Freigegebener Ordner für Docker für alle lesbar

[Eckiswelt]

Hallo zusammen,

per Zufall, als ich meine Konfiguration einer Überprüfung unterzog, ist mir aufgefallen, dass der freigegebene Ordner von Docker für alle lesbar ist. Ich habe alle Gruppentypen durchgeschaut: Interner Systembenutzer, Lokale User, Lokale Gruppen, LDAP Benutzer, LDAP Gruppen. Nirgendwo habe ich eine Einstellungen und trotzdem ist es für alle Benutzer lesbar.

Kann mir jemand sagen, wie ich das wieder "retten" kann? Ich wüsste nicht, wo es eine Einstellung gibt, dass dieser Ordner für alle frei ist.

Beste Grüße
EckisWelt

 

[Thonav]

1.) Achtung - in der Gruppenberechtigung Administratoren wird ÜBERHAUPT nichts geändert! Die müssen überall Lese- und Schreibrechte haben.

2.) Wie kommst Du denn darauf, dass die normalen Benutzer Leserechte des Ordners besitzen, bzw. wie greifst Du auf den Ordner zu?
Können die Benutzer den Ordner nur sehen oder ihn auch öffnen?
Falls Du per Windows Rechner über smb zugreifst - es ist normal, dass jeder den Ordner dann da sieht (kann man aber ausschalten), aber den Ordner öffnen geht nicht.

3.) Warum gibst du in den Benutzereinstellungen jedem Benutzer Leserechte? Wie oben schon gesagt, Administratoren MÜSSEN Lese- und Schreibzugriff haben - die normalen Benutzer, die den Ordner nicht nutzen sollen, erhalten KEINE Zugriff, also keinen Lese- und erst recht keine Lese- und Schreibrechte.

4.) Es haben schon so einige mit Benutzerrechten ihr System "verhandelt". Lies Dich vor Änderungen von Benutzer- und Gruppenrechten erst einmal ein. Im Forum findest Du dazu einige Infos.

 

[Eckiswelt]

1.) Ja könnte man einstellen. Ich wollte zum Ausdruck bringen, dass in den Default-Einstellungen kein einziges Häckchen gesetzt ist und trotzdem haben die User Leserechte.
2.) Ja, ich kann alles lese. Mit File Station mit dem User und auch per SMB.
3.) Habe ich eben NICHT! Kein einziges Häckchen ist gesetzt. Nicht bei den Gruppen und nicht bei den Usern. Und trotzdem haben sie Leserechte.
4.) Würde ich tun. Bin mir aber keinem Fehler bewusst. Gehe auch nicht in die Shell und sowas.

 

[synfor]

In deinen Screenshots ist die Liste mit den Gruppen unvollständig und deine Nutzer bekommen die Leserechte von irgendeiner Gruppe, allerdings nicht von einer im Screenshot sichtbaren.

 

[Eckiswelt]

Ich habe die Screenshots nur auszugsweise rein kopiert. Alle anderen User und Gruppen sehen genau gleich aus. Und auf allen 5 "Auswahlen" gibt es kein Häckchen.

 

[Eckiswelt]

Eine mögliche Quelle hat mir nun @Thonav gezeigt. In File Station bei den Eigenschaften sieht man dann folgendes Bild. Scheinbar geht es hier um generelle Linux (oder was auch immer) Rechte. Nicht um DSM Rechte.

Kann jemand, der auch Docker hat mir Feedback geben, ob er genau das auch sieht?

 

[Benares]

Schau dir das mal umgekehrt an. Geh auf Benutzer und Gruppen und schau, was da für Rechte auf docker sitzen.
Bei mir darf auch jeder den docker-Share u.a. lesen, hab aber noch nicht gefunden, wo das herkommt.

Es kann gut sein, dass du mit den Filestation-Rechten auf der richtigen Spur bist. Die Rolle von Everyone innerhalb der DSM-Berechtigungseinstellungen ist mir momentan nicht wirklich klar.

 

[mamema]

lauft ein/die Docker Images mit erhöhten Rechten root (0)? Was für Docker Container? Wie installiert?
WEnn man Docker Container unbedingt zum rennen bringen will/muss, können Deine Symptome auftreten

 

[Thonav]

Gehe davon aus, da Docker den Ordner selbständig erstellt, dass dieser Everyone systemseitig dort mit hinterlegt wird.
Warum weshalb und ob das von Dockercontainer so benötigt wird - keine Ahnung.

 

[Benares]

Ich habe bei mir aber auch andere "Gemeinsame Ordner" gefunden, die nichts mit irgendwelchen Applikationen zu tun haben und bei denen Everyone laut Filestation zumindest Leserechte hat. Innerhalb der DSM-Berechtigungseinstellungen finde ich im Moment aber kein Pendant dazu.

 

[Thonav]

Gerade nachgeschaut - der homes Ordner hat auch Rechte für den "Everyone".
music, photo und video, die auch systemseitig erstellt werden können haben allerdings keinen "Everyone".

 

[synfor]

Gerade nachgeschaut - der homes Ordner hat auch Rechte für den "Everyone".

Aber nur durchqueren und nicht lesen.

 

[Eckiswelt]

Gerade nachgeschaut - der homes Ordner hat auch Rechte für den "Everyone".

Mein Homes hat reguläre DSM Rechte. Kein Everyone.

 

[synfor]

Wenn bei dir Everyone mit dem Recht Ordner zu durchqueren in homes nicht auftaucht, dann ist das "Mein Homes hat reguläre DSM Rechte." gelogen.

 

[Eckiswelt]

Hä? Verstehe deinen Satz nicht. Der Docker Share hat eine andere Berechtigungsmaske als der Homes Share. Hier kann ich wie üblich User und Gruppen berechtigen. Nix Lüge.

 

[synfor]

Docker Share != homes

Behauptet hattest du:

Mein Homes hat reguläre DSM Rechte. Kein Everyone.

 

[stulpinger]

Was wäre mit:

Sytemsteuerung - Benutzer (Benutzer auswählen ...) - bearbeiten - Berechtigungen - docker (Ordner, wo die Docker-Dateien liegen) - kein Zugriff, Häckchen setzen ...
Habe einen "externen" FTP-User, der damit das docker-Verzeichnis nicht mehr sieht

 

[Benares]

Die Frage war eher, wo die Leserechte bei manchen Ordnern herkommen, wenn aus DSM-Berechtigungssicht nirgendwo eine Berechtigung erteilt bzw. verweigert wird.

 

[Eckiswelt]

Keine Ahnung woher sie kommt. Aber mittlerweise weiss ich, wie man das wieder "vermeintlich richtig" biegt.

Wenn in den Berechtigungen von einem Share für alle Benutzer "Nur lesen" steht, kann man in File Station in den Berechtigungen die "Unix Berechtigungen" sehen. Dort steht dann bei Everyone Lesen. Ob das nun richtig ist oder falsch, weiss ich nicht. Wenn man jedoch diese Berechtigung entzieht und sich neu einloggt, sieht man in den DSM Berechtigungen dann "kein Zugriff" und man kann nun wieder Benutzer und Gruppen wie normal modifizieren.

Je nach Applikation, die dann auf das Share zugreift, wie in meinem Fall Docker, kann das evtl. zu Problemen führen. Keine Haftung meinerseits.

Wenn man Everyone wieder hinzufügen möchte, so kann man in den Berechtigungen rechts in "Benutzerdefiniert" wieder schalten und walten wie man will.