[gelöst]Probleme mit Datei-/Ordnerrechten beim Mounten vom NAS auf Raspi

[Otto123]

Hi,

ich lese hier immer mit, ich bin sicher auf keinem besseren Stand wie Werner. Ich werfe mal meine Konfiguration hier rein, mit der habe ich getestet:
Meine Samba Konfig auf einem Raspberry mit jessie -> https://github.com/heinz-otto/raspberry/blob/master/setupSamba.sh
Mein Test auf einem anderen Raspberry mit buster (meine Basis war meine Notiz hier https://heinz-otto.blogspot.com/search?q=cifs)

Meine Verbindung ist anonym das Konto UserName existiert nicht

Code Auswählen Erweitern

sudo su
mount -t cifs -o username=UserName,password=Passwort //raspib3/SonosSpeak /media/daten
echo Test > /media/daten/test.txt
ls -lha /media/daten/test.txt
-rwxrwxrwx 1 root root 6 Jan 14 21:18 /media/daten/test.txt
umount /media/daten
mount -t cifs -o username=UserName,password=Passwort,file_mode=0777,vers=1.0 //raspib3/SonosSpeak /media/daten
-rwxr--r-- 1 nobody nogroup 6 Jan 14 21:18 /media/daten/test.txt

Ich habe den mount Befehl auch auf einem anderen Raspberry mit jessie ohne vers=1.0 getestet, da sehe ich die datei auch mit -rwxr--r-- 1 nobody nogroup

Also ich denke das Verhalten liegt an vers=1.0

Gruß Otto

[frober]

Danke Otto,
ich werde Mal die Freigabe von der Fritzbox entfernen. Mal schauen ob dann vers2, bzw. es ohne Vers.- Angabe funktioniert...

Aktuell bin ich der Meinung, dass es an OpenWrt (Singleusersystem) hängt!?

Unix Extensions funktioniert, egal wo ich die Rechte ändere (Server/Client), die Änderung wird auf der anderen Seite angezeigt.
Eine Idee wäre noch Unix Extensions auf No zu setzen.

Teste heute Abend nochmal...

[Wernieman]

Auch OpenWRT ist Linux und damit ein Multi-User-System.

[frober]

Auch OpenWRT ist Linux und damit ein Multi-User-System.

Jain, in OpenWrt sind in der Busybox adduser usw. gesperrt. Man kann diese zwar über Shadow-Pakete nachrüsten...
Daher bin ich mir nicht sicher, ob hier das Verhalten der Rechtevergabe abweicht...

[Wernieman]

Vom Kern her ist es ein Multi-User-System.

Das in den "höheren Schichten" neue User nicht angelegt werden können, ist dabei irrelevant. Es ist mir keine Möglichkeit bekannt, aus dem Linux-Kernel ein Single-User-System zu machen. Entsprechend sind auch die (unix) Berechtigungen wie auf anderen Linux-Systemen.

Nur als Beispiel:
Schaue Dir mal die /etc/passwd an und gucke nach, wie viele User es bei Dir schon gibt ... ;o)

[claudio-fhem]

Wenn openWRT ein Teil des Problems ist, dann wegen einer alten Samba Version.

Was ergibt denn dort:

Code Auswählen Erweitern

samba --version

?



PS: Du checkst die Rechte der angelegten Dateien/Ordner direkt auf dem openWRT, oder? Hast du mal die Dateien/Ordner über Samba angeschaut? Da kann der User/die Rechte anders sein...

[Otto123]

Wenn in der fstab vers=1.0 erzwungen/gewünscht wird ist die samba version doch nicht der limitierende Faktor.

[claudio-fhem]

OK, ich hätte das WENN in fett setzen sollen...

[frober]

PS: Du checkst die Rechte der angelegten Dateien/Ordner direkt auf dem openWRT, oder? Hast du mal die Dateien/Ordner über Samba angeschaut? Da kann der User/die Rechte anders sein...

Samba müsste, die wie oben schon geschrieben V3.6 sein. Kontrolliere ich heute Abend  nochmal....


Die Rechte kontrolliere ich mittels SSH auf dem  openWRT und auf dem Raspi. Also Server und Client.

Was meinst du genau mit "über Samba angeschaut"? Den Samba- User auf OpenWrt?



Bzgl. Multi-User-System habt ihr wohl Recht. Meine Kenntnisse sind hier eher noch bescheiden, habe nur weitergegeben was ich gelesen habe.

[Otto123]

Windows Server (sollte bei Samba genauso sein) kennt Rechte im Dateisystem und Rechte in der Freigabe. Also man kann alle Rechte im Dateisystem haben, wenn die Freigabe Readonly ist ist sie read only. Genau umgekehrt, wenn die Freigabe RW hat und das Dateisystem ist readonly für den User dann ist es auch wieder readonly.
Mein Test gestern sagt mir:
Der CIFS Client macht da offenbar noch die dritte Berechtigungsebene  beim mounten ...
Ich habe ja in meinem Test eine Datei auf dem Server, die sehe ich von zwei Verbindungen mit  zwei unterschiedlichen Berechtigungen. Die Verbindung unterscheidet sich nur in der vers=1.0 - was bei jessie offenbar die default Einstellung war. So richtig finde ich die exakte Doku dazu nicht.
Kann auch sein der samba Server macht das: abhängig von der Protokoll Version bekommt der Client nur einen Schreibgeschützten Zugang.
ich stelle das unter OpenWrt gerade nach, dauert aber noch etwas

[claudio-fhem]

Samba müsste, die wie oben schon geschrieben V3.6 sein. Kontrolliere ich heute Abend  nochmal....

Dann würde ich auf jeden NICHT mehr smb1 verwenden. Wenn Client und Host "modern" können, auf jeden Fall smb1 weg.

https://techcommunity.microsoft.com/t5/storage-at-microsoft/stop-using-smb1/ba-p/425858

Was meinst du genau mit "über Samba angeschaut"? Den Samba- User auf OpenWrt?

Wie Otto schrob, check die Rechte nicht auf der Ebene von openWRT, sondern auf der Ebene des Samba-Shares, wenn er auf dem Rechner, wo du den Zugriff brauchst, gemountet ist.

[Wernieman]

Verwendet eigentlich der Samba in der Version nicht ACLs?
prüfe es doch mal mit getfacl .. sofern vorhanden ...

[frober]

Das Problem ist gelöst

@Otto : Du hast Recht, es liegt indirekt an Vers. 1.0, genauer an den "unix extension".
Durch Zufall habe ich heute gelesen, dass anscheinend NUR Vers.1.0 die "unix extension" unterstützt.
Ich habe den Mount von der FritzBox entfernt und versucht ohne, bzw. mit Vers.2.0 zu mounten. Funktioniert nicht, bringt eine Fehlermeldung. Anscheinend funktioniert unter Jessie nur Vers.1.0.

In openWRT habe ich nun unix extension auf no gesetzt. Und siehe da...funktioniert wie gewollt.

War ne harte Nummer, schwitz.  

Verwendet eigentlich der Samba in der Version nicht ACLs?
prüfe es doch mal mit getfacl .. sofern vorhanden ...

getfacl ist vorhanden

Danke an alle für die Unterstützung, jetzt habe ich wenigstens nur eine halbe Glatze

Grüsse Bernd


Nachtrag: Wenn meine Todo-liste geschrumpft ist, steht der Wechsel auf Stretch/Buster an.

[Otto123]

Zur Abrundung der Erkenntnisse

Ich bin nicht sicher wann genau,, aber in mount cifs wurde die default Einstellung geändert (sicher ist es mit buster so) da wird "neu" SMB3 (bedeutet SMB2.1 oder später)verwendet.
Will man das nicht, muss man beim mount vers=1.0 angeben. In der aktuellen manpage zu mount cifs steht es anders!(alt: default wäre SMB1)
Man erhält diesen Fehler wenn man mit "neuem" cifs auf einen "alten" Server mit SMB1 (max protocol = SMB2) (ist eben nicht SMB2.1!) mounten will.

Code Auswählen Erweitern

tail -f  /var/log/kern.log

CIFS VFS: cifs_mount failed w/return code = -22
Jan 15 19:49:03 raspib2 kernel: [1127092.008120] No dialect specified on mount. Default has changed to a more secure dialect, SMB2.1 or later (e.g. SMB3), from CIFS (SMB1). To use the less secure SMB1 dialect to access old servers which do not support SMB3 (or SMB2.1) specify vers=1.0 on mount.

OpenWrt 18.06 bietet nur Samba 3.6 - das wiederum bietet nur SMB2 https://wiki.samba.org/index.php/Samba3/SMB2
OpenWrt 19.07  (seit ein paar Tagen released) bietet Samba 4
Jessie hatte schon Samba 4.2.14 - deswegen war mein Test gestern "anders".

avm redet seit über einem Jahr von "Support besser als SMB1", realisiert ist es bisher nicht! Lediglich in Laborversionen! SMB1 gilt seit Jahren als unsicher und sollte nicht mehr verwendet werden.

Gruß Otto

[frober]

Hallo Otto,

danke für die Klarstellung[emoji3][emoji106]

Bei mir läuft OpenWRT 18.06 als Subsystem mit VLANs hinter einer Fritzbox 7360 (etwas angegraut) in Kaskade.
Da die Freigabe nun funktioniert hat die Fritzbox-Freigabe ausgedient.[emoji3]

Die Sicherheit von Vers1.0 wird im Subnetz, denke ich, nicht so ins Gewicht fallen.[emoji849]

OpenWRT incl. Subnetz usw. habe ich erst über die Feiertage eingerichtet. Davor war alles direkt in der DMZ von der Fritte. Bin froh, dass es erstmal läuft ...

Den Raspi werde ich, sobald ich die Zeit finde updaten ...

Gruß und schönen Abend noch