DSM 7.0 Fragen zu den Berechtigungen unter DSM 7 (ACL)

[wired2051]

Ich habe eine neue DS420+ mit DSM 7 und bin wegen der Berechtigungen etwas irritiert. Wie schon bei meiner alten DS209 mit DSM 4.2, möchte ich auch jetzt den Zugriff über Gruppen-Zugehörigkeit regeln. Ich habe z. B. einen Benutzer Backup der Mitglied in Gruppe Backup ist. Die Gruppe Backup soll nur Zugriff auf die freigegebenen Ordner Backups, music und photo haben. Beim Einrichten war Backup auch Mitglied in administrators und der Zugriff hat geklappt:

LOCAL_USER@LOCAL_RECHNER:~$ ssh Backup@IP_DES_NAS
Enter passphrase for key '/home/LOCAL_USER/.ssh/id_rsa':

Synology strongly advises you not to run commands as the root user, who has
the highest privileges on the system. Doing so may cause major damages
to the system. Please note that if you choose to proceed, all consequences are
at your own risk.

Backup@DS420:~$

Nun habe ich Backup aus administrators gelöscht und der Zugriff klappt nicht mehr:

LOCAL_USER@LOCAL_RECHNER:~$ ssh Backup@IP_DES_NAS
#Enter passphrase for key '/home/LOCAL_USER/.ssh/id_rsa':

Synology strongly advises you not to run commands as the root user, who has
the highest privileges on the system. Doing so may cause major damages
to the system. Please note that if you choose to proceed, all consequences are
at your own risk.

Permission denied, please try again.
Connection to IP_DES_NAS closed.
LOCAL_USER@LOCAL_RECHNER:~$

Also habe ich (mit Admin-Rechten) nach den Berechtigungen geschaut:

Backup@DS420:~$ pwd
/var/services/homes/Backup
Backup@DS420:~$ ls -lha
total 4.0K
drwxrwxrwx+ 1 Backup users  72 Sep 30 20:16  .
drwxrwxrwx+ 1 root   root   50 Aug 29 17:55  ..
-rw-------  1 Backup users 150 Sep 30 19:08  .directory
drwxrwxrwx+ 1 root   root  154 Sep 30 19:08 '#recycle'
drwxrwxrwx+ 1 Backup users  30 Sep 19 21:43  .ssh
Backup@DS420:~$

Daraus ergeben sich für mich zwei Fragen:

Warum funktioniert der Zugriff mit ssh nicht, Backup ist doch Mitglied in users?

Ich habe schon rausbekommen, dass die '+' ein Hinweis auf ACL sind, doch wie kann ich die kontrollieren? Wie installiere ich getfacl auf der DS420+?

Desweiteren habe ich mir die Berechtigungen im DSM 7 angeguckt (mit administrators-Rechten). Für /homes/Backup gibt es in File Station > Eigenschaften zwei Benutzer Backup und eine Gruppe Backup. Ein Benutzer hat Zulassen und Volle Kontrolle, der andere Benutzer und die Gruppe sind ausgegraut und mit den gleichen Rechten ausgestattet (offenbar ist jeder Benutzer in seinem home-Verzeichnis doppelt).

Dann habe ich mir die Rechte der freigegebenen Ordner angeschaut:

Backup@DS420:/volume1$ ls -lha
total 4.0K
drwxr-xr-x   1 root       root        418 Sep  3 23:36  .
drwxr-xr-x  22 root       root       4.0K Aug 25 11:54  ..
drwxr-xr-x   1 root       root        184 Sep 30 15:34  @appconf
drwxr-xr-x   1 root       root        184 Sep 30 15:34  @appdata
drwxr-xr-x   1 root       root        184 Sep 30 15:34  @apphome
drwxr-xr-x   1 root       root        184 Sep 30 15:34  @appstore
drwxr-xr-x   1 root       root        184 Sep 30 15:34  @apptemp
drwxrwxrwx+  1 root       root         32 Sep 25 15:15  Backups
drwxrwxrwx+  1 root       root         60 Sep 30 19:07  BackupTest
drwxrwxrwx   1 root       root        120 Aug 25 12:20  @database
drwxrwxrwx+  1 root       root        162 Sep 30 14:29  @eaDir
drwxrwxrwx+  1 root       root         50 Aug 29 17:55  homes
drwxrwxrwx+  1 root       root       1.7K Nov 26  2016  music
drwxrwxrwx+  1 root       root         12 Aug 29 17:37  NetBackup
drwxrwxrwx+  1 root       root       4.3K Sep 26 21:07  photo
drwxr-xr-x   1 root       root         88 Aug 25 12:20  @S2S
drwxr-xr-x   1 root       root         34 Sep  3 23:36  @sharesnap
drwxr-xr-x   1 SynoFinder SynoFinder   26 Aug 25 12:20  @SynoFinder-etc-volume
drwxr-xr-x   1 SynoFinder SynoFinder   84 Aug 25 12:20  @SynoFinder-log
drwxr-xr-x   1 root       root         24 Aug 29 14:28  @SynologyApplicationService
drwxrwxrwt   1 root       root         84 Sep 30 15:34  @tmp
drwxrwxrwx   1 root       root         68 Aug 27 23:17  @userpreference
drwxrwxrwx+  1 root       root        230 Sep  4 23:49  video
Backup@DS420:/volume1$

BackupTest (Backups nutze ich temporär mit rsync) hat in File Station > Eigenschaften nur die Gruppen Backup und administrators, beide mit Zulassen und Lesen & Schreiben. Beide, auch administrators(!), haben unter Bearbeiten Berechtigungen ändern und Eigentümerschaft übernehmen deaktiviert. Warum darf ein Admin nicht die Berechtigungen ändern?

 

[Syno-OS]

versuch mal synogetacl
Ansonsten Ansicht in der File Station..
und wir immer Finger Weg von /Homes -> dahinter sind scripte und alles ist richtig konfiguriert
Und Admin heisst nicht, dass du immer alles kannst, du kannst dir auch allles wegnehmen -> falsch eingestellt ...admin kann sich zum unterschied zum normalen user die rechte wieder holen.
Screenshots screenshots screenshots bei berechtigung fragen, ansonsten dauert es hier wieder ewig...

 

[himitsu]

Synology macht hier überall sein eigenes Zeugs (siehe z.B. synogetacl).
Mit den ACL-Befehlen aus vielen Linux-Tutorials/Tipps/... kommt man hier leider nicht weider.

Tja, entweder der User braucht mehr Rechte, wenn er auch SSH nutzen können soll,
oder mindestens muß er Zugriff auf paar mehr Verzeichnisse bekommen.

admin kann sich zum unterschied zum normalen user die rechte wieder holen.

Dann macht Linux aber was falsch.
In Windows kann man einem Admin auch das wegnehmen, so wie alles Andere auch.

 

[wired2051]

versuch mal synogetacl

Wie? In meiner Naivität habe ich mich auf der DS eingeloggt und synogetacl gestartet: -sh: synogetacl: command not found.

Ansonsten Ansicht in der File Station..

Du meinst Eigenschaften? Habe ich s.o. Oder wonach soll ich suchen?

Und Admin heisst nicht, dass du immer alles kannst, du kannst dir auch allles wegnehmen -> falsch eingestellt ...admin kann sich zum unterschied zum normalen user die rechte wieder holen.

Wenn ich von Admin-Rechten rede, meine ich nicht den Benutzer admin, der ist nicht aktiviert, sondern die Gruppe administrators. An den Rechten von administrators habe ich nichts verändert.

Synology macht hier überall sein eigenes Zeugs (siehe z.B. synogetacl).
Mit den ACL-Befehlen aus vielen Linux-Tutorials/Tipps/... kommt man hier leider nicht weider.

Ich hasse so was!

Tja, entweder der User braucht mehr Rechte, wenn er auch SSH nutzen können soll,
oder mindestens muß er Zugriff auf paar mehr Verzeichnisse bekommen.

Welche Rechte und welche Verzeichnisse kommen hier in Betracht?

Übrigens:

Für /homes/BackupTest gibt es in File Station > Eigenschaften nur noch die Gruppen Backup und administrators mit Typ Zulassen und Berechtigung Volle Kontrolle.

Bei /homes/Backup und .ssh sieht es etwas verwirrend aus aber ich vertraue darauf, dass das so sein soll/muss.

 

[Syno-OS]

War halt spät und was suchen im Internet schadet ja nicht:

• synoacltool

Linux Programme -> Linux Berechtigungen
DSM Programme -> Primär Windows ACL (2. Linux Berechtigung)


Nur Administratoren können sich mit SSH anmelden, ausser du hast es in '/etc/passwd' geändert -> passwd und SSH Anleitung sollte da helfen.

 

[wired2051]

ls -e allows you to view ACL permissions - so etwas habe ich gesucht (und nicht in der man-page gefunden). Die Ausgabe von ls erschliesst sich mir auch mehr als die von synoacltool, richtig weiterhelfen tut sie mir aber nicht (AMINISTRATORS_USER ist der Benutzer in Gruppe administors):

AMINISTRATORS_USER@DS420:~$ synoacltool -get /volume1/BackupTest/
ACL version: 1
Archive: has_ACL,is_support_ACL
Owner: [root(user)]
---------------------
         [0] group:administrators:allow:rwxpdDaARWc--:fd-- (level:0)
         [1] group:Backup:allow:rwxpdDaARWc--:fd-- (level:0)

AMINISTRATORS_USER@DS420:~$ ls -lh /volume1/BackupTest/
total 0
drwxrwxrwx+ 1 Backup users 0 Sep 20 23:07 Daten
drwxrwxrwx+ 1 root   root  8 Sep 20 10:56 @eaDir
-rwxrwxrwx+ 1 Backup users 0 Sep 28 22:55 Testdatei
AMINISTRATORS_USER@DS420:~$ ls -lhe /volume1/BackupTest/
total 0
drwxrwxrwx+ 1 Backup users 0 Sep 20 23:07 Daten
         [0] group:administrators:allow:rwxpdDaARWc--:fd-- (level: 1)
         [1] group:Backup:allow:rwxpdDaARWc--:fd-- (level: 1)

drwxrwxrwx+ 1 root   root  8 Sep 20 10:56 @eaDir
         [0] everyone::allow:rwxpdDaARWcCo:fd-- (level: 0)

-rwxrwxrwx+ 1 Backup users 0 Sep 28 22:55 Testdatei
         [0] group:administrators:allow:rwxpdDaARWc--:---- (level: 1)
         [1] group:Backup:allow:rwxpdDaARWc--:---- (level: 1)

Und hier homes:

AMINISTRATORS_USER@DS420:~$ synoacltool -get /volume1/homes/
ACL version: 1
Archive: has_ACL,is_support_ACL
Owner: [root(user)]
---------------------
         [0] group:administrators:allow:rwxpdDaARWc--:fd-- (level:0)
         [1] owner::allow:rwxpdDaARWcCo:fd-- (level:0)
         [2] everyone::allow:--x----------:fd-- (level:0)

AMINISTRATORS_USER@DS420:~$ ls -lh /volume1/homes/
total 0
drwxrwxrwx+ 1 admin    users 16 Aug 29 17:55 admin
drwxrwxrwx+ 1 AMINISTRATORS_USER users 76 Oct  1 00:00 AMINISTRATORS_USER
drwxrwxrwx+ 1 Backup   users 44 Oct  2 13:22 Backup
drwxrwxrwx+ 1 root     root  50 Aug 29 17:55 @eaDir
AMINISTRATORS_USER@DS420:~$ ls -lhe /volume1/homes/
total 0
drwxrwxrwx+ 1 admin    users 16 Aug 29 17:55 admin
         [0] user:admin:allow:rwxpdDaARWcCo:fd-- (level: 0)
         [1] group:administrators:allow:rwxpdDaARWc--:fd-- (level: 1)
         [2] owner::allow:rwxpdDaARWcCo:fdi- (level: 1)
         [3] user:admin:allow:rwxpdDaARWcCo:---- (level: 1)
         [4] everyone::allow:--x----------:fd-- (level: 1)

drwxrwxrwx+ 1 AMINISTRATORS_USER users 76 Oct  1 00:00 AMINISTRATORS_USER
         [0] user:AMINISTRATORS_USER:allow:rwxpdDaARWcCo:fd-- (level: 0)
         [1] group:administrators:allow:rwxpdDaARWc--:fd-- (level: 1)
         [2] owner::allow:rwxpdDaARWcCo:fdi- (level: 1)
         [3] user:AMINISTRATORS_USER:allow:rwxpdDaARWcCo:---- (level: 1)
         [4] everyone::allow:--x----------:fd-- (level: 1)

drwxrwxrwx+ 1 Backup   users 44 Oct  2 13:22 Backup
         [0] user:Backup:allow:rwxpdDaARWcCo:fd-- (level: 0)
         [1] group:administrators:allow:rwxpdDaARWc--:fd-- (level: 1)
         [2] owner::allow:rwxpdDaARWcCo:fdi- (level: 1)
         [3] user:Backup:allow:rwxpdDaARWcCo:---- (level: 1)
         [4] everyone::allow:--x----------:fd-- (level: 1)

drwxrwxrwx+ 1 root     root  50 Aug 29 17:55 @eaDir
         [0] everyone::allow:rwxpdDaARWcCo:fd-- (level: 0)

AMINISTRATORS_USER@DS420:~$

Linux Programme -> Linux Berechtigungen
DSM Programme -> Primär Windows ACL (2. Linux Berechtigung)

Das verstehe ich nicht.

Nur Administratoren können sich mit SSH anmelden, ausser du hast es in '/etc/passwd' geändert -> passwd und SSH Anleitung sollte da helfen.

Dass man sich nur mit Admin-Rechten mit ssh anmelden kann, ist ja doof, ich habe doch extra den Benutzer Backup angelegt!