opsi-set-rights und Samba 4 (Debian Jessie) machen Scripts unbrauchbar

Antworten
dark alex
Beiträge: 326
Registriert: 11 Mär 2015, 10:09

opsi-set-rights und Samba 4 (Debian Jessie) machen Scripts unbrauchbar

Beitrag von dark alex »

Hallo zusammen,

ich bin gerade über folgendes Problem gestolpert:
Viele meiner Scripts starten direkt Exe-Dateien vom Share (%ScriptPath\setup.exe).
Mit Samba 4, das mit Debian Jessie ausgeliefert wird, hat sich eine Änderung ergeben:
Samba wertet jetzt das Execute-Bit aus.

Hat eine Datei also die Berechtigung rwxrwx---, kann sie ausgeführt werden.
Bei rw-rw----, was bei opsi-set-rights auf alle Dateien angewandt wird,
wird dieser Vorgang unterbunden.
Ist das so gewollt, einfach noch nicht beachtet worden oder ein Bug?

Hier ein anderer Support-Request passend zum Thema in der Debian-Bugs-Gruppe:
https://bugs.debian.org/cgi-bin/bugrepo ... bug=783252
dark alex
Beiträge: 326
Registriert: 11 Mär 2015, 10:09

Re: opsi-set-rights und Samba 4 (Debian Jessie) machen Scripts unbrauchbar

Beitrag von dark alex »

Oh Mist! übersehen!
mdecker
Beiträge: 85
Registriert: 26 Mär 2012, 16:20

Re: opsi-set-rights und Samba 4 (Debian Jessie) machen Scripts unbrauchbar

Beitrag von mdecker »

Hat schon mal jemand die Variante 2 aus der verlinkten Doku ausprobiert? Die Zeichenfolge "allow general executable = True" findet sich praktisch nur in der OPSI-Dokumentation und sonst nirgendwo - auch nicht in der man page von samba. Funktioniert hat das bei mir entsprechend auch nicht.

Wenn man einen Blick in die man page wirft, dann steht dort:
smb.conf hat geschrieben: acl allow execute always (S)

This boolean parameter controls the behaviour of smbd(8) when receiving a protocol request of "open for execution" from a Windows client. With Samba 3.6 and older, the execution right in the ACL was not checked, so a client could execute a file even if it did not have execute rights on the file. In Samba 4.0, this has been fixed, so that by default, i.e. when this parameter is set to "False", "open for execution" is now denied when execution permissions are not present.

If this parameter is set to "True", Samba does not check execute permissions on "open for execution", thus re-establishing the behaviour of Samba 3.6. This can be useful to smoothen upgrades from older Samba versions to 4.0 and newer. This setting is not meant to be used as a permanent setting, but as a temporary relief: It is recommended to fix the permissions in the ACLs and reset this parameter to the default after a certain transition period.

Default: acl allow execute always = False
Ich habe die entsprechende Option im globalen Abschnitt eingefügt und damit funktioniert es dann auch. Irgendwo stand außerdem noch beschrieben, dass man diese Option nicht global setzen muss, sondern auch für einzelne shares setzen kann. Das habe ich allerdings nicht getestet.
Damit macht Variante 2 für mich dann den besseren Eindruck als Variante 1 - zumindest vom Sicherheitsaspekt. Wobei das grundlegende Problem natürlich gelöst werden muss, bevor diese Option von samba nicht mehr unterstützt wird.
cgiesers
Beiträge: 44
Registriert: 22 Feb 2017, 02:11

Re: opsi-set-rights und Samba 4 (Debian Jessie) machen Scripts unbrauchbar

Beitrag von cgiesers »

Hallo zusammen!

Da ich über das gleiche Problem gestolpert bin, möchte ich hier korrigierend eingreifen.
http://download.uib.de/opsi4.0/doc/opsi ... tes-de.pdf <- der Betreffende Abschnitt ist falsch und funktioniert (zumindest unter Debian 8) nicht!
Zitat Seite 21:
Variante 2:
Man kann global folgende Option in der smb.conf setzen: allow general executable = True
Korrekt ist jedoch:
acl allow execute always
Im Abschnitt "[global]"

Quellen:
https://forge.univention.org/bugzilla/s ... i?id=33785
http://unix.stackexchange.com/questions ... are/200130
Benutzeravatar
ueluekmen
uib-Team
Beiträge: 1939
Registriert: 28 Mai 2008, 10:53

Re: opsi-set-rights und Samba 4 (Debian Jessie) machen Scripts unbrauchbar

Beitrag von ueluekmen »

Hi,

zu der Zeit als das kam, war noch nicht ganz klar, wie es aussehen wird. Die Option wurde irgendwann mal als Quickfix eingeführt und wurde dann irgendwann offiziell eingeführt. Im opsi-manual gibt es ein eigenes Kapitel: "Hinweise zum Wechsel zu Samba 4", da steht es richtig drin :D
opsi support - uib gmbh
For productive opsi installations we recommend support contracts.
http://www.uib.de
Benutzeravatar
SisterOfMercy
Beiträge: 1522
Registriert: 22 Jun 2012, 19:18

Re: opsi-set-rights und Samba 4 (Debian Jessie) machen Scripts unbrauchbar

Beitrag von SisterOfMercy »

I've found out that the best thing to do is ask samba its default parameters. You get a long list of settings. This also helps with settings that have been removed ages ago but are still in your config files.
Bitte schreiben Sie Deutsch, when I'm responding in the German-speaking part of the forum!
Antworten