Dateifreigabe

R

roli

Guest
Hallo an Alle,

ich habe einen Webserver (Suse 9.1,Apache2,samba)

der hinter einer Firewall ist.

Die User dürfen ihre Dateien per smb Protokoll auf den Server bringen.
Sie haben als login shell /bin/false.
Per Samba sind sie auch auch ihre Verzeichnisse beschränkt.

Die Motivation: Aufgrund der Institutionsübergreifenden Zusammenarbeit werden große Dateien ausgetauscht (Powerpoint, große Worddokumente usw.)

Die User möchten nun Verzeichnisse freigeben für User die nicht zu unserem Institut gehören.

Bisher lief das immer über mich. Das möchte ich aber ändern.

Und zwar so das die User Verzeichnisse bzw. Dateien freigeben können auf die externe Kollegen zugreifen können, ohne das ich als Admin eingreifen muß.
Die Externen sollen sowohl lese- als auch schreib-rechte bekommen.

Bis jetzt ist es so, das das smb Protokolll von der Firewall abgefangen wird.
Das könnte man ändern, nur wie groß wird das Sicherheitsloch?

Was wäre denn noch so möglich?
Ich denke das, die user wohl eine bash shell bekommen müssen, zumindest die die zum Institut gehören.

Und dann eventuell mit sudo Rechten.

So richtig weiß ich nicht wie ich vorgehen soll.

Mit freundlichen Grüßen Roland Kalytta



 
Ich weiss nicht, was sonst noch alles hinter dieser Firewall ist, aber ich geh mal davon aus, dass die den ganzen internen Bereich schützt. Falls da noch irgendwo Windows in Betrieb ist: gib SMB auf keinen Fall frei. Das wär so ziemlich das grösste Loch, das Du produzieren kannst. Unter Windows wird SMB nicht nur für Netzwerk-Übermittlung von Dateien benutzt, sondern auch für die allgemeine Kommunikation zwischen Serverdiensten und z.B. für Remote Administrationssachen. Bei Linux weiss ichs nicht, weil ich nicht damit arbeite.

Wenn schon Leute von aussen auf Dateien und Verzeichnisse zugreifen müssen, würd ich am ehesten ein fertiges (PHP?-) Script benutzen, das genau dafür gemacht ist und sicherstellt, dass auf nix anderes zugegriffen und vor allem nix ausgeführt wird. Damits komfortabel ist, müsste es einen Administrationsteil haben, wo User neue User anlegen und denen Berechtigungen erteilen können (ich nehme nicht an, dass einfach jeder von aussen auf alle Dateien Zugriff haben soll).

Griessli
Irene
 
QUOTE (Irene @ Mi 17.11.2004, 8:25) Ich weiss nicht, was sonst noch alles hinter dieser Firewall ist, aber ich geh mal davon aus, dass die den ganzen internen Bereich schützt. Falls da noch irgendwo Windows in Betrieb ist: gib SMB auf keinen Fall frei. Das wär so ziemlich das grösste Loch, das Du produzieren kannst. Unter Windows wird SMB nicht nur für Netzwerk-Übermittlung von Dateien benutzt, sondern auch für die allgemeine Kommunikation zwischen Serverdiensten und z.B. für Remote Administrationssachen. Bei Linux weiss ichs nicht, weil ich nicht damit arbeite.

Wenn schon Leute von aussen auf Dateien und Verzeichnisse zugreifen müssen, würd ich am ehesten ein fertiges (PHP?-) Script benutzen, das genau dafür gemacht ist und sicherstellt, dass auf nix anderes zugegriffen und vor allem nix ausgeführt wird. Damits komfortabel ist, müsste es einen Administrationsteil haben, wo User neue User anlegen und denen Berechtigungen erteilen können (ich nehme nicht an, dass einfach jeder von aussen auf alle Dateien Zugriff haben soll).

Griessli
Irene


Von der Firewall wird alles abgeschirmt, bis auf port 80 und der https port (habe die portnummer im moment nicht im kopf)

Ich habe es fast befürchtet, das ich den smb port nicht freigeben darf.

Es bleibt also nur der ssh Zugang über, oder irre ich ?

Danke Irene,
Von der Firewall wird alles abgeschirmt, bis auf port 80 und der https port (habe die portnummer im moment nicht im kopf)

Ich habe es fast befürchtet, das ich den smb port nicht freigeben darf.

Wie ist es mit webdav oder ssh ?
 
Webdav ist auch heikel, da gibts ein paar Löcher (resp. Zugriffsmöglichkeiten) im IIS. Also nicht zu empfehlen, falls irgendwo ein Windows-Webserver läuft. SSH ist fast noch schlimmer, weil darüber kann man Geräte (evtl. auch Linux, weiss ich nicht) administrieren.

Wenn aktuell nur Port 80 und 443 (SSL/HTTPS) freigegeben sind, solltest Du das auch so lassen. Jeder weitere freigegebene Port *ist* ein Loch, erst recht wenn er auf ein Dateisystem führt. Eventuell wäre FTP eine Möglichkeit, aber da könnte die Administration (User erfassen, Berechtigungen) wieder mühsam sein, je nach Tool.

Griessli
Irene
 
QUOTE (Irene @ Mi 17.11.2004, 8:51) Webdav ist auch heikel, da gibts ein paar Löcher (resp. Zugriffsmöglichkeiten) im IIS. Also nicht zu empfehlen, falls irgendwo ein Windows-Webserver läuft. SSH ist fast noch schlimmer, weil darüber kann man Geräte (evtl. auch Linux, weiss ich nicht) administrieren.

Wenn aktuell nur Port 80 und 443 (SSL/HTTPS) freigegeben sind, solltest Du das auch so lassen. Jeder weitere freigegebene Port *ist* ein Loch, erst recht wenn er auf ein Dateisystem führt. Eventuell wäre FTP eine Möglichkeit, aber da könnte die Administration (User erfassen, Berechtigungen) wieder mühsam sein, je nach Tool.

Griessli
Irene

Die Firewall ist so geschaltet, das man nur auf den webserver kommt.
Alle Server bei uns (dhcp, openexchange, email,timeserver, web) laufen bei uns alle unter Linux, entweder SuSE oder Debian, langfristig werden wir wahrscheinlich komplett auf Debian umsteigen, wenn mal dafür Zeit ist.

Bei ssh, gibt es die Möglichkeit den user in eine chroot Umgebung einzusperren.

Das Problem bei FTP wie auch bei telnet ist die unverschlüsselte Login und Passwort übergabe.

Das hauptsächliche Problem ist halt , das die Benutzer ihre Verzeichnisse freigeben
können ohne das sie den Admin drum bitten müssen, ich will mich entlasten ;-)

Und was wäre wenn ich das smb protokoll auf den webserver beschränke ?
Einen benutzer annoymous einrichte. Und abhängig von den passwörtern, er auf die verschiedenen Bereiche zugreifen kann, (lesen wie schreibend)

Mein Hauptproblem ist das schreiben. Lesen wäre kein Thema
 
Sie müssen sich einloggen oder registrieren, um hier antworten zu können.
Zurück
Oben