Ich habe mein NAS von Debian 10 auf Debian 12 aktualisiert ( Neuinstallation ). Der Webserver läuft in einer Virtualbox VM. In dem Webserver benötige ich 2 Verzeichnisse des NAS ( Backups, und Archiv ) mit unterschiedlichen Rechten auf dem Webserver aber ein Benutzerkonto auf dem Host. Auf dem Host ( NAS ) ist das Benutzerkonto "webserver" .In der Webserver VM wird das webserver home auf dem NAS als Netzlaufwerk über sshfs eingebunden.
Unter Debian 10 konnte ich auf dem WebserverVM Netzlaufwerk innerhalb der VM die Rechte ändern, sodass Datei/Verzeichnis 1 in der VM 755 root:root und Datei/Verzeichnis 2 731 root:root und Datei 3 Verzeichnis 3 755 www-data:www-data gesetzt war. Alles aus der VM heraus. Jetzt bekomme ich die Meldung, dass eine Berechtigung beim Ändern des Benutzers der Datei fehlt.
Mounte ich als user kann ich die Rechte nicht auf www:data oder root ändern. Unter D10 ging das noch.
Das sshfs Backupverzeichnis der WebserverVM soll mit einfachem User über sshfs gemountet werden. In der VM werden mit root rechten Backups in der Verzeichnis kopiert und dann die Rechte der Dateien geändert. Dabei erhalte ich folgende Fehlermeldungen:
Autofs/sshfs optionen:
ntab_Webserver_Storage -fstype=fuse,rw,allow_other,follow_symlinks,noatime,nodev,max_read=65536,IdentityFile=/home/user/.ssh/id_rsa,UserKnownHostsFile=/home/user/.ssh/known_hosts :sshfs\#webserver@NAS:
Code: Alles auswählen
chown: der Eigentümer von '/mnt/autofs/ntab_Webserver_Storage/Backups/Websites/www.website.de/daily' wird geändert: Keine Berechtigung
chown: der Eigentümer von '/mnt/autofs/ntab_Webserver_Storage/Backups/Websites/www.website.de/weekly wird geändert: Keine Berechtigung
chown: der Eigentümer von '/mnt/autofs/ntab_Webserver_Storage/Backups/Websites/www.website.de/monthly' wird geändert: Keine Berechtigung
cp: der Eigentümer für '/mnt/autofs/ntab_Webserver_Storage/Backups/Websites/www.website.de/daily/www.website.de/restore.sh' konnte nicht beibehalten werden: Keine Berechtigung
cp: der Eigentümer für '/mnt/autofs/ntab_Webserver_Storage/Backups/Websites/www.website.de/daily/www.website.de' konnte nicht beibehalten werden: Keine Berechtigung
Rechte der Verzeichnisse in der VM :
Code: Alles auswählen
drwxr-xr-x 1 speefak speefak 4,0K 22. Aug 10:45 daily
drwxr-xr-x 1 speefak speefak 4,0K 22. Aug 02:06 monthly
drwxr-xr-x 1 speefak speefak 4,0K 22. Aug 02:06 weekly
Code: Alles auswählen
drwxr-xr-x 9 webserver webserver 4,0K 22. Aug 10:45 daily
drwxr-xr-x 2 webserver webserver 4,0K 22. Aug 02:06 monthly
drwxr-xr-x 2 webserver webserver 4,0K 22. Aug 02:06 weekly
Shared Folder aus der VM über Virtualbox selbst funktioniert in meinem Fall auch nicht fehlerfrei. Das Hauptverzeichnis des Hosts wird korrekt auf dem Gast eingebunden ( /mnt/sf_Main ). Das zweite Verzeichnis ( /mnt/sf_Seconds ) allerdings nicht. Es scheint ein Problem mit den Parsern der sfvbox mounts zu sein, wenn ein Shared Folder mehrfach mit verschiedenen Rechten eingebunden werden soll. Erstelle ich die Mountpoints für die SF Shared Folder manuell und mounte diese manuell funktioniert es manchmal und manchmal ich. Habe ich beide sf Shares manuell gemountet und reboote die VM sind beide Verzeichnisse nach dem reboot nicht mehr vorhanden ( obwohl manuell erstellt ). Verschwindende Verzeichnisse sind mir ein wenig suspekt gerade wenn es um Backups geht. Zudem kann man die Shared Folder auch nicht auf 755 setzen ( XX0 geht ) was o.g. Problem wie bei sshfs verursacht. Das NAS hatte sich einige male komplett aufgehängt als ich mit den Shared Foldern herumprobierte und was mich noch mehr wunderte : Als ich mit den Shared Foldern und deren Konfiguration herumprobierte streikte nach einem Reboot erst Virtualbox ( segmentaition fault ) und nach einem weiteren Reboot dann auch noch der Apache. Ich konnte im journal keinen Fehlermeldung des Apache finden und habe ihne daher kurzerhand einfach neu installiert. Nun läuft alles wieder - komisch ist o.g. Sachverhalt trotzdem.
Fazit zu den Virtualbox Shared Foldern => in meinem Fall so nicht nutzbar ( oder ich habe noch nicht alle Optionen durch )
Da bleibt dann nur sshfs/autofs.
SSHFS ist eine Sicherheitslücke, denn die sshfs Mounts erfordern eine sshkey Verbindung ohne PW Abfrage. Aus dem Grund und um Leistung zu sparen ( sshfs benötigt mehr CPU als Shared Folder ) dachte ich an die Shared Folder. /bin/bash für den user auf false zu setzen funktioniert mit sshfs nicht. Man könnte den Webserveraccound auf dem NAS in einen Chroot sperren oder in der .bashrc ein "sleep 2 && exit" ans Ende setzen. Für versierte Hacker wird das kein Hindernis sein aber für viele Scriptkiddies etc. schon. Dazu läuft noch fail2ban und Email Versandt bei SSH Login. Es gibt nur 1 Account für den SSH mit mind. 20 stelligem PW aus allen Zeichen. Das ist schon recht Sicher