Bookworm | Rechte | user pi soll im Ordner /fhem bearbeiten dürfen

Wernieman · 23 Februar 2025, 10:06:44

Zitat(für alle 777)

Egal wie, 777 ist immer die blödeste und sinnloseste Einstellung, die man sich denken kann.

holle75 · 23 Februar 2025, 10:08:53

Zitat von: Wernieman am 22 Februar 2025, 22:54:05-> Wo sind jetzt Deine Probleme?

jetzt nirgendwo mehr.

Aber genau deine Antworten vor der Frage hatte ich eigentlich mit meiner ersten Frage gesucht.

Aber gut, so profitieren jetzt andere ....

Wenn jetzt noch jemand der sich auskennt die Terminal-Befehle bereitstellt .... (mmh, dann müsste man auch die smb.conf noch zumindest anteasen)

.... weil sonst wirds genau mein

Code Auswählen

sudo chmod -R 777 /opt/fhem copy+paste

weil die Leute an dem Punkt schon so nen Brass haben, dass sie nicht mehr lange suchen wollen.

Das ist das Problem mit Sicherheit. Ab einem bestimmten Komplixitätspunkt will man es einfach nur noch loswerden. Und dann schwappt das in die genau andere Richtung.

Zitat von: Wernieman am 23 Februar 2025, 10:06:44Egal wie, 777 ist immer die blödeste und sinnloseste Einstellung, die man sich denken kann.

Ah danke

frober · 23 Februar 2025, 10:48:14

...und da es anscheinend zu schwer und aufwendig ist im Inet zu suchen, hier eine recht gute und ausführliche Erklärung der Berechtigungen:

https://wiki.ubuntuusers.de/Rechte/#Basisrechte

Hat keine 10s gedauert den Link zu finden.

holle75 · 23 Februar 2025, 11:15:24

@frobster

les bitte den Thread von Anfang an bevor du ironisch wirst. Gehe davon aus, dass dein Gesprächspartner kein Idiot ist. Verstehe die besprochene Gesamtproblematik und den Ansatz.

@Werniemann

noch mal zu der Pauschalaussage "chmod 777" ist blöd und sinnlos.

Es gibt auf MEINEM Rpi (der Ansatz war allerdings eine allgemeingültige, bessere Lösung auch für andere zu finden) zwei User: fhem und pi. Netzwerkzugriff hat nur pi. pi hat ein sicheres Passwort.

Wo wäre das Problem wenn diese zwei User Vollzugriff ("jeder") auf einen Ordner haben?

frober · 23 Februar 2025, 13:45:16

Zitat von: holle75 am 23 Februar 2025, 11:15:24@frobster

les bitte den Thread von Anfang an bevor du ironisch wirst. Gehe davon aus, dass dein Gesprächspartner kein Idiot ist. Verstehe die besprochene Gesamtproblematik und den Ansatz.

Ich habe den kompletten Thread gelesen! Im 2. Post schreibst du, dass du 3h vergebens im Inet gesucht hast, des Weiteren setzt du ohne "nachzudenken" deine Rechte auf 777...
Somit sehe ich meine Ironie als gerechtfertigt, zumal sich das Verhalten (auch von anderen Usern) quer durchs Forum zieht.
...und von Idiot habe ich nichts geschrieben, auch nicht zw. den Zeilen. Wenn dann eher von Bequemlichkeit.

Wie kommst du darauf, das Fhem kein Netzwerkzugriff hat? Wie soll sonst der Webserver (Fhemweb) erreichbar sein? Daten via MQTT, Webseiten etc. zu erhalten?
Vermutlich ist dein Fhem auch aus dem Internet erreichbar!?

Es geht hier nicht um die Gefahr lokal auf dem Rechner, mit falsch gesetzten Rechten öffnest du die "Toren" nach außen. Dafür muss nicht mal der Fhemserver gehackt werden, es reicht auch dein Windows-Rechner zu kompromittieren der im gleichen Netzwerk hängt.

Meiner Meinung nach haben wir alle, die einen Server etc. betreiben, die Verantwortung nach besten Wissen und Gewissen unberechtigten Zugriff zu verhindern. Ich möchte mit meinen Server/Rechner kein Teil eines Bot-Netztes werden das Spam-Mails versendet oder DDOS-Angriffe etc. durchführt. Von den anderen Gefahren ganz zu schweigen.
...und ich bin auch kein Profi, eher ein fortgeschrittener Anfänger.

Meine 2ct...

Wernieman · 23 Februar 2025, 14:59:43

Es gibt mit Absicht unter Unix den User/Gruppen und alle. Und ja, es giet auf jedem Unix-System mehr Nutzer als Du aufgezählt hast.

Mach doch mal:

Code Auswählen

wc -l /etc/passwdDer Minimale Laptop vor meiner Nase hat schon 49 Benutzerakkounts .... und dabei ist das nichts besonderes. Und gerade, das aus Frust 777 gesetzt wird, passiert eben nicht nur hier, sondern auf dem kompletten System und auch mit anderen Rechten. Auch merkst Du dann nicht, wenn DU mit dem falschen User drin "rumschreibst". Es geht also nicht nur um Sicherheit, sondern auch Wartbarkeit etc. .. spätestens beim nächsten Update (und ja, nach einem Update ist vor dem nächsten) kann es Dir um die "Ohren fliegen".

Ansonsten hat @frober schon einiges geschrieben.

Kurzfassung: chmod 777 ist nicht Dau und Experte, sondern einfach nur doof (sorry für den Ausdruck)

holle75 · 23 Februar 2025, 18:25:36

Ich danke euch für eure Meinungen.

Werde mal in einem anderen Forum nachfragen, wie man sicher und stateoftheart einen Netzwerkzugriff auf einen Linux/Debian/Raspbian Odner mit allen Rechten anlegt.

Wernieman · 23 Februar 2025, 22:29:21

Sorry aber hast Du nicht oben geschrieben, das Deine Probleme gelöst sind?

Ansonsten würde ich nicht auf 777, sondern 770 und passende Gruppen setzen. Nur eben wegen Samba .... da kenne ich mich (s.o.) nicht aus.

holle75 · 23 Februar 2025, 22:57:39

Zitat von: holle75 am 23 Februar 2025, 10:08:53
Zitat-> Wo sind jetzt Deine Probleme?

jetzt nirgendwo mehr.

Alles funktioniert so wie ich mir das wünsche. Auf die Frage aus dem ersten Beitrag, was der richtige, allgemeingültige Weg ist (ohne chmod 777), hatte ich noch keine Antwort gefunden. Danke für deinen letzten Beitrag. Ich werde das verfolgen.

holle75 · 25 Februar 2025, 11:57:17

Um diesen Thread mit der Frage nach einem Konzept für den "sicheren" Netzwerkzugang mit Vollzugriff auf den Ordner /fhem, Unterordner und Dateien darin auch für andere informativ abzuschließen:

Davon ausgehend, man ist als User pi eingeloggt
@Wernieman s Vorschlag folgend

Code Auswählen

sudo chmod -R 770 /opt/fhem um dem Besitzer (fhem) und Gruppenzugehörigen (dialout) Vollzugriff zu gewähren (anzeigen, ändern, ausführen) ... ausführen könnte man wahrscheinlich noch auf den Besitzer einschränken.

Um den Benutzer pi der Gruppe dialout zuzufügen (und man im Moment als pi eingeloggt ist)

Code Auswählen

sudo newgrp dialout
als anderer User eingeloggt

Code Auswählen

sudo adduser pi dialout

Netzwerkzugriff mit samba (samba installieren zB -> https://www.thomas-krenn.com/de/wiki/Einfache_Samba_Freigabe_unter_Debian)
smb.conf bearbeiten

Code Auswählen

sudo nano /etc/samba/smb.conf

dies zufügen (Zugriff für den User pi)

Code Auswählen

[fhem (oder wie man den Ordner im Netzwerk angezeigt bekommen möchte)]
   comment = Basisordner fhem
   path = /opt/fhem
   read only = no
   browseable = yes
   create mask = 0770
   valid users = pi
   directory mask = 0770

frober · 25 Februar 2025, 15:42:01

Wenn du nur mit einem User zugreifst reicht auch für Samba, analog Linux.

Code Auswählen

create mask = 0700
directory mask = 0700