+, 918+, 2415+ und DSM 4 bis 6 habe ich das "Problem" auf keiner der DS.
In der Werkeinstellung sieht ein Benutzer nur seinen "home". "homes" sehen nur Mitglieder der Administrator-Gruppe. Egal, ob File Station oder Netzwerkfreigabe am Client (homes ist per default in der Netzwerkumgebung versteckt).
Natürlich könnte ein Nutzer mit Kenntnis des Names, oder wenn man die Sichtbarkeit herstellen würde, auf /homes/meinBenutzer zugreifen, weil er für "homes" Durchquerungsrechte hat, aber er kann nicht sehen, welche Ordner noch so unter "homes" existieren, weil er den Ordnerinhalt nicht auflisten darf.
Von daher sehe ich hier kein Problem, weil ein Benutzer im Standard nichts zu sehen bekommt was er nicht soll und selbst mit Kenntnis der Pfade nicht zugreifen darf.

Nur wenn man in der Gruppe "administrators" (eigentlich irrelevant) oder in der Gruppe "users" etwas umstellt ändert sich das. An der Gruppe "users" nehme ich keinerlei Einstellungen vor.
Ich bilde alle nötigen Rechte mit eigenen Gruppen ab. Für eigene Benutzer und Gruppen setze ich gar keine Haken für "homes" bei der Erstellung, weil der DSM automatisch die passenden Rechte setzt über die Zwangsmitgliedschaft in der Gruppe "users".
Da gibt es einfach nichts was man selber organisieren müsste für "homes".

Wo ein Unterschied ist zu früher (DSM 5.2 und je nachdem ob Gemeinsamer Ordner neu erstellt wurde oder auf DSM 6.x migriert wurde) ist die Benutzung von ACLs und Vererbungen. Das macht es allgmein komplexer in der Organisation speziell wenn man für Unterordner andere Rechte vergeben will und dafür z.B. explizit die Vererbung unterbrechen muss.

Würde dir ja einen Testbenutzer einrichten, dann kannst du sehen, dass du nichts sehen kannst, ganz ohne Verrenkungen (aber halt nur für DSM und File Station). Eine Spare-DS auf der du das ganze Setup sehen könntest mit admin-user habe ich leider gerade keine frei.


Edit: Nachtrag:
Ah gut, habe deinen neusten Post erst nach Fertigstellung gesehen. Freut mich, dass es nun wieder passt.

 

[blurrrr]

Du hast das Problem scheinbar nicht erkannt.

Du hast das Problem scheinbar nicht erkannt. Wenn man nicht will, dass jeder auf "homes" zugreifen kann, dann fummelt man da erst garnicht an den Rechten rum, denn dann kann auch niemand darauf zugreifen. Zugriff haben lediglich die authorisierten User auf ihre jeweiligen Verzeichnisse ("/home/<user>" bzw "~"). Wenn man da aber nun anfängt an den Rechten rumzuschrauben und mitunter auch noch die Rechtevererbung nicht berücksichtigt, hat man sich das schon schnell zerschossen.

Grundlegend bitte auch den Unterschied zwischen Dateisystem- und Freigaberechten beachten und ebenso die Tatsache, dass die Rechte kumulativ sind...

Dateisystemrecht:

/homes -> drwxr-xr-x root root homes
/homes/user1 -> drwxr-xr-x user1 users user1

Freigabe (lt. "/etc/samba/smb.share.conf")

[homes]
recycle bin admin only=no
ftp disable modify=no
ftp disable download=no
write list=nobody,admin
browseable=yes
mediaindex=no
hide unreadable=no
win share=no
enable recycle bin=no
invalid users=nobody
read list=nobody
ftp disable list=no
edit synoacl=no
valid users=nobody,admin
writeable=yes
guest ok=yes
path=/volume1/homes
skip smb perm=no
comment="user home"

So sieht es zumindestens bei mir aus und da kann "kein" User auf "homes" zugreifen (lediglich der admin) und an den Einstellungen wurde auch nicht rumgefummelt (weder auf Dateisystem- noch auf Freigabeebene).

Falls Du meinst, dass das physikalische Gerät einen Unterschied macht... sieht hier nicht so aus, habe grade mal auf diversen Geräten (alt bis neu, DS als auch RS) geschaut und es sieht überall gleich aus.

Das mit dem sehen ist natürlich eine Sache, aber wo kein Zugriff besteht, besteht eben kein Zugriff, also was soll's? Sich aus rein optischen Gründen ggf. das System zerschiessen macht schon irgendwie... weniger Sinn
Ich denke, dass es sinnig wäre, die Rechte einfach nochmal entsprechend auf die originalen Einstellungen zu setzen und alles andere rauszuschmeissen. Wie diese Rechte aussehen sollten - s.o. und danach sollte es - in der Theorie - nach einem Neustart des Dienstes (oder des gesamten NAS) schon wieder laufen.

Was das hier angeht "Habe da wohl ein Gerät bekommen, wo die Rechte falsch gesetzt waren"... Es gibt keine "Geräte" wo die Rechte irgendwie gesetzt sind. Auf dem Gerät wird die Software installiert und dort werden die Rechte gesetzt. Standardmässig "funktioniert" das auch erstmal alles, natürlich auch nur solange, bis man irgendwie dran rumfummelt, aber selbst dann: entweder händisch gradebiegen (z.B. mittels Vorlage von Forumsteilnehmern) oder neu installieren.

EDIT: Ok, gleiches Problem wie Fusion, auch grade erst die neuen Posts gesehen, dann auch mal Glückwunsch zum korrekt funktionierenden System

 

[GasserMa]

Ich habe oben geschrieben, dass ich das Problem bis heute auch mit keinem Gerät hatte, ausser mit diesem neuen DS1618+ DSM6.2.
Da sich aber das Problem nun gelöst zu haben scheint, ist somit auch alles wieder OK.
Es war definitv ein Fehler in der Recht-Einstellung unter HOMES (vergleiche meine Einstellungen (Bild oben), mit dem Bild von @synfor), welche ich so übernommen habe. Das war bei der Auslieferung so eingestellt und somit falsch. Hätte ich alles zurückgesetz, wären die Rechte wohl wieder korrekt gesetzt gewesen, aber eben, ich hatte schon alles installiert und wollte nicht nochmals alles neu installieren. Und da ich nichts geändert hatte, ausser die Rechte so einzustellen, wie bei allen vorherigen Geräten, sah ich den Fehler nicht bei mir, war ja nicht mein 1. Gerät von Synology.

 

[ottosykora]

bei mir sind es DS211+, DS212j, DS218+, RS1812, DS414slim, DS416slim als momentane Modelauswahl. Auf keiner kann ich 'dasProblem' erkennen. Bis auf eine Ausnahme sind diese auf 6.2.

 

[GasserMa]

Das Problem hat sich gelöst, beachte mein Text oben.

 

[blurrrr]

Ich sag das jetzt nochmal ganz deutlich, da das anscheinend nicht richtig angekommen ist: "Das war bei der Auslieferung so eingestellt und somit falsch."

Bei "Auslieferung" ist KEIN(!) DSM installiert und somit können da auch KEINE Rechte falsch sein. Wenn, wäre es maximal möglich, dass Du das bei irgendeinem Fummler gekauft hast, welcher da schon dran rumgeschraubt hat, oder es ein gebrauchtes Gerät war. Kaufst Du ein orignal verpacktes Gerät, musst Du das Betriebssystem erst noch selbst installieren. Das aber nur mal als generelle Info für zukünftige Einkäufe

 

[GasserMa]

@blurr, Das stimmt an sich schon, aber meines war vom Lieferanten eben schon "Vorinstalliert", warum auch immer.
Das war bei meinen anderen Geräte nie so. Hier musste ich bloss die 6 HD's in die Schächte schieben und einschalten und fix. War eben ein Spezialangebot, volle Austattungen enthalten, 2xSSD, 1X 16GB DDR4 und 6x 3TB HDD. PS, der Lieferaten kenne ich schon lange, ist an sich OK und korrekt.

 

[blurrrr]

"Naja...." mehr sag ich dazu nun mal nicht, Thema ist ja durch, alles ist gut und funktioniert so wie es soll

Ebenfalls PS: von dem Lieferanten der an meiner NEUware rumfummelt würde ich mich trotzdem trennen, ausser es gehörte zum Auftrag, aber dann ebenso, da offensichtlich keine Ahnung Allerdings hört sich "Spezialangebot" doch schon eher stark nach einem Rückläufer an und vermutlich hat da schon irgendein Vorkäufer rumgefummelt, Gerät kam zurück, wurde kurz optisch geprüft und wurde vermutlich direkt wieder verkauft. So oder so, Schwamm drüber, läuft

EDIT: Hab ich doch schon wieder mehr gesagt, als ich eigentlich wollte...

 

[GasserMa]

Es ist ein Lieferant, der in der Schweiz sehr bekannt ist, auch im Profibereich und ich schon x Produkte gekauf habe und hatte nie Probleme. Die hatten das so im Shop, Gerät alles inkl. Ich war auch etwas erstaunt, dass ich das Gerät NICHT total neu einrichten musste. Aber eben, es läuft nun alles so, wie ich es gewohnt bin. Es ist wohl so, dass ich eben alle Ausstattungen mitgekauft hatte und die diese schon verbaut haben, ansonsten muss man das alles selber einbauen.
Guten Abend zusammen und somit kann wohl das Thema geschlossen werden.

 

[PsychoHH]

Wieso sollte man das Thema schließen? Bei dir lag es ja evtl. an einer falschen Konfiguration und ich habe vorher mehrmals geschrieben, dass am homes Ordner keine Änderungen vorgenommen werden sollen.

 

[tproko]

Vorinstalliertes DSM und dann auch noch Berechtigungen verdreht...?!

Wenn ich das lese, frage ich mich aber schon wie du das ruhigen Gewissen lassen kannst. Wer weiß, was noch rumgedreht oder installiert wurde. Würde von 0 anfangen, ganz ehrlich... (wie auch immer es dazu kam). Ja manchmal überkommt mich die Paranoia, aber trotzdem.

 

[Frank73]

Ich schliesse mich da der Meinung von tproko an (Paranoia lässt grüßen [aber auch besser schlafen]).
Jeder PC, Laptop, NAS usw. wird von mir immer erst platt gemacht und dann setze ich das System komplett neu auf.