From: NilgünBelmaBugüner (nilgun@belgeler.org)
Date: Tue 22 Jun 2004 - 02:31:41 EEST
Selam,
Bir samba yapılandırma dosyası:
[global]
workgroup = LAB
security = SHARE
passdb backend = guest
mangle case = Yes
[netlogon]
comment = Sistemle ilgili dosyalar
path = /export/netlogon
write list = root
guest ok = Yes
[depo]
comment = Dosya Deposu
path = /export/depo
write list = guest
force user = depocu
force group = users
read only = No
guest ok = Yes
-----------------
[netlogon] salt okunur, [depo] ise okunup yazılabilen bir paylaşım.
Share-level security yapılandırmaya aşina olmalısınız, ayrıntısına
girmeyeceğim. Oldukça basit bir samba yapılandırması. Ama bir
güvenlik açığına yol açıyor:
Kök dizininin kullanıcısını "depocu", grubunu "users"
yapıyor ve kök dizininde *dünyaya* yazma izni veriyor.
Bunu /var/log/messages dosyasını incelerken farkettim.
DHCP iletileri arasında pam sürekli uyarı geçiyordu.
Kök dizinin sahibi root değil diye...
Bunu nedenini geriye doğru izlediğimde altından nobody
kullanıcısı çıktı. nobody kullanıcısının ev dizini / (kök).
[depo] paylaşımına yapılan ilk yazmada nobody, kök dizinini
kendi ev dizini olarak kendisinden samba tarafından istendiği
gibi düzenleyivermiş.
Ben buradan şu sonuca vardım:
root kullanıcısı dışındaki tüm kullanıcıların ev dizinleri en
azından kök dizinine göre 2. seviyede bir dizin olmalıdır.
nobody kullanıcısının ev dizinini /export/depo yaptığımda
bu sorun ortadan kalktı. Köke göre 1. seviye dizinler de
.. içermesi nedeniyle kök dizinini etkiliyor.
Kolay kolay başa gelmez, gelse de farkedilmeyebilir.
Paylaşmak istedim.
Esen kalın,
Nilgün