LINUX.ORG.RU
ФорумAdmin

Жуткий баг в самбе или это нормально?


0

0

[root@gw1 samba]# rpm -qa | grep samba samba-server-3.0.20-3mdk

В конфиге создаю только одну шару для [homes] логинюсь с левой машины под левым прописанным юзером на самбе, вижу домашнюю директорию, вроде всё как полагается, захожу в неё, ага файлики и всё такое, ну вообщем работает, беру и руками дописываю в пути каталог заранее известного юзера на сервере и опля! захожу в его домашнюю директорию! хотя этого совершенно недопустимо, да и вообще этой шары нет и она не скрытая, но самба при запросе пустила туда.

Это фича? или нормальная дырявость в рамках разумного(безумного).

anonymous
сервер VPN железо
Роутер Linksys WRT54G - как настроить if filtering?

Ответ на: комментарий от zgen

чтение, группы разные. Сам факт этого очень огорчает, я мог попасть на большие деньги не проверив это и допустив даже чтение.

anonymous
()
Ответ на: комментарий от anonymous

Не совсем ясно, что значит "дописываю каталог другого пользователя в пути" при этом "шары такой нету".

конфиг бы увидеть.

ss2001r
()

Это не баг, это фича. Читайте маны.

man 5 smb.conf

/homes

There are three special sections, [global], [homes] and [printers], which are described under special sections. The following notes apply to ordinary section descriptions.

The [homes] section

If a section called [homes] is included in the configuration file, services connecting clients to their home directories can be created on the fly by the server.

When the connection request is made, the existing sections are scanned. If a match is found, it is used. If no match is found, the requested section name is treated as a username and looked up in the local password file. If the name exists and the correct password has been given, a share is created by cloning the [homes] section.

sdio ★★★★★
()
Ответ на: комментарий от sdio

объясняю, заходим на \\server под прописанным юзером user1, видим homes каталог user1, всё путём, берём и пишем в строке адреса проводника \\server\user2 и жмём энетер, попадаем! в каталог user2 хотя у них совершенно разные пароли!!! И предварительно на самбу под user2 мы не логинились но она пустила просто по имени в его /home/user2

anonymous
()
Ответ на: комментарий от anonymous

If the name exists and the correct password has been given

Это верно но правильный пароль не был получен, но это отработало.

anonymous
()
Ответ на: комментарий от anonymous 

Пароли и шары это две большие разницы!
Ты в обоих случаях зашел как: 
1.   user1:password1 -- OK; --  \\server\user1
2.   user1:password1 -- OK; --  \\server\user2

sdio ★★★★★
()
Ответ на: комментарий от anonymous 

Если не понятно, то зайди на сервер по telnet/ssh как user1 и
 перейди в cd ~user2.
Есть доступ? Кто виноват и что делать?

sdio ★★★★★
()
Ответ на: комментарий от sdio

но в самбе же подразумевается chroot полный, как можно пускать выше каталога да ещё и в чужой

anonymous
()
Ответ на: комментарий от anonymous

или скажем так как без чмода итд жёстко запретить ходить в известные хом каталоги если имя пароль не того юзера кому принадлежат эти хом директории

anonymous
()
Ответ на: комментарий от sdio

Да понимаю я всё, но если шара не определена неужели нельзя строго проводить проверку соответсвия имени и допустимой шары для юзера. Если правами развести то всё равно можно будет вслепую тыкать \\server\имя и по вовращаемой ошибке - шара не найдена -- или -- доступ запрещён -- получить список юзеров. Как отключить это жёстко.

anonymous
()
Ответ на: комментарий от anonymous

А если в секции [homes] прописать valid users = %U. Чего будет самба возвращать для несуществующего пользователя и для левого пользователя?

anonymous
()
Ответ на: комментарий от anonymous

Т.е. все пользователи видят каталог /home? В таком случае запретить шариться по чужим каталогам можно только выставляя соответствующие права на файловой системе. Все-таки, я полагаю, для каждого пользователя создается шара с его домашним каталогом, а здесь может помочь опция valid users.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
сервер VPN железо
Admin
Роутер Linksys WRT54G - как настроить if filtering?