Rechte-Voodoo: Warum sieht root was anderes als der User?

[jo-hannes]

Hallo zusammen,

ich versteh die Welt der Rechte gerad nicht mehr.

Ich logge mich per SSH auf der DiskStation ein, gehe zum Ordner /volume1 und führe dort ein ls -la aus.
Das ganze einmal als root und einmal als User Xyz.

Die Ausgabe für root sieht etwa folgendermaßen aus:

drwxr-xr-x   23 root     root          4096 Aug  7 06:27 .
drwxr-xr-x   25 root     root          4096 Aug  7 06:27 ..
d---------   13 root     root          4096 Jul  8 12:57 Fotos
d---------   13 root     root          4096 Jul  8 12:58 MeineDaten

Die Ausgabe für meinen User Xyz dagegen:

drwxr-xr-x   23 root     root          4096 Aug  7 06:27 .
drwxr-xr-x   25 root     root          4096 Aug  7 06:27 ..
drwxrwxrwx   13 root     root          4096 Jul  8 12:57 Fotos
drwxrwxrwx   13 root     root          4096 Jul  8 12:58 MeineDaten

Begebe ich mich in den Ordner MeineDaten und führe dort ein ls -la aus,

sehe ich als root z.B.

d---------   15 root     root          4096 Aug  7 08:58 .
drwxr-xr-x   23 root     root          4096 Aug  7 06:27 ..
drwx------    2 Xyz      users         4096 Aug  7 08:58 MeinTestOrdner
-rwx------    1 Xyz      users            0 Aug  7 06:32 test

und als User Xyz erscheint:

drwxrwxrwx   15 root     root          4096 Aug  7 08:58 .
drwxr-xr-x   23 root     root          4096 Aug  7 06:27 ..
drwxrwxrwx    2 Xyz      users         4096 Aug  7 08:58 MeinTestOrdner
-rwxrwxrwx    1 Xyz      users            0 Aug  7 06:32 test

Wieso haben Datei / Ordner je nach User, der sich das ganze ansieht, unterschiedliche Einstellungen der Rechte??

-rwx------    1 Xyz      users            0 Aug  7 06:32 test   <<< root
-rwxrwxrwx    1 Xyz      users            0 Aug  7 06:32 test   <<< User Xyz

Ich dachte, wenn eine Datei eine Kombination an rwx-en hat, dann ist das fest!?!!?
Wieso dreht sich das hier je nach "Windrichtung" (=User)?

Per SSH kann ich die Rechte einer Datei IN dem Ordner 'MeineDaten' zwar als User Xyz wieder ändern, aber sobald ich eine neue Datei/Ordner anlege (per SSH), hab ich sofort wieder die volle Freigabe für alle.

Versteh das ganze nicht mehr.
Hat jemand von Euch einen Tipp für mich, was das soll, woher das kommt, ob man das weg bekommt, ob das ein Bug oder ein Feature ist??

Techn. Daten: DS: 712+, DSM 5.2-5592 Update 2


Grüße
Jo

 

[bfpears]

Hi,
ich rate mal: du hast SFTP aktiviert

eigentlich kann man sich nicht als normaler Benutzer per SSH einloggen.
da SFTP auf SSH basiert, kann man sich beim SFTP "Dienst" auch per SSH anmelden
Ich vermute / hoffe das SFTP irgendwie zusätzlich abgesichert ist, damit man von außen keinen Unsinn anstellen kann.
Deshalb hat root da keine Rechte.

Die Hilfe erwähnt auch das SFTP SSH (Port) aktiviert.
https://help.synology.com/dsm/?lang...ion=5.2&link=AdminCenter/system_terminal.html

 

[Benares]

Hallo Jo,

ich kann das Verhalten nachvollziehen, aber auch nicht logisch erklären. Auch ich sehe als root und als normaler User teilweise andere Rechte, wenn ich unter /volume1 herum navigiere.
Vielleicht hat es ja mit der erweiterten Rechteverwaltung unter Windows/Samba zu tun. Diese ACLs müssen ja auch irgendwo abgelegt sein. Fragt sich nur wo.
Evtl. kommt der ls-Befehl damit nicht klar und bildet es unterschiedlich in die alte rwx-Struktur ab. Ist aber nur geraten, ich bin da kein Fachmann.

 

[dil88]

Ich gehe auch davon aus, dass es etwas mit der Umstellung auf das ACL-Rechtesystem zu tun hat. Die Rechte liegen m.W. in versteckten Dateien.

 

[jo-hannes]

Hi,
ich rate mal: du hast SFTP aktiviert
eigentlich kann man sich nicht als normaler Benutzer per SSH einloggen.[...]

Stimmt, normalerweise kann sich nur root/admin per SSH einloggen.
Aber ich hab an der /etc/passwd rumgespielt Damit kann sich dann doch ein ausgewählter User per SSH einloggen

 

[jo-hannes]

Hallo Jo,
ich kann das Verhalten nachvollziehen, aber auch nicht logisch erklären. Auch ich sehe als root und als normaler User teilweise andere Rechte, wenn ich unter /volume1 herum navigiere.[...]

Ok, ich bin also noch nicht ganz verrückt Sehr beruhigend, wenn das bei euch auch so ist. Danke für die Info!

Der Samba-Dienst sollte doch eigentlich nicht an den Rechten der Dateien direkt rumdrehen?!? Die Dateien/Ordner werden doch nur nach außen gereicht und der Zugriff anhand der Samba-Config geregel, wenn ich das noch recht im Kopf habe...

Umstellung auf das ACL-Rechtesystem ... versteckte rechte-Dateien ?? Hmm ... heißt das, die Linux-Rechte sind nicht genug? Kommt da noch mehr dazu? Aber sehr viel mehr macht doch die DS-Oberfläche auch nicht.

Jedenfalls ist das ein Verhalten, was verwirrt. Zumindest mich

 

[Benares]

Man kann sich auch als root anmelden und dann mit "su -s /bin/sh <User> den Benutzer wechseln, ohne in der passwd "rumzuspielen".

Das 3-stufige Rechte-System von Linux (owner. group, world) ist schon uralt. Erweiterungen dafür gibt es schon lange, nur sind die Befehle dafür nicht sehr bekannt. Schau mal z.B. hier. Demnach müsste "ls" dann aber ein + am Ende anzeigen. Aber vielleicht ist das ja Ubuntu-spezifisch.

Edit: Probier mal "synoacltool -get <datei|verzeichnis>"

 

[dil88]

... bzw. eine Limitierung der busybox.

 

[jo-hannes]

Man kann sich auch als root anmelden und dann mit "su -s /bin/sh <User> den Benutzer wechseln, ohne in der passwd "rumzuspielen".

Stimmt Das geht auch

[...] Schau mal z.B. hier. Demnach müsste "ls" dann aber ein + am Ende anzeigen. Aber vielleicht ist das ja Ubuntu-spezifisch.

Holla! Das scheint spannend! Bei mehreren Usern und einer feinen Rechte-Abstufung durchaus sinnvoll.
Wieder was neues gesehen

Edit: Probier mal "synoacltool -get <datei|verzeichnis>"

Oh, prima! Das klingt gut! Sehe ich mir gleich mal an ...
Hab schon getestete: das getfacl & co scheint es nicht zu geben ...

 

[Benares]

@dil88: Glaub ich nicht, /opt/bin/ls zeigt auch kein +.

Aber die Ausgabe von synoacltool ist ganz interessant. Nur volume1 ist mit Option "synoacl" gemountet, bei anderen Filesystemen zeigt "synoacltool -get ..." die Meldung "It's Linux mode" an.
Hoffentlich ist das nichts ganz und gar herstellerspezifisches von Synology.

 

[jo-hannes]

Könnten die ACLs eigentlich der Grund sein, dass ich bei meinen gemounteten Ordner (cifs) unter Linux-Workstation vereinzelte Schwierigkeiten habe?

Zum Beispiel haben dort alle Ordner und Dateien immer auch die maximalen Rechte

drwxrwxrwx   13 Xyz     Xyz          4096 Jul  8 12:57 Fotos
drwxrwxrwx   13 Xyz     Xyz          4096 Jul  8 12:58 MeineDaten

rsync scheint trotz -l Option keine SymLinks anlegen zu können. Gibt dabei immer ein Warning raus kopiert aber den ganzen Rest.

Und unison bricht mit der Meldung ab, dass es die Rechte einer Datei nicht auf rwx r-- r-- setzen kann.

Könnte das der Hintergrund sein?

 

[Benares]

Das kann ich dir alles nicht beantworten. Ich weiß jetzt nur, dass man der Ausgabe von ls auf einem mit der Option synoacl gemountetem Volume nicht trauen kann.