[solved] Rechtetverwaltung advanced - Remotemountpfade für versch. User

Vom einfachen Programm zum fertigen Debian-Paket, Fragen rund um Programmiersprachen, Scripting und Lizenzierung.
Antworten
Benutzeravatar
speefak
Beiträge: 439
Registriert: 27.04.2008 13:54:20

[solved] Rechtetverwaltung advanced - Remotemountpfade für versch. User

Beitrag von speefak » 08.05.2018 13:51:37

Hallo,

ich scheitere jetzt seit einigen Tagen an folgender Aufgabe :

Ich habe via autofs/sshfs ein Remoteverzeichnis eines NAS auf einem Server eingebunden. Der User ABC hat für dieses Verzeichnis volle Rechte (750). Auf dem Server läuft ein Dienst unter dem User www-data. Dieser Dienst soll nun in dem Verzeichnis des Users ABC als User www-data Datein speichern können.

Ein Ändern der Rechte des Verzeichnisses mit chmod 777 funktioniert nicht, mount --bind -o allow_other auch nicht

Letzte Möglichkeit wäre das Einrichten einer Netzwerkfreigabe als www-data User, was ich allerdings vermeiden möchte, da die Aktivierung des www-data Users als vollwertiger User ein Sicherheitsrisiko ist. Hinzufügen der www-data Gruppe zu User ABC würde ich auch gerne vermeiden, da der Webserver dann Zugriff auf alle ABC Verzeichnisse hat ( ABC ist Systemadmin )

Gibt es irgendeine Möglichkeit ein Verzeichnis, das unter dem User ABC gemountet ist für andere User freizugeben, sodass dieser User dann volle Zugriffrechte hat ?

Besteht die Möglichkeit dies über mount --bind zu realisieren, sprich die Schreibrechte von User ABC nur für dieses eine Verzeichnis auf einen anderen User zu "übertragen" ?
Zuletzt geändert von speefak am 17.05.2018 01:14:11, insgesamt 2-mal geändert.

Benutzeravatar
Blackbox
Beiträge: 4289
Registriert: 17.09.2008 17:01:20
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Rechtetverwaltung advanced - Remotemountpfade für versch. User

Beitrag von Blackbox » 09.05.2018 22:55:34

speefak hat geschrieben: ↑ zum Beitrag ↑
08.05.2018 13:51:37
Ein Ändern der Rechtse des Verzeichnisses mit chmod 777 funktioniert nicht
Mount --bind -o allow_other auch nicht

Letzte Möglichkeit wäre das Einrichten einer Netzwerkfreigabe als www-data User, was ich allerdings vermeiden möchte, da die Aktivierung des www-data Users als vollwertiger User ein Sicherheitsrisiko ist. Hinzufügen der www-data Gruppe zu User ABC würde ich auch gerne vermeiden, da der Webserver dann Zugriff auf alle ABC Verzeichnisse hat ( ABC ist Systemadmin )
Ich finde dein Konzept nicht zu Ende gedacht.
Warum findest du es besser

Code: Alles auswählen

chmod 777
zu verwenden, anstatt ein vernünftiges Berechtigungssystem auf Benutzer- und Gruppen-Ebene zu etablieren?
Weiterhin stößt mir auf, dass du dich offensichtlich wenig mit der Materie auseinandergesetzt hast und lediglich Ergebnisse einer $UCHMASHINE - unverstanden - umsetzt.
Vielleicht solltest du dir erst einmal überlegen, was genau du vorhast, danach ein Konzept entwickeln, wie du dein Vorhaben vernünftig, aber vor allem sicher umsetzt und zum Abschluss dieses Konzept umsetzen.
Das was du bisher gemacht hast ist, mit gefährlichem Halbwissen Sicherheitslücken bauen!
Aber vielleicht hast du dich auch nur unglücklich ausgedrückt, oder ich dich missverstanden?
Auch dann solltest du ein Konzept entwickeln, welches du plausible und verständlich erklären kannst.
Eigenbau PC: Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Desktop PC: Dell Inspiron 530 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Notebook: TUXEDO BU1406 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Alles Minimalinstallationen und ohne sudo/PA/PW.
Rootserver: Rocky Linux 9.3 - Kernel: 5.14

Freie Software unterstützen, Grundrechte stärken!

Benutzeravatar
speefak
Beiträge: 439
Registriert: 27.04.2008 13:54:20

Re: Rechtetverwaltung advanced - Remotemountpfade für versch. User

Beitrag von speefak » 17.05.2018 01:07:18

"Aber vielleicht hast du dich auch nur unglücklich ausgedrückt," - ja das ist wohl der Fall gewesen :roll:

Google und co habe nicht genutzt da ich mich mit den Rechten und der Nutzerverwaltung auskenne. Ein Berechtigungssystem auf Benutzer- und Gruppen-Ebene läuft bereits. Nur um den administrativen Aufwand gering zu halten wollte ich nicht noch einen neuen Nutzer nur für den o.g. Speicherpfad einrichten. Chmod 777 war ein Test und keine Dauerlösung, da 777 Rechte ein Sicherheitsrisiko darstellen.

Die Lösung ist recht einfach : Das Remoteverzeichnis (User@NAS) über sshfs/autofs mit den Nutzer und Gruppen IDs des www.data Nutzers des Servers einbinden (sshfs optionen : gid=33,uid=33) . Damit muss kein weiterer Nutzer auf dem NAS angelegt werden und der www-data Nutzer/Programm des Servers kann auf das gemountete Verzeichnis zugreifen ( Rechte 750 ). Der NAS Nutzer wiederum kann ohne weitere Berechtigungen auf die Dateien zugreifen.

Alternativ hätte man das Programm auch als einfacher Nutzer für den bereits ein Konto auf dem NAS existiert auf dem Server laufen lassen können, jedoch traten da dann neue Probleme auf.

Antworten