如何在没有任何有效用户定义的情况下保护我的 Samba 共享文件夹

如何在没有任何有效用户定义的情况下保护我的 Samba 共享文件夹

我很难理解 Samba 如何能够对没有设置“有效用户”属性的文件夹进行限制

这是我的 smb.conf

[test-share]
    comment = test shared folder.
    path = /home/root/test-shared
    browseable = Yes
    read only = No
    force create mode = 0660
    force directory mode = 0660
    vfs objects = acl_xattr full_audit
    acl_xattr:ignore system acls = no
    full_audit:success = connect opendir disconnect unlink mkdir rmdir open rename
    full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename

没有有效的用户定义,但仍然进行了一些权限检查

答案1

大多数新的 samba/SMB 管理员可能没有立即意识到一件事,那就是共享权限堆叠在磁盘权限之上。共享权限仅影响 Samba/WFPS 访问;它们不会覆盖共享目录上的权限,只会增强它们。

因此,如果某个文件夹归 user1:user1 所有且具有 770 的权限,并且共享以允许所有人对其进行读/写访问,则只有该帐户才user1真正能够访问共享的内容。

因此,寓意是,共享权限可用于缩小对内容的访问(通过限制对目录具有权限的远程用户),但永远不能扩大​​访问权限以提供文件夹权限未指定的访问权限。

值得注意的是Microsoft 建议只要有可能,共享权限就只包含一个授予“所有人,完全控制”的权限。这是因为当备份磁盘时,其权限也会被备份,但其共享权限不是磁盘文件系统本身的一部分,因此不会被备份,因此如果共享权限实际上用于缩小访问权限,则恢复数据可能会使用户过度享有特权。但是,无论共享如何配置,在目录上设置权限都会限制本地和远程用户的能力。

希望有帮助

相关内容