Linux-Benutzer- und Gruppenberechtigungsstrategien für Heimwerker-NAS
563
Alex
Ich bin relativ neu in Linux, aber ich habe es geschafft, meinen eigenen DIY-NAS (Odroid CS2, Ubuntu 18.04) zu bauen, Samba, SSH usw. einzurichten, und jetzt bin ich in der Phase der Zugriffs- und Ordnerverwaltung.
Ich verstehe was chownund chmodim Allgemeinen, aber ich vermisse typische Strategien zum Verwalten von Berechtigungen in einer Umgebung mit mehreren Benutzern.
Die Situation: Ich bin in meiner Familie für das technische Know-how verantwortlich, alle anderen Familienmitglieder sind in Bezug auf die Sicherheit ziemlich sorglos, aber sie folgen auch nicht meinen Verbesserungsvorschlägen (sie werden jedoch um Hilfe bitten.) von irgendwelchen Schwierigkeiten).
Daher macht es mir nichts aus, was sie auf ihren eigenen Windows-Computern tun, ich möchte ihnen jedoch helfen, ihre Dateien sicher auf unserem NAS zu speichern und gemeinsam zu nutzen.
Es gibt derzeit einen Hauptordner auf dem NAS:
/secure/usr/ mit ein paar Unterordnern: /01_monika /02_rebecca /03_hans /04_alfred /05_share
Jeder Benutzer hat einen Linux-Benutzer und einen Samba-Benutzer mit demselben Namen (z. B. monika, rebecca, hans, alfred) und es gibt eine Gruppe (z. B. samba_users).
Das Problem: Ich möchte, dass alle Benutzer ihre Dateien in ihren eigenen Benutzerverzeichnissen speichern, aber nur einige Unterordner (z. B. / photos) sollten für andere Benutzer zugänglich sein (Leseberechtigung). Alle anderen Ordner / Dateien sollten idealerweise für andere Familienmitglieder ausgeblendet oder zumindest nicht zugänglich sein.
Beispiel: Da Computer von Familienmitgliedern möglicherweise durch Viren und Trojaner gefährdet werden, sollte niemand in der Lage sein, private Dateien anderer Benutzer standardmäßig zu lesen, z. B. kann der /02_rebecca/documentsBenutzer nicht darauf zugreifen. Sie /02_rebecca/photos/sollten jedoch weiterhin über Lesezugriff verfügen, da Familienmitglieder häufig Fotos freigeben müssen, und im Idealfall möchte ich nicht, dass sie alle freigegebenen Dateien separat speichern /05_share.
Vielen Dank für Ihre Anregungen!
Zusätzliche Gedanken:
Funktionieren Symlinks, um über die Berechtigungen des übergeordneten Verzeichnisses zu gelangen, z. B. um den samba_usersZugriff auf Unterordner zu ermöglichen, /photos/wenn Berechtigungen für das übergeordnete Verzeichnis /hans/photos/keinen Lesezugriff zulassen? Ich habe gelesen, dass Symlinks in Windows nicht funktionieren, aber Microsoft sagt etwas anderes .
Ich bin mir bewusst, dass ich Unterordner erstellen könnte (zB) /01_monika/private/und /01_monika/shared/für jeden Benutzer. Aber ich möchte das gerne vermeiden, da einige meiner Familienmitglieder verwirrt werden und alles hineinlegen/shared
Beachten Sie zunächst, dass NFS-Handbücher nicht direkt anderen Protokollen zugeordnet werden. NFS ist hauptsächlich UID-basiert (Client und Server müssen übereinstimmen), während SMB und SSHFS hauptsächlich auf Konten basieren (der Server kümmert sich nur um Login / Passwort).
grawity vor 5 Jahren
0
Ja, ich habe es gerade wegen der Verwendung der Nogruppe angesprochen
Alex vor 5 Jahren
0
Könntest du nicht wie FreeNAS auf dem ODroid installieren? So erhalten Sie viele Werkzeuge für Ihre Anforderungen.
Kinnectus vor 5 Jahren
0
Dies wäre möglich, aber ich denke, Ubuntu hat bereits alles, was ich an Bord brauche (vollständige Festplattenverschlüsselung, Samba, Rsync, SSH - ich brauche nicht wirklich mehr, + kommt mit Odroid)
Alex vor 5 Jahren
0
1 Antwort auf die Frage
0
Alex
Ich habe einen Weg gefunden, wie hier von Benutzer @Gilles erläutert:
Eine Lese- oder Schreibberechtigung für ein Verzeichnis ohne Ausführungsberechtigung ist nicht sinnvoll. Die Berechtigung zum Ausführen, aber nicht Lesen ist gelegentlich nützlich: Sie ermöglicht den Zugriff auf Dateien nur, wenn Sie deren genauen Namen kennen, eine Art primitiver Kennwortschutz.
Das heißt, das Ausführungsbit setzen, aber das Lesen von Benutzerverzeichnissen nicht zulassen ( rwx--x---). Lassen Sie dann in Unterordnern /photos/Lese- und Ausführungsberechtigungen für group family( rwxr-x---).
/01_monika/photos/Dies bedeutet, dass Benutzerverzeichnisse normalerweise nicht direkt von allen Familienmitgliedern geöffnet werden können. Wenn Sie jedoch wissen, dass es einen Unterordner gibt, können Benutzer diesen Ordner direkt öffnen. Dann muss ich nur Verknüpfungen zu diesen Unterordnern auf dem Desktop der Benutzer oder im Hauptordner des NAS irgendwo erstellen.
Ich wusste, dass es möglich wäre, genau das brauche ich!