• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Probleme mit Links nach Samba-Update

T

Thomas Schmitz

Newbie
Hallo zusammen,

nach dem letzten Update für Samba auf Linux 11.1 (Kernel 2.6.27) auf Version 3.2.7-11.5.1 wurde die Voreinstellung des Parameters wide links von Yes auf No geändert.

Auszug aus dem Beschreibungstext des Patchs:

With enabled "wide links" samba follows symbolic links on the server side, therefore allowing clients to
overwrite arbitrary files (CVE-2010-0926). This update changes the default setting to have "wide links"
disabled by default. The new default only works if "wide links" is not set explicitly in smb.conf.
Zum Vergrößern anklicken....

Auf einem Samba-Server mache ich Gebrauch von Links, auch solchen, deren Ziele außerhalb des exportierten Verzeichnisbaums liegen. Bis zum Einspielen des Flickens konnte ich von Arbeitsstationen unter Windows problemlos auf diese Ziele zugreifen. Das ist jetzt nicht mehr möglich. Gemäß der Hilfe von Samba:

wide links (S)

This parameter controls whether or not links in the UNIX file system may be followed by the server. Links that point to areas within the directory tree exported by the server are always allowed; this parameter controls access only to areas that are outside the directory tree being exported.

Note that setting this parameter can have a negative effect on your server performance due to the extra system calls that Samba has to do in order to perform the link checks.
Zum Vergrößern anklicken....

ermöglicht also explizites Setzen von "wide links = yes" die Funktionalität, auf Link-Ziele außerhalb des exportierten Baums zugreifen zu können. Das funktioniert leider nicht.

Hier ein Auszug aus meiner smb.conf:

[global]
workgroup = ???
netbios name = ????
netbios aliases = ????
server string = Linux-Server
time server = yes
os level = 128
interfaces = eth0 lo
bind interfaces only = yes
hosts allow = 192.168.10.0/24 127.0.0.1
hosts deny = all
preferred master = yes
domain master = yes
local master = yes
domain logons = yes
wins support = yes
dns proxy = yes
security = user
guest ok = no
guest account = nobody
dos charset = cp850
unix charset = cp850
socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY
keepalive = 30
deadtime = 60
oplocks = no
level2 oplocks = no
write raw = yes
read raw = yes
large readwrite = yes
share modes = yes
locking = yes
strict locking = no
lock directory = /var/run/samba/locks
pid directory = /var/run/samba
private dir = /etc/samba
smb passwd file = /etc/samba/smbpasswd
passwd program = /usr/bin/passwd %u
username map = /etc/samba/smbusers
map to guest = Bad User
logon script = %u.cmd
update encrypted = no
unix password sync = yes
pam password change = yes
printing = lprng
printcap name = /etc/printcap
load printers = yes

[homes]
comment = Home-Verzeichnisse auf %h
wide links = yes
read only = no
create mode = 660
directory mode = 770
browseable = no
fstype = UNIX Samba
Zum Vergrößern anklicken....

Die Links liegen direkt unterhalb der User-Home-Verzeichnisse (homes), die Ziele befinden sich aber auf einer anderen Ebene im Verzeichnisbaum.

Wie gesagt, bis zum Einspielen des Patchs funktionierte das einwandfrei, nach dem Patch kann ich auch bei wide links = yes nicht auf die Ziele zugreifen; unter Windows erscheint eine Fehlermeldung ("Keine Berechtigung ..."), und ein Wechsel in das Verzeichnis ist nicht möglich.

Vielen Dank für die Mühen!
Thomas
 
S

spoensche

Moderator
Teammitglied
Die Option "wide links" ist ein Sicherheitsrisiko, weil der Zugriff auf nicht freigegebene Verzeichnisse/Dateien möglich ist/war, der nicht möglich sein sollte und der Patch dies behebt.

Also musst du die entsprechenden Verzeichnissse freigeben.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben