Seite 1 von 1
opsi-set-rights und Samba 4 (Debian Jessie) machen Scripts unbrauchbar
Verfasst: 07 Okt 2015, 16:07
von dark alex
Hallo zusammen,
ich bin gerade über folgendes Problem gestolpert:
Viele meiner Scripts starten direkt Exe-Dateien vom Share (%ScriptPath\setup.exe).
Mit Samba 4, das mit Debian Jessie ausgeliefert wird, hat sich eine Änderung ergeben:
Samba wertet jetzt das Execute-Bit aus.
Hat eine Datei also die Berechtigung rwxrwx---, kann sie ausgeführt werden.
Bei rw-rw----, was bei opsi-set-rights auf alle Dateien angewandt wird,
wird dieser Vorgang unterbunden.
Ist das so gewollt, einfach noch nicht beachtet worden oder ein Bug?
Hier ein anderer Support-Request passend zum Thema in der Debian-Bugs-Gruppe:
https://bugs.debian.org/cgi-bin/bugrepo ... bug=783252
Re: opsi-set-rights und Samba 4 (Debian Jessie) machen Scripts unbrauchbar
Verfasst: 07 Okt 2015, 17:15
von pandel
Re: opsi-set-rights und Samba 4 (Debian Jessie) machen Scripts unbrauchbar
Verfasst: 07 Okt 2015, 17:23
von dark alex
Oh Mist! übersehen!
Re: opsi-set-rights und Samba 4 (Debian Jessie) machen Scripts unbrauchbar
Verfasst: 26 Okt 2015, 08:08
von mdecker
Hat schon mal jemand die Variante 2 aus der verlinkten Doku ausprobiert? Die Zeichenfolge "allow general executable = True" findet sich praktisch nur in der OPSI-Dokumentation und sonst nirgendwo - auch nicht in der man page von samba. Funktioniert hat das bei mir entsprechend auch nicht.
Wenn man einen Blick in die man page wirft, dann steht dort:
smb.conf hat geschrieben:
acl allow execute always (S)
This boolean parameter controls the behaviour of smbd(8) when receiving a protocol request of "open for execution" from a Windows client. With Samba 3.6 and older, the execution right in the ACL was not checked, so a client could execute a file even if it did not have execute rights on the file. In Samba 4.0, this has been fixed, so that by default, i.e. when this parameter is set to "False", "open for execution" is now denied when execution permissions are not present.
If this parameter is set to "True", Samba does not check execute permissions on "open for execution", thus re-establishing the behaviour of Samba 3.6. This can be useful to smoothen upgrades from older Samba versions to 4.0 and newer. This setting is not meant to be used as a permanent setting, but as a temporary relief: It is recommended to fix the permissions in the ACLs and reset this parameter to the default after a certain transition period.
Default: acl allow execute always = False
Ich habe die entsprechende Option im globalen Abschnitt eingefügt und damit funktioniert es dann auch. Irgendwo stand außerdem noch beschrieben, dass man diese Option nicht global setzen muss, sondern auch für einzelne shares setzen kann. Das habe ich allerdings nicht getestet.
Damit macht Variante 2 für mich dann den besseren Eindruck als Variante 1 - zumindest vom Sicherheitsaspekt. Wobei das grundlegende Problem natürlich gelöst werden muss, bevor diese Option von samba nicht mehr unterstützt wird.
Re: opsi-set-rights und Samba 4 (Debian Jessie) machen Scripts unbrauchbar
Verfasst: 22 Feb 2017, 02:23
von cgiesers
Hallo zusammen!
Da ich über das gleiche Problem gestolpert bin, möchte ich hier korrigierend eingreifen.
http://download.uib.de/opsi4.0/doc/opsi ... tes-de.pdf <- der Betreffende Abschnitt ist falsch und funktioniert (zumindest unter Debian 8)
nicht!
Zitat Seite 21:
Variante 2:
Man kann global folgende Option in der smb.conf setzen: allow general executable = True
Korrekt ist jedoch:
acl allow execute always
Im Abschnitt "[global]"
Quellen:
https://forge.univention.org/bugzilla/s ... i?id=33785
http://unix.stackexchange.com/questions ... are/200130
Re: opsi-set-rights und Samba 4 (Debian Jessie) machen Scripts unbrauchbar
Verfasst: 22 Feb 2017, 09:53
von ueluekmen
Hi,
zu der Zeit als das kam, war noch nicht ganz klar, wie es aussehen wird. Die Option wurde irgendwann mal als Quickfix eingeführt und wurde dann irgendwann offiziell eingeführt. Im opsi-manual gibt es ein eigenes Kapitel: "Hinweise zum Wechsel zu Samba 4", da steht es richtig drin
Re: opsi-set-rights und Samba 4 (Debian Jessie) machen Scripts unbrauchbar
Verfasst: 24 Feb 2017, 14:40
von SisterOfMercy
I've found out that the best thing to do is ask samba its default parameters. You get a long list of settings. This also helps with settings that have been removed ages ago but are still in your config files.