Anonymer Zugriff auf SAMBA / FTPD

[hermann72pb]

Ich hatte heute eine Neuigkeit festgestellt, die mir früher nicht klar war: Aktiviert man im AVM-WebIF Passwort für SAMBA / FTPD, so kann man wenigstens per SAMBA nicht mehr anonym auf die Freigaben zugreifen. Kann bitte jemand hier von den SAMBA-Kennern genauer erklären, was dabei passiert? Wird etwa smbd in einem anderen (benutzerfreien) Modus gestartet, oder geschieht dies rein durch die Benutzerverwaltung?
Ich hatte eigentlich erwartet, dass durch diese Option lediglich das Passwort für ftpuser festgelegt wird, nicht aber, dass ich gar nicht mehr ohne Passwort auf SAMBA-Freigaben zugreifen kann.
Kann man irgendwie trotz aktivierter Option im AVM-WebIF durch eine geschickte Konfiguration im benutzerdefiniertem Bereich vom FREETZ-WebIF-SAMBA den anonymous-Zugriff ohne Passwort erlauben? Mir schwebe da etwas in der Art vor, dass man zwei Gruppen dafür anlegen würde: smbusers und ftpusers und in diesem Fall z.B. anonymous als Benutzer der Gruppe smbusers hinzufügen. Die Verwaltung der Rechte würde ich sowieso eher über Dateisystem-Rechte machen (fat und ntfs sind hierbei natürlich raus). Vor allem anbetracht neuer Freigaben von AVM für "Musik", "Videos" und wie die alle heißen wäre es aus meiner Sicht zunächst mal wenigstens optional sinnvoll allen Leserechte auf Verzeichnisse zu geben.

MfG

 

[RalfFriedl]

Dafür gibt es in der Datei smb.conf den Parameter "guest ok". Wenn dieser Wert gesetzt ist, kann man sich mit jedem unbekannten Namen ohne Paßwort am Server als Gast anmelden. Auf Linux-Seite wird dafür der Benutzer genutzt, der mit "guest account" angegeben ist.
Ein dem Server bekannter Benutzer muß auch das dazugehörige Paßwort angeben. Der Samba-Server verwendet dann zum Zugriff diesen Benutzer, damit hat man dann unter Umständen andere Rechte.

 

[hermann72pb]

Danke für die Aufklärung, Ralf!
So weit die Theorie.
Die Freigaben in /mod/etc/smb.conf sehen folgendermassen aus:

[ARCHIV]
 path = /var/media/ftp/ARCHIV
 user =
 read only = no
 guest ok = yes
 write cache size = 65536
[Bilder]
 path = /var/media/ftp/Bilder
 user =
 read only = no
 guest ok = yes
 write cache size = 65536
...
...
[Videos]
 path = /var/media/ftp/Videos
 user =
 read only = no
 guest ok = yes
 write cache size = 65536

und zwar egal, ob man im AVM-WebIF Passwort definiert oder nicht. Es gibt kein globales "guest ok" (zumindest nicht in smb.conf) und "guest account" ist auch undefiniert. Deswegen scheint es an irgendeiner anderen Stelle zu passieren.
Wenn wir diese Stelle finden würden, würde ich dort gerne "guest ok" permanent auf "yes" setzen und die einzelnen "guest ok" pro Freigabe dann separat steuern.
Vielleicht sollte man dazu sogar eine WebIF-Seite spendieren. Ich kenne nämlich sowas ähnliches von meinem QNAP-NAS (basiert auch auf Linux/Samba). Dort kann man nämlich pro Share festlegen, ob für diese Share Gastzugang gelten sollte (wäre dann diese SAMBA-Option "guest ok") und ob man RW oder RO zugreifen kann (wäre die entsprechende "read only"-Option).

Hat noch jemand eine Idee, wo "guest ok" global vom AVM-WebIF gesetzt wird?

MfG

 

[RalfFriedl]

Der globale "guest ok" ist nur von Bedeutung als Default-Wert für Shares, wo nicht explizit etwas anderes angegeben wird, was hier aber der Fall ist.
Wenn "guest account" nicht angegeben ist, dann gibt es einen Default-Wert dafür. Laut man-Page ist def Default "nobody", sofern nicht beim Compilieren ein anderer Wert vorgegeben wird. Auf der Sicheren Seite ist man ,wenn man explizit einen Benutzer angibt.
Da Du anonym auf die Freigaben zugreifen wolltest, sollte das mit der "guest ok" Einstellung funktionieren. Es kann aber sein, daß der "guest account" nicht existiert und deswegen ein Zugriff als guest nicht möglich ist.

Hat noch jemand eine Idee, wo "guest ok" global vom AVM-WebIF gesetzt wird?

Ein wenig grep sagt, daß es /sbin/samba_config_gen ist.

 

[hermann72pb]

Die Datei /sbin/samba_config_gen gibt es auf meiner 7270 nicht. Dafür habe ich aber eine andere Config, nämlich /mod/etc/samba/smb.conf gefunden, die eigentlich aktiv ist. Wofür wir noch zusätzlich eine /mod/etc/smbd.conf mit einem anderen Inhalt haben, bleibt für mich rätselhaft.
Die Datei /mod/etc/samba/smb.conf wird auch als Konfiguration von meinem smbd benutzt.

MfG

 

[cuma]

samba_config_gen gibt es nicht? Dann hast du keine aktuelle Firmware (<.86) oder Freetz-Samba installiert
smb.conf: http://trac.freetz.org/changeset/6028

 

[hermann72pb]

Ich habe FREETZ-SAMBA, darum. Habe inzwischen die Stelle gefunden, wo alles passiert, was ich nicht so verstanden hatte:
http://trac.freetz.org/browser/trunk/make/samba/files/root/etc/default.samba/samba_conf
Zwar verstehe ich immer noch nicht, warum es denn unbedingt so versteckt unter defaults sein müsste, aber sei es drum.
Auf der Box habe ich 5979, also noch vor 6028. Soll ich es so verstehen, dass mit 6028 smb.conf endgültig nun nach /mod/etc/samba umgezogen ist?

Was passiert eigentlich, wenn ich eine der Shares doppelt definiere: Einmal wird sie automatisch in dieser "samba_conf" gesetzt und einmal definiere ich sie in den benutzerdefinierten Shares. Ist sowas überhaupt zulässig?
Wäre es nicht sinniger, wenn samba_conf solche Doppeldefinitionen abfängt und benutzerdefinierte Shares bevorzugt? Oder noch besser wäre, wenn wir a-la "AVM-Firewall" hier die Default-Shares irgendwie (am besten per WebIF) editieren lassen.

MfG

 

[cuma]

Es liegen doch alle PACKAGE_conf unter /etc/default.PACKAGE.
Dummheiten von Benutzern könnte man noch viel abfange, bei Samba zB Angabe falscher IP, falscher Benutzernamen, falsche Verzeichnisse und doppelte Freigabenamen. Nur lohnt sich das wirklich?

 

[hermann72pb]

Es geht mir nicht um Dummheiten, cuma. Ich überlege nur, wie ich mit einfachen Mitteln selbst beim gesetzten Passwort über AVM-WebIF gast-Account zunächst mal generell erlaube und dann separat pro Freigabe entziehe oder was auch immer damit mache.
So wie es jetzt realisiert ist, ist zwar schön und gut, bietet aber ziemlich wenig Freiheiten. Die Doppelbelegung wäre in diesem Falle aus Not entstanden. Denn per Default werden meine wunderschönen belabelten Partitionen erstmal alle so freigegeben, wie es über AVM-WebIF global entschieden wurde. Und das muss nicht immer gut sein.

Schau mal einfach, wie lange es gedauert hat, bis ich die Logik und die Zusammenhänge zwischen dem verstanden hatte, was da über AVM-WebIF eingestellt wird und was ich letztendlich per SAMBA erlebe. Ich werde sicherlich nicht der Letzte sein, der diese Logik nicht versteht. Deswegen auch die Idee, dass wir langfristig nicht einfach alles auf "guest ok = yes" oder eben "no" setzen, sondern, dass wir es dem Benutzer irgendwie erlauben zu editieren.

MfG

 

[cuma]

Bei "Freigaben" von Samba kannst du das ja einstellen wie du den "gast" haben möchtest. Dass die Standard(-AVM)-Freigaben für Freetz-Samba im AVM-Samba Webintraface festgelegt werden ist schon etwas verwirrend.. Man könnte auch überlegen das unabhängig vom AVM zu machen. Die Beschreibung, die ich vor kurzem noch für Firmware .86 abgepasst hab sollte aber helfen

 

[hermann72pb]

Wo gibt es diese Beschreibung? Wiki zu SAMBA?

MfG

 

[cuma]

Im Freetz-Samba Webinterface. Dein Trunk ist vermutlich zu alt

 

[cuma]

Im Freetz-Samba Webinterface. Dein Trunk ist vermutlich zu alt
EDIT: Noch etwas aufgebohrt: show current avm settings in freetz-webif