XigmaNAS права на доступ по сети

[ Версия для печати ]
Добавить в Telegram Добавить в Twitter Добавить в Вконтакте Добавить в Одноклассники
Страницы: (2) [1] 2   К последнему непрочитанному [ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]
mikola1st
6.12.2023 - 15:25
Статус: Offline


Приколист

Регистрация: 27.03.08
Сообщений: 386
1
Добрый день!
Господа, на старое чахлое железо установил XigmaNAS.
Всё работает, папки видны и на android и на компе.
Хочу сделать чтобы гостям был доступ только для чтения, а админу - полный.
2gusia читал,
Настройка прав доступа в SMB XIGMANAS (доступ из WINDOWS к расшаренным каталогам https://mysku.club/blog/misc/94896.html тоже читал.

Права доступа Unix, SUID, SGID, Sticky биты https://help.ubuntu.ru/wiki/%D1%81%D1%82%D0...0%B2%D0%B0_unix читал, не осилил.

Помогите нубу пожалуйста
 
[^]
Yap
[x]



Продам слона

Регистрация: 10.12.04
Сообщений: 1488
 
[^]
teramerea
6.12.2023 - 15:28
0
Статус: Offline


Шутник

Регистрация: 8.09.23
Сообщений: 22
Присоединюсь к вопросу.
 
[^]
Aberrant
6.12.2023 - 15:49
1
Статус: Offline


На фоксе! Всегда!

Регистрация: 3.10.20
Сообщений: 2532
а что именно не получается?
дать права или ограничить права?

ты на каком этапе то?
что у тебя в /etc/samba/smb.conf ?
 
[^]
mikola1st
6.12.2023 - 15:58
0
Статус: Offline


Приколист

Регистрация: 27.03.08
Сообщений: 386
Aberrant
ограничить.
гость с логином/паролем то не может зайти в шару, то не может запустить фильм.
админ с логином/паролем тоже все через жопу.
после последних проб плюнул, сделал по ssh команду
chmod -R 777 /mnt/Pool/Media/Фильмы
и живу так.
Еще по пути /mnt/Pool/ есть торентокачалка - с ней все норм, качает/раздает (только легальный контент трищ майор)

Еще есть просьба, ddns помочь настроить. В noip.com зарегистрировался, а проброс портов и т.д. не мое....



Нет у меня такой папки с таким файлом

Это сообщение отредактировал mikola1st - 6.12.2023 - 16:19

XigmaNAS права на доступ по сети
 
[^]
Aberrant
6.12.2023 - 16:53
1
Статус: Offline


На фоксе! Всегда!

Регистрация: 3.10.20
Сообщений: 2532
mikola1st
chmod это вообще из другой сказки.

ещё раз.
что у тебя в /etc/samba/smb.conf ?

суть настройки такова:
ты в /etc/samba/smb.conf прописываешь шару дважды.
один раз для гостей, где у тебя
guest ok = yes
writable = no
read only = yes
browsable = yes

т.е. гостям без имени и пароля чтение = да, запись нет, листинг каталога = да.

и ещё раз на ту же шару, но в отдельной секции прописываешь что-то вроде:
guest ok = no
writable = yes
read only = no
browsable = yes
valid users = @admins
т.е. всё наоборот,
но ещё добавляешь группу пользователей для которых собственно это и работает,
группу создаёшь новую и добавляешь в неё локальных пользователей или создаёшь глобальных (гугли),
хотя можно взять какую-то из существующих в системе групп


про noip.com хз. там вроде как всё просто - прочти инструкцию.
про проброс портов для ddns вообще впервые слышу - это зачем?
 
[^]
Aberrant
6.12.2023 - 16:55
1
Статус: Offline


На фоксе! Всегда!

Регистрация: 3.10.20
Сообщений: 2532
++
а, увидел, что настройки самбы у тебя где-то в другом месте спрятаны - ищи.
в этом XigmaNAS есть что-то вроде locate?

попробуй выполнить locate smb.conf
найдёт что-то?
 
[^]
Aberrant
6.12.2023 - 17:01
1
Статус: Offline


На фоксе! Всегда!

Регистрация: 3.10.20
Сообщений: 2532
Цитата (mikola1st @ 6.12.2023 - 15:25)
Добрый день!
https://mysku.club/blog/misc/94896.html тоже читал.

зря ты это читал.
там автор сам не понимает что он делает, зачем и как это работает.
смешались люди, кони... lol.gif

блять, нельзя вот так вот то в гую, то в консоль.
просто забить на эту гую - она бестолковая.
настроить всё по феншую из консоли и не ибсти моск.
 
[^]
mikola1st
6.12.2023 - 17:24
0
Статус: Offline


Приколист

Регистрация: 27.03.08
Сообщений: 386
Цитата (Aberrant @ 6.12.2023 - 16:55)
попробуй выполнить locate smb.conf
найдёт что-то?

Welcome to XigmaNAS!
nas: ~# locate smb.conf
locate: Command not found.


если в гуе искать smb.conf - ничего нету. Скорее в другом файле оно прописывается

Каталог поиска: /
smb.conf
Подпапка поиска
Результат поиска для smb.conf
Имя Путь
Нет доступных результатов.


Цитата (Aberrant)
про проброс портов для ddns вообще впервые слышу - это зачем?


Я полагаю, если я хочу получить доступ к nas извне, то мне нужен или белый IP, или кто-то/что-то, кто будет играть роль моего "белого" адреса. Соответственно нужно или VLAN как то делать или настроить роутер, чтобы он пропускал по логину/паролю/ключу в домашнюю сеть, в которой находится NAS. Тяжко объясняю, не умею в администратора, эникей я

Это сообщение отредактировал mikola1st - 6.12.2023 - 17:33
 
[^]
Aberrant
6.12.2023 - 19:34
1
Статус: Offline


На фоксе! Всегда!

Регистрация: 3.10.20
Сообщений: 2532
mikola1st
для доступа извне, ты для начала настрой этот самый нас.
потом уже будешь решать как организовать доступ к шаре.

но блин. это такое себе.
дело то не в VLAN - ну изолируешь ты сам нас,
а дыра в виде нешифруемого сервиса останется.

ну не, не такая уж прям и дыра, но...

если всё по уму сделать,
т.е. порт указать внешний какой-нибудь нестандартный и подальше, чтобы боты его не нашли по списку используемых/проверяемых портов,
имя юзера сделать нестандартное, т.е. не guest, root, admin, user, nobody и какие там ещё бывают,
ну и пароль достаточно сложный, чтобы по словарю не подбирался.

по идее от ботов и школьников этого хватит.
если заморачиваться дальше, то нужно ставить сервис типа fail2ban - чтобы блокировался порт при вводе неверного пароля.

можно ещё и в туннель шифрованный всё это дело завернуть,
суть конечно поменяется - для доступа в туннель пароля уже недостаточно, нужен ключик,
но к.м.к это избыточно.

т.е. в роутере для начала по маку привязываешь IP своему насу, чтобы он не менялся, внешние порты выбираешь рандомные, типа 3011, 2091, 3109, 2534
а внутри они должны вести на IP наса, но уже на стандартные порты самбы, т.е. на TCP: 445, 139 и UDP: 137, 138
*но и клиенту придётся как-то объяснить, что искать шару он должен не по стандартным портам, а на указанных тобой.
хз. будет ли работать, если просто прописать адрес типа \\192.168.1.5:3011
(т.е. указать в настройках самбы использовать не 445, а 3011 - проверь)



или гугли где твоя XIGMANAS прячет настройки самбы
или делай всё только в гуе по инструкции.
на самом деле у тебя сейчас задача сделать доступ без гостя,
т.е. только по паролю для локального юзера.
как получится, создавай ещё одну шару с тем же путём к файлам и там уже делай "только чтение" и доступ без пароля (но если ты шару наружу собрался выпускать, то эту фигню лучше не открывать!)

Это сообщение отредактировал Aberrant - 6.12.2023 - 19:39
 
[^]
NickelOdeon
6.12.2023 - 19:37
2
Статус: Offline


Похуист

Регистрация: 10.10.14
Сообщений: 1777
А зачем вообще гостям делать доступ извне? Только в домашней сети.
 
[^]
Aberrant
6.12.2023 - 19:41
1
Статус: Offline


На фоксе! Всегда!

Регистрация: 3.10.20
Сообщений: 2532
Цитата (NickelOdeon @ 6.12.2023 - 19:37)
А зачем вообще гостям делать доступ извне? Только в домашней сети.

погоди с гостями.
это будет следующий этап.
хз. как в его насе это делается,
в самой то самбе для гостевой шары можно прямо указать от каких IP принимать запросы для гостей или наоборот прописать, что с IP роутера и вообще всех "других" сразу в drор

ему то для начала только запустить самбу с парольным входом.
потом уже про гостей и внешний доступ думать.
 
[^]
mikola1st
6.12.2023 - 19:56
0
Статус: Offline


Приколист

Регистрация: 27.03.08
Сообщений: 386
Цитата (Aberrant @ 6.12.2023 - 19:41)
Цитата (NickelOdeon @ 6.12.2023 - 19:37)
А зачем вообще гостям делать доступ извне? Только в домашней сети.

самбу с парольным входом.

согласен
 
[^]
bf1648
6.12.2023 - 20:01
0
Статус: Offline


Ярила

Регистрация: 27.05.11
Сообщений: 2469
Поставь лучше чистую ubuntu server , smb и transmission -и будет счастье без гемора.

Для доступа извне лучше конечно иметь белый фиксированный адрес.
Если извне с непостоянных адресов, то соответственно делать по логину/паролю, если с статичных, то в конфиге перечислить адреса hosts allow
Пробросить для самбы достаточно только 445 порт.

Это сообщение отредактировал bf1648 - 6.12.2023 - 20:23
 
[^]
mikola1st
6.12.2023 - 20:29
0
Статус: Offline


Приколист

Регистрация: 27.03.08
Сообщений: 386
делал так
добавил двух пользователей, adv_user и lan

XigmaNAS права на доступ по сети
 
[^]
mikola1st
6.12.2023 - 20:32
0
Статус: Offline


Приколист

Регистрация: 27.03.08
Сообщений: 386
права и группа юзера lan

XigmaNAS права на доступ по сети
 
[^]
mikola1st
6.12.2023 - 20:40
0
Статус: Offline


Приколист

Регистрация: 27.03.08
Сообщений: 386
так вот, когда захожу в шару под именем lan - то не вижу файлов, то не могу получить доступ к шаре вообще.
На сейчас, после команды chmod -R 777 /папка назначения имею такое

XigmaNAS права на доступ по сети
 
[^]
mikola1st
6.12.2023 - 20:41
0
Статус: Offline


Приколист

Регистрация: 27.03.08
Сообщений: 386
естественно доступ к шаре сейчас без логина/пароля, и удаляй что хочешь, кто хочешь.
 
[^]
Aberrant
6.12.2023 - 21:22
1
Статус: Offline


На фоксе! Всегда!

Регистрация: 3.10.20
Сообщений: 2532
mikola1st
а не дофига ли ты прав выдал?
понизь хотя бы до drwxr-xr--

у тебя юзер lan вообще в какой группе?

смотри: wheel, это cлишком крутая группа для доступа к шаре.
сделай каталогам и файлам владельца группу юзера lan

для начала выясни какие там вообще группы у тебя есть.
если есть группа lan,
то пусть и весь каталог будет именно под такой группой и юзером.
делай
chown lan:lan -R /mnt/pool/Media/
(-R для рекурсии, чтобы всё, что внутри Media было lan:lan)
тогда права можно drwxr-xr--, чтобы не для всех, а только для владельца

блин.вообще какой-то странный подход - настройка самбы через GUI, но права зачем-то руками прописываешь - что за нас такой йобнутый?

я своей на своей шаре не разрешал гостей, но впустил локального юзера nobody
соответственно права у шары выглядят так:
Код
drwxr-xr-- 41 nobody nobody 4096 ноя 22 06:36 share
и этого более чем достаточно.
 
[^]
Aberrant
6.12.2023 - 21:26
1
Статус: Offline


На фоксе! Всегда!

Регистрация: 3.10.20
Сообщений: 2532
Цитата (mikola1st @ 6.12.2023 - 20:41)
естественно доступ к шаре сейчас без логина/пароля, и удаляй что хочешь, кто хочешь.

т.е. у тебя и гостям вход заодно открыт?
гугли где у тебя настройки самбы зарыты.
какая-то дичь там творится.
не должно быть такого.

создал локального юзера на насе,
указал каталог для шары, разрешил доступ к этому каталогу по самбе только для этого юзера и всё - только он и никто больше,
если в списке нет wheel или root, то и их самба не должна пускать
и уж тем более гостей без пароля и с левыми именами
 
[^]
Aberrant
6.12.2023 - 21:26
1
Статус: Offline


На фоксе! Всегда!

Регистрация: 3.10.20
Сообщений: 2532
* а у юзера lan вообще пароль то существует?
 
[^]
dlrex
6.12.2023 - 21:31
0
Статус: Offline


Инженегр

Регистрация: 24.11.13
Сообщений: 9161
Кстати, давно настраивал Самбу, но если в системе стоит 4-ая, то там guest`а вроде как ИМХуется мне, нету вообще.

Ну и завести пользователя через smbpasswd не забываем.

Это сообщение отредактировал dlrex - 6.12.2023 - 21:36
 
[^]
mikola1st
6.12.2023 - 21:40
0
Статус: Offline


Приколист

Регистрация: 27.03.08
Сообщений: 386
Цитата (Aberrant @ 6.12.2023 - 21:26)
* а у юзера lan вообще пароль то существует?

да, существует. и adv_user тоже с паролем
 
[^]
mikola1st
6.12.2023 - 21:43
0
Статус: Offline


Приколист

Регистрация: 27.03.08
Сообщений: 386
Цитата (Aberrant @ 6.12.2023 - 21:26)
Цитата (mikola1st @ 6.12.2023 - 20:41)
естественно доступ к шаре сейчас без логина/пароля, и удаляй что хочешь, кто  хочешь.

т.е. у тебя и гостям вход заодно открыт?
гугли где у тебя настройки самбы зарыты.
какая-то дичь там творится.
не должно быть такого.

создал локального юзера на насе,
указал каталог для шары, разрешил доступ к этому каталогу по самбе только для этого юзера и всё - только он и никто больше,
если в списке нет wheel или root, то и их самба не должна пускать
и уж тем более гостей без пароля и с левыми именами

Да, насколько я понимаю всем все разрешено.

XigmaNAS права на доступ по сети
 
[^]
Aberrant
6.12.2023 - 21:43
1
Статус: Offline


На фоксе! Всегда!

Регистрация: 3.10.20
Сообщений: 2532
а, увидел картинку с группами.

в общем lan должен быть в группе lan
никаких guest

и вообще у тебя там по определению не должно быть гостей, тем более безпарольных - нефига всем по шарам шариться.

в общем настраивай lan`а нормально, и самой шаре поснимай права - полный доступ только владельцу, чтение и выполнение (для каталога это и есть чтение) группе, а "остальным" вообще ничего.
т.е. после смены владельца и группы рекурсивно,
так же рекурсивно меняй права,
как-то так: chmod -R o-rwX,g-rwX,u+rwX
ну, это в идеале,
т.е. удалить все права для "остальные" и "группа",
но добавить все права "владельцу",
а владелец у тебя должен быть lan с группой lan
 
[^]
mikola1st
6.12.2023 - 21:45
0
Статус: Offline


Приколист

Регистрация: 27.03.08
Сообщений: 386
Цитата (dlrex @ 6.12.2023 - 21:31)
если в системе стоит 4-ая, то там guest`а вроде как ИМХуется мне, нету вообще.

Ну и завести пользователя через smbpasswd не забываем.

Вроде V. 3
Пользователей завел, двух. lan - гость и adv_user - администратор
 
[^]
Понравился пост? Еще больше интересного в Телеграм-канале ЯПлакалъ!
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей) Просмотры темы: 1416
0 Пользователей:
Страницы: (2) [1] 2  [ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]


 
 



Активные темы






Наверх