ubuntuusers.de

Hallo,

wir haben in unserem Intranet einen Samba-Server im Einsatz, auf den von außen kein Zugriff besteht. Innerhalb dieses Intranets haben alle Mitarbeiter (allesamt Windows-Nutzer außer mir) Zugriff auf die Samba-Freigabe. Für mich als Linux-Nutzer wäre es aber bequemer, auf das Verzeichnis dieser Freigabe ohne Samba zuzugreifen (also z.B. per ssh oder fuse). Dem scheint ja technisch auch nichts im Weg zu stehen.

Nun lese ich aber überall und insbesondere auf der Samba-Seite des Ubuntu-Wiki:

Falls man das Passwort der Samba-Freigabe an eine größere Gruppe verteilen will, so ist es sinnvoll dafür einen speziellen Account auf dem eigenen System anzulegen, der sich weder einloggen kann, noch ein Homeverzeichnis hat, oder sonst etwas darf. Durch das Deaktivieren eines Benutzers kann man für diesen den Zugriff auf Samba vorübergehend sperren, ohne dafür sein Passwort zu verändern oder seinen Eintrag zu löschen.

Warum ist es nun sinnvoll diesem Nutzer das einloggen zu verweigern? Gibt es da irgendwelche sicherheitstechnischen Gründe?

Für mich als Linux-Nutzer wäre es aber bequemer, auf das Verzeichnis dieser Freigabe ohne Samba zuzugreifen

Warum?

also z.B. per ssh oder fuse

Das sind zweierlei Dinge. SSH (und SFTP) ist ein Internet-Dienst bzw. -Protokoll. FUSE ist ein Dateisystem im Userspace auf dem Client, über das dort Freigaben verschiedener Dienste eingebunden werden können.

Falls man das Passwort der Samba-Freigabe an eine größere Gruppe verteilen will, so ist es sinnvoll dafür einen speziellen Account auf dem eigenen System anzulegen, der sich weder einloggen kann, noch ein Homeverzeichnis hat, oder sonst etwas darf

Wenn ich Dich richtig verstehe, dann hat das mit Deinem Vorhaben nichts zu tun. Es handelt sich hier um eine reine Samba-Angelegenheit, die mit anderen Diensten (ssh ...) nichts zu tun hat.

Warum ist es nun sinnvoll diesem Nutzer das einloggen zu verweigern? Gibt es da irgendwelche sicherheitstechnischen Gründe?

Außer dem allgemeinen Prinzip, nichts zu erlauben, was nicht nötig ist, kenne ich keine. Der ausschließliche Zweck sieses (scheinbaren) Nutzers ist halt der "kollektive" Zugriff über Samba für eine ganze User-Gruppe, ohne dass dafür der allzu liberale Gast-Zugriff erlaubt wird. Man kann eben nicht ein Passwort an eine Gruppe vergeben, sondern nur an einen bestimmten Benutzer.

Ob dieses Verfahren wirklich das günstigste ist, hängt davon ab, wie auf die Freigaben zugegriffen werden soll. Eine andere Möglichkeit ist, dass sich nur der Administrator mit einem eigenen Kennwort in Samba einloggen darf, und dass dieser dann auf den Clients systemweite "Netzwerk-Laufwerke" einrichtet, für die er dann die Zugriffsrechte selbst festlegt.

Gruß – Max-Ulrich

Max-Ulrich_Farber schrieb:

Warum ist es nun sinnvoll diesem Nutzer das einloggen zu verweigern? Gibt es da irgendwelche sicherheitstechnischen Gründe?

Außer dem allgemeinen Prinzip, nichts zu erlauben, was nicht nötig ist, kenne ich keine. Der ausschließliche Zweck sieses (scheinbaren) Nutzers ist halt der "kollektive" Zugriff über Samba für eine ganze User-Gruppe, ohne dass dafür der allzu liberale Gast-Zugriff erlaubt wird. Man kann eben nicht ein Passwort an eine Gruppe vergeben, sondern nur an einen bestimmten Benutzer.

Danke erstmal für diese Einschätzung!

Nun noch eine Erklärung dazu:

Für mich als Linux-Nutzer wäre es aber bequemer, auf das Verzeichnis dieser Freigabe ohne Samba zuzugreifen

Warum?

also z.B. per ssh oder fuse

Das sind zweierlei Dinge. SSH (und SFTP) ist ein Internet-Dienst bzw. -Protokoll. FUSE ist ein Dateisystem im Userspace auf dem Client, über das dort Freigaben verschiedener Dienste eingebunden werden können.

Als Linux-Nutzer ist Samba ja ein unnötiger Umweg, um von einem Linux-Rechner auf einen anderen zuzugreifen. Als kommandozeilenaffiner Nutzer möchte ich z.B. gerne mal etwas von einem Linux-Rechner auf den anderen per scp schieben. Oder aber einfach das Verzeichnis des entfernten Linux-Rechners per fuse im lokalen an einer bestimmten Stelle einhängen. Mag sein, dass das alles mit Samba irgendwie auch geht, aber es erscheint mir in einer reinen Linux-Umgebung abwegig dafür Samba zu nutzen.

Mag sein, dass das alles mit Samba irgendwie auch geht, aber es erscheint mir in einer reinen Linux-Umgebung abwegig dafür Samba zu nutzen.

Viele nutzen in einer Linux-Umgebung auch Samba. Der einzige Nachteil ist, dass Samba halt wegen des mächtigen Überbaus nicht gerade durch Tempo glänzt. Aber SSH z.B. ist auch nicht wirklich schnell. Und über das "Tempo" von FTP mit curlftpfs war ich nur enttäuscht...

Viele haben 'was gegen Samba, weil das verwendete Protokoll smb bzw. cifs von Microsoft stammt und deshalb mit Windows kompatibel ist. Ich habe damit kein Problem. Wegen der Besitz-und Zugriffsrechte und zur Entlastung des Gedächtnisses ist es immer von Vorteil, wenn man sich in einem LAN im Wesentlichen auf einen einzigen Dienst konzentriert. Und weil schon Windows-Maschinen im Netz sind, bietet sich doch Samba an. Samba ist – zumindest für Standalone-Server – ausgereift, vielseitig und sicher, und es gibt dafür auch einige recht angenehme graphische Tools. Und für die Kommandozeile gibt es smbclient. Ich würde mir nicht das Leben damit schwer machen, ohne Notwendigkeit parallel mit mehreren Diensten im gleichen LAN zu arbeiten – außer vielleicht noch SSH bzw- graphisch Vino und Vinagre, falls Du eine Maschine remote-administrieren möchtest.

Gruß – Max-Ulrich