[Eisfair_dev] Wichtige Änderung in Samba 4.13

Kay Martinen usenet at martinen.de
Sa Okt 17 18:43:32 CEST 2020 

Am 17.10.20 um 17:30 schrieb Marcus Röckrath:
> 
> Kay Martinen wrote:
> 
>> Welche Nebeneffekte das haben könnte wäre noch zu bedenken, für Benutzer
>> die NICHT-Windows Clients verwenden. So wie ich.
>>
>> Denn
>>
>> ---snip---
>> unix extensions (G)
>>     Default: unix extensions = yes
>> ---snap...
>>
>> Eben mal mit testparm auf meinem E-64 Fileserver geschaut, unix
>> extensions sind aus. Wide Links an.
> 
> wide links auf yes und unix  extensions ebenfalls auf yes sind genau die
> Kombination die extrem riskant ist.

Das geht so wohl nicht. Siehe:

---snip---
allow insecure wide links (G)

    In normal operation the option wide links which allows the server to
follow symlinks outside of a share path is automatically disabled when
unix extensions are enabled on a Samba server. This is done for security
purposes to prevent UNIX clients creating symlinks to areas of the
server file system that the administrator does not wish to export.

    Setting allow insecure wide links to true disables the link between
these two parameters, removing this protection and allowing a site to
configure the server to follow symlinks (by setting wide links to
"true") even when unix extensions is turned on.
---snap---

Heißt: Beide auf yes schließen sich aus, es sei denn du setzt mit obigem
Parameter die Kopplung außer kraft.

Das dies die Schlechteste Idee von allen wäre muß man nicht betonen.

>> Die Frage ist nun, wenn wide links weg fallen würden, sind dann unix
>> extensions automatisch an?
> 
> Da yes der Default für unix extensions wäre, wären die natürlich dann an,
> denn derzeit werden sie zwangsweise durch wide links yes auf no gezogen.

Mir macht es mehr sorgen was mit meinen Dateien und Shares passiert wenn
ich jetzt schon wide links aus und unix extensions an schalten wollte
(weil ich ersteres eh nicht will) und dann Probleme beim Zugriff auf
dateien und Ordner hätte.

>> Und welche Auswirkungen hätte das wenn man 
>> vom client aus dateien modifiziert. Das sollte man für die Zukunft
>> genauer im Auge behalten. Wie in diesem Artikel
> 
> Die genauen Effekte schaue ich mir dann schon noch an; mein Anliegen war
> erstmal, für das Thema zu sensibilisieren.

Das ist dir gelungen. Ich werde mich wohl mal genauer damit befassen
müssen was die Effekte sein könnten.
> 
> Ein Freigabe ist für mich ein Gefängnis, aus dem sich der Besucher nicht in
> andere Bereiche bewegen kann.
> 

Mit wide links = yes kann man schon raus. Warum ist das bei Samba
default? Doch wohl nur wegen der Windows-Clients die meist nix anderes
als smb können.

Und ich nutze nach Win 7 nur noch Linux Clients und muß deswegen jetzt
lesen, verstehen und umsetzen was die folgen wären, sein könnten wenn
ich dies umstelle. Was im Eis-Samba per Menü m.W. nicht mal geht - als
samba-expert erforderte.

[Nachseh] man kann weder widelinks noch unix extensions ein, aus oder
umschalten in Samba.

Wäre ein Vorschlag dies ein zu bauen!

Kay

-- 
Posted via leafnode

Mehr Informationen über die Mailingliste Eisfair_dev