Berechtigungen auf der DS212+

[twist]

Hallo,
ich habe meine Linkstation durch eine Synology Diskstation ersetzt. Bestehende Dokumente habe ich von der Linkstation per NFS-Mount kopiert und anschließend die Berechtigungen manuell gesetzt.
Mir scheinen diese aber nicht restriktiv genug.

Ich habe verschiedene Ordner mit unterschiedlichen Berechtigungen. Testweise habe ich über die jeweiligen Share (aus Windows) ein Dokument auf einem Share erstellt. Dabei wurde der aktuelle Benutzer (unter dem ich die Aktion durchgeführt habe) als Eigentümer der Datei gesetzt. Als Gruppe wurde die Gruppe "users" gesetzt. Soweit ok.
Die Berechtigungen wurden aber mit 777 gesetzt, was natürlich jedem, der direkten Zugriff auf die DS hat vollen Zugriff auf alle Dateien gibt.

Frage: Schadet es den übrigen Funktionalitäten der DS, wenn ich zumindest 'allen anderen' den Zugriff entziehe (also 770)?

Hintergrund: Ich möchte gerne einen SSH Zugang für einen User einrichten, der sonst keine weiteren Rechte und Zugriffsmöglichkeiten hat. Per "su" würde ich dann immer auf den User wechseln, mit dem ich gerade arbeiten will. Nur mit der aktuellen Konfiguration hat ja auch dieser SSH User bereits alle Zugriffsrechte (zumindest auf die Dokumente).
Wie geht Ihr damit um, kann ich einfach im Samba die Standard-Berechtigung ändern?

--
Gruss Twist

 

[jahlives]

das Problem bei einem ssh User wäre es, dass diese User auch in der Gruppe users ist. Und Synology hat die Gruppe users an einigen Orten zur Gruppe von Dateien und Verzeichnissen mit mindestens Leserechten gemacht d.h. dieser ssh User könnte auf solche Dateien zugreifen, weil er selber Mitglied von users ist. Es wird nicht ganz trivial das so umzubauen, dass du erreichst was du willst und trotzdem noch alles funzt.
Du kannst probieren die Default Berechtigungen von Samba zu ändern, ABER das hat nicht zwangsläufig Einfluss auf den Zugriff via ssh. Denn Samba Rechte werden in der Anwendung (Samba) gesetzt und nicht im Dateisystem. Beim Zugriff via SSH greifen keine Anwendungsberechtigungen, sondern nur die effektiven Rechte im Dateisystem.
Das "einfachste" wäre wenn du auf die Kommandozeile gehst und bei den fraglichen Verzeichnissen (Dokumente) die Gruppe änderst. Dazu zuerst eine neue Gruppe anlegen und alle deine User dort rein, die Zugriff haben sollen. Dann auf der Kommandozeile

chgrp -R DEINE_GRUPPE /volume1/PFAD/VERZEICHNIS
chown -R o-rwx /volume1/PFAD/VERZECHNIS

 

[twist]

Mit der Rechteänderung in der sambo-config meinte ich die Systemrechte, nicht die Samba Rechte.
Denn wenn ich über Samba eine Datei erstelle oder auf die DS hochlade, regelt ja die Samba Konfiguration, welche resultierenden Rechte die Datei im Filesystem bekommt.
Und da hier standardmäßig 777 gesetzt wird, würde eine manuelle Rechteänderung ja immer nur die bestehenden Dokumente und nicht die neuen treffen.

 

[jahlives]

Mit der Rechteänderung in der sambo-config meinte ich die Systemrechte, nicht die Samba Rechte.

wie gesagt, das sind Rechte der Anwendung welche nicht unbedingt im Dateisystem genau so nachvollzogen werden. Sagen wir du setzt die Rechte auf 0770 (smb.conf), wenn die Gruppe weiterhin users bleibt hast du damit genau nichts gewonnen. Du müsstest mindestens die Gruppe in der smb.conf zusätzlich auf eine eigene Gruppe umstellen, damit nicht mehr Gruppe users eingetragen wird. Und dann müsstest du noch direkt im Dateisystem prüfen, wie genau deine Samba Rechte umgesetzt wurden

 

[twist]

Ok, jetzt weiss ich, was Du meinst.
Ich habe gestern versucht einen neuen Benutzer anzulegen. useradd und adduser gibt es ja nicht, daher habe ich es über die Weboberfläche gemacht. Der kommt dann, wie Du sagtest, automatisch in die Gruppe users und man kann ihn auch nicht daraus entfernen. Daher habe ich ihm dann über die /etc/passwd die Gruppe users (100) entzogen und ihm eine eigene Gruppe gegeben.
Ich war aber nicht sicher, ob Synology noch irgendwie anders die Gruppen zuweist (habe jetzt auch keinen Test durchgeführt), aber in der Oberfläche wurde für ihn dennoch die Gruppe users angezeigt. Ob das einfach nur eine Standardeinstellung für die Anzeige ist, oder er tatsächlich noch die Gruppe hatte, kann ich jetzt nicht sagen.

 

[jahlives]

users solltest du auf keinen Fall einfach löschen! Dort sind auch Systemuser drin, die ihre Rechte von dieser Gruppe ableiten. Am besten einfach der Gruppe users keinerlei Rechte für die Freigaben geben d.h. nicht verweigern und auch nicht erlauben, sondern einfach nichts. Dann kannst du die Rechte über deine neue Gruppe steuern. Das Problem wenn du users Rechte gibst oder nimmst ist, dass jeder User erstmal Mitglied dieser Gruppe ist d.h. du erlaubst deiner Gruppe meineGruppe den Zugriff, verbietest es aber explizit für users. Dann kann niemand darauf zugreifen, auch der admin nicht mehr, denn das Verbot aus users überwiegt das Erlaubte aus meineGruppe