Wechsel in Verzeichnis am NAS trotz vorhandener Berechtigung nicht möglich

[kalamazoo]

Offenbar wieder einmal eine simple Sache, wo ich nicht weiter komme: der Benutzer "user1" soll auf einem NAS (/mnt/NAS/VOL-1/) umfassende Rechte besitzen, weshalb er u.a. Mitglied diverser Gruppen ist:

Code: Alles auswählen

root@host:/HOME> id user1
uid=1001(user1) gid=1001(user1) groups=1001(user1),...,27(sudo),...,1000(user),1002(user2)

Code: Alles auswählen

root@host:/HOME> ls -al /mnt/NAS/
total 44
drwxrwxrwx  3 root root  4096  4. Mär 2022  .
drwxrwxrwx  6 root root  4096  6. Mär 2022  ..
drwxrwxrwx 53 root root 28672 14. Mär 11:00 VOL-1

root@host:/HOME> ls -al /mnt/NAS/VOL-1
...
drwxrwxrwx 53 root  root  28672 14. Mär 11:00  .
drwxrwxrwx  3 root  root   4096  4. Mär 2022   ..
drwxrwx---  2 user  user  24576  7. Mär 11:40  USER
drwx------ 17 user1 user1  4096 14. Mär 10:32  USER1
drwxrwxrwx  3 user2 user2  4096  3. Mär 09:31  USER2
drwxrwx---  4 root  root   4096 14. Mär 11:18  .Trash-0
...

Er kann klarerweise sein eigenes Verzeichnis USER1 öffnen. Er kann auch aufgrund der allgemeinen Zugriffsrechte das Verzeichnis USER2 öffnen, es ist ihm aber nicht möglich, das Verzeichnis USER zu öffnen, obwohl die Gruppe "user" alle Rechte hat und er Mitglied dieser Gruppe ist. Eigenartigerweise kann er aber das mit gleichen Rechten ausgestattete Verzeichnis .Trash-0 von root öffnen ...

ACLs sind keine gesetzt:

Code: Alles auswählen

root@host:/HOME> getfacl /mnt/NAS/VOL-1/USER
getfacl: Removing leading '/' from absolute path names
# file: mnt/NAS/VOL-1/USER
# owner: user
# group: user
user::rwx
group::rwx
other::---

Mount ergibt folgendes:

Code: Alles auswählen

root@host:/HOME> mount | grep VOL
192.168.1.1:/VOL-1 on /mnt/NAS/VOL-1 type nfs4 (rw,nosuid,nodev,noexec,noatime,vers=4.2,rsize=524288,wsize=524288,namlen=255,hard,proto=tcp,timeo=600,retrans=2,sec=sys,clientaddr=192.168.1.11,local_lock=none,addr=192.168.1.1,user)

Was übersehe ich?

[MSfree]

Was übersehe ich?

Du übersiehst, daß das NAS selbst auch nochmal prüft, ob Berechtigungen vorliegen. Dem NAS ist es völlig wurscht, ob du am Client eingestellt hast, daß irgendjemand irgendwas darf. Das NAS entscheidet, ob dieser jemand irgendwas darf.

Wie ist das NAS gemountet?

[kalamazoo]

Du übersiehst, daß das NAS selbst auch nochmal prüft, ob Berechtigungen vorliegen.

Aha, ich kenn mich da nicht wirklich aus ...

Wie ist das NAS gemountet?

Ich hoffe, ich verstehe die Frage richtig: mittels Eintrag in der /etc/fstab

Code: Alles auswählen

192.168.1.1:/VOL-1       /mnt/NAS/VOL-1       nfs       defaults,noatime,user,acl       0   0

... hiervon stammt also auch das acl, das habe ich nämlich teilweise "händisch" deaktiviert

[kalamazoo]

Heisst das also, ich muss via ssh oder ähnlichem auf den NAS-Server gehen -- und wenn ja, wie mache ich das am besten?

[MSfree]

Ich hoffe, ich verstehe die Frage richtig: mittels Eintrag in der /etc/fstab

Code: Alles auswählen

192.168.1.1:/VOL-1       /mnt/NAS/VOL-1       nfs       defaults,noatime,user,acl       0   0

Ja, richtig verstanden. Es ging mir zunächst darum, zu sehen, ob du das NAS per NFS oder per Samba mountest,

Ich sehe auch, daß du NFS mit den Optionen "user,acl" mountest. Vermutlich werden dir im Moment die Access Controll Lists den Zugriff verweigern. ACL und die traditionelle Zugriffsmethode über User, Group, World (UGW) schließen sich zwar nciht gegenseitig aus, aber soweit ich weiß, hat ACL Vorrang vor UGW. Solange also ACL den Zugriff verbietet, spielt UGW keine Rolle.

Du kannst jetzt versuchen, den NFS-Mount ohne ACL zu mounten, ich habe in meinem Heimnetz nur die Option "defaults" gesetzt und ,noatime,user,acl nicht angegeben. Dann sollte es mit dem UGW-Modell klappen.

Oder, du läßt dich auf das ACL-Modell ein, dann mußt du die Zugriffsberechtigungen über die Befehle chacl, setfacl, getfacl und nfs4_setfacl steuern. Die dazu nötigen Debianpakete sind acl und nfs4-acl-tools.

[kalamazoo]

ob du das NAS per NFS oder per Samba mountest

NFS natürlich, ich bin ja schon ein Großer und verwende Windows kaum noch

NFS mit den Optionen "user,acl" mountest

gemäß Deinem Vorschlag habe ich das alles aus fstab ausgetragen und nur noch default belassen; das NAS wurde ohne ACL gemountet, aber es funktioniert leider trotzdem noch nicht (keine erkennbaren Änderungen)

[MSfree]

...das NAS wurde ohne ACL gemountet, aber es funktioniert leider trotzdem noch nicht

Dann solltest du dich per SSH auf dem NAS einloggen und dort schauen, ob dort noch ACLs im Dateisystem vorhanden sind. Man kann ACLs mit setfacl und chacl löschen. Über den NFS-Mount wirst du das vermutlich nicht hinbekommen.

Was für ein NAS ist das? Die linuxbasierten NASen von Synology und QNAP bieten einen SSH-Zugang, man muß den aber aktivieren. Wenn das ein Selbstbau-NAS ist, wirst du selbst wissen, wie du da drauf kommst.

[kalamazoo]

Was für ein NAS ist das?

QNAP TS-873

per SSH auf dem NAS einloggen und dort schauen, ob dort noch ACLs im Dateisystem vorhanden sind
...
SSH-Zugang, man muß den aber aktivieren

wie mache ich das am besten? ich nehme an, auf dem NAS läuft irgendein rudimentäres Linux, d.h. die Bash oder eine ähnliche Shell ist mein Freund?

[MSfree]

wie mache ich das am besten?

Ich denke, der SSH-Zugang sollte sich im Webinterface des QNAPs einschalten lassen.

ich nehme an, auf dem NAS läuft irgendein rudimentäres Linux, d.h. die Bash oder eine ähnliche Shell ist mein Freund?

Genau so. Es kann sein, daß du dich nicht als root dort einloggen darfst, zumindest ist das bei Synonlogy so. Du kannst dir aber eine root-Shell mit

Code: Alles auswählen

sudo bash

besorgen.

[QT]

Es kann sein, daß du dich nicht als root dort einloggen darfst, zumindest ist das bei Synonlogy so.

Richtig. Bei QNAP ist der Name von UID0 auch "admin" und nicht "root". Und "sudo" ist per se nicht installiert. Und der SSH Zugang erlaubt es idR nicht einem Benutzer sich einzuloggen. Damit fällt die "su -" Variante aus.

Also auf Port 22 kann man sich mit "admin" User einloggen (passwort muss man natürlich kennen).

Ich habe mir noch auf nem anderen Port einen openssh Server insstalliert, damit ich auch mit 0-8-15-User reinkomme.

[kalamazoo]

"sudo" ist per se nicht installiert

Dumme Frage: könnte ich das (und andere Pakete) am NAS nachinstallieren ohne die Integrität dieses Systems zu gefährden? Und wenn ja, wie mache ich das?

der SSH-Zugang sollte sich im Webinterface des QNAPs einschalten lassen

Ja, danke, SSH aktiviert, werde gleich versuchen, mich am NAS einzuloggen.

Davor allerdings noch eine Verständnisfrage: ich habe soeben von einem anderen Rechner (Laptop) unter dem gleichen Benutzer (gleicher username und gleiche UID, GID) auf das NAS zugegriffen. Obwohl der Benutzer am Laptop gegenüber dem Desktop in weit weniger Gruppen Mitglied ist (kein sudo, kein user2, etc.), kann er auf mehr bzw. andere Ordner zugreifen (e.g. die Verzeichnisse auch von user mit UID 1000), nicht aber auf .Trash-0 von root [letzteres kann ich mir insofern erklären, als ich am Desktop user1 in die root-Gruppe aufgenommen habe, um die Zugangsrechte zu verbessern (könnte dies eigentlich zu Komplilationen führen?)]. Eingehängt ist das NAS auf beiden Rechnern mit denselben Spezifikationen (beim Laptop sogar noch mit acl).

Wenn also die Benutzer und vergebenen Rechte an den 2 PCs weitestgehend gleich sind, wie kann der mit etwas weniger Rechten sogar mehr sehen (nämlich auch die Verzeichnisse von 1000)? Die müssten doch vom NAS gleich behandelt werden?

[michaa7]

...
Genau so. Es kann sein, daß du dich nicht als root dort einloggen darfst, zumindest ist das bei Synonlogy so. Du kannst dir aber eine root-Shell mit

Code: Alles auswählen

sudo bash

besorgen.

Nachdem man sich als user per ssh eingeloggd hat kann man per "su -" in den root modus wechseln. So war und ist das bei mir auf jedem Rechner im LAN, wo überall einlogggen per ssh als root unterbunden ist.

Wie das läuft wenn es "root" dort nicht gibt, sondern nur "admin" wäre auszuprobieren. Vermutlich analog.

[GregorS]

"sudo" ist per se nicht installiert

Dumme Frage: könnte ich das (und andere Pakete) am NAS nachinstallieren ohne die Integrität dieses Systems zu gefährden?

Nein, kannst Du nicht. Du weißt nicht, ob der Hersteller des NAS am System gefummelt hat. Nimm es, wie es ist, und behalte es so, wie es funktioniert (seinen Job erfüllt).

Gruß

Gregor

[kalamazoo]

Am NAS eingeloggt ... sehr interessant!

Da gibt es mal eine ziemlich umfangreiche TUI, wo man aber nicht viel machen kann. Das beste daran ist, dass man sie mit "Q" verlassen kann, um in die Shell zu kommen. bash bringt einen in die Bash und die ist durchaus umfangreich, zumindest gibt <TAB><TAB> 1014 mögliche Befehle aus. man oder info gibt es zwar keine, dafür ist aber sudo vorhanden, wiewohl kein su. Als root mit sudo bash hat man 1075 Commands. Das sollte zum Herumspielen einmal reichen!

Bei QNAP ist der Name von UID0 auch "admin" und nicht "root"

Login ist admin, in der Bash-Shell scheint man aber als [/root] # auf, das Working Directory heisst zumindest root

Du kannst dir aber eine root-Shell ... besorgen

Danke für den Hinweis.

Nachdem man sich als user per ssh eingeloggd hat kann man per "su -" in den root modus wechseln.

su gibt es nicht, aber mittels sudo bash bewege ich mich doch ohnedies als root im System -- oder sehe ich das falsch? Was wären hier die Unterschiede?

... könnte ich das [i.e. sudo] (und andere Pakete) am NAS nachinstallieren ...

Nein, kannst Du nicht ...

Danke, dachte ich mir, das vorhandene Environment sollte allerdings reichen.

Nochmals zu meiner obigen Frage:

ich habe soeben von einem anderen Rechner (Laptop) unter dem gleichen Benutzer (gleicher username und gleiche UID, GID) auf das NAS zugegriffen. Obwohl der Benutzer am Laptop gegenüber dem Desktop in weit weniger Gruppen Mitglied ist (kein sudo, kein user2, etc.), kann er auf mehr bzw. andere Ordner zugreifen (e.g. die Verzeichnisse auch von user mit UID 1000), nicht aber auf .Trash-0 von root [letzteres kann ich mir insofern erklären, als ich am Desktop user1 in die root-Gruppe aufgenommen habe, um die Zugangsrechte zu verbessern (könnte dies eigentlich zu Komplilationen führen?)]. Eingehängt ist das NAS auf beiden Rechnern mit denselben Spezifikationen (beim Laptop sogar noch mit acl).
Wenn also die Benutzer und vergebenen Rechte an den 2 PCs weitestgehend gleich sind, wie kann der mit etwas weniger Rechten sogar mehr sehen (nämlich auch die Verzeichnisse von 1000)? Die müssten doch vom NAS gleich behandelt werden?

Gibt es hiezu irgendeine plausible Erklärung?

[QT]

Mein QNAP TS-421:

Code: Alles auswählen

[~] # id
uid=0(admin) gid=0(administrators)
[~] # pwd
/root
[~] # which sudo
/usr/bin/sudo

Den Displaynamen von uid=0 kannst du in /etc/passwd auf 1 beliebigen Wert setzen.

Hatte schon Firmenkisten gesehen, wo es in passwd gefühlt 100 uid=0 Einträge gab mit root001, root002, root003 etc etc

[kalamazoo]

Mein QNAP TS-421:

Danke! Die Ausgaben sind auf meinem TS-873 bis auf id ident.

Code: Alles auswählen

[~] # id
uid=0(admin) gid=0(administrators) groups=0(administrators),100(everyone)
[~] #

Sowohl unter der normalen Shell als auch nach # sudo bash bin ich admin (oder root), die Shells und das Environment sind aber unterschiedlich

Code: Alles auswählen

[~] # echo $0
-sh
[~] # sudo bash  
[/root] # echo $0
bash
[/root] #

Den Displaynamen von uid=0 kannst du in /etc/passwd auf 1 beliebigen Wert setzen.

Das wäre dann aber klarerweise die /etc/passwd vom NAS?

[QT]

Den Displaynamen von uid=0 kannst du in /etc/passwd auf 1 beliebigen Wert setzen.

Das wäre dann aber klarerweise die /etc/passwd vom NAS?

Das trifft auf jedes *NIX System zu, aber gerade bei QNAP würde ich es Dir nicht empfehlen zu tun!

[kalamazoo]

aber gerade bei QNAP würde ich es Dir nicht empfehlen zu tun!

Danke, da fummle ich nichts Gröberes herum, hier liegen fast alle meine Daten!