[Debian] Utente con cui gira smbd

[mark2x]

Come modifico l'utente con cui gira smbd?
Grazie.

[Manuel.s]

una risposta precisa non te la so dare però ipotizzo:
in /etc/init.d c'è lo script che lancia samba all'avvio, potrebbe essere definito li

poi mi pare di ricordare che in smb.conf nella sezione [general] di solito per motivi di sicurezza si inserisce
invalid users = root
puoi aggiungere utenti qui per un utilizzo tipo black list ma cmq questo non è riferito all'utente con cui gira il server piutosto a quelli che possono accedere ai vari volumi
volendo puoi utilizzare la stessa direttiva al'interno dei volumi

spero di esseri stato utile

[mark2x]

Sì, grazie. Avevo pensato anch'io allo script di avvio, ma è davver l'unico modo?
Non mi pare pulitissimo (?)..

[Manuel.s]

bo a me sembra pulito
con qualsiasi utente lo lanci, lui girerà con quello definito li dentro...

ma poi posso chiederti perchè lo vuoi cambiare? di solito giro col suo utente (smb)...

[mark2x]

Dato che smbd gira come utente "nobody", non ha diritti per accedere a /var/www/mioprog (che voglio appunto condividere), dato che /var/www/mioprog è 700 per www-data.

Tu come faresti, oltre a modificare l'utente con cui gira smbd?

Tra l'altro, ho un debian più vecchio sul quale va senza fare modifiche, ed i smb.cnf sono IDENTICI. Non ne capisco il motivo..

Hai lumi?

[Manuel.s]

no non ho lumi, in effetti la cosa migliore sarebbe aggiungere smb al gruppo che può accedere a /var/www/mioprog, e far girare samba come utente smb. Anche questa però come soluzione non è un granche se stiamo parlando di un server in produzione, ma forse la meno rischiosa perchè in smb.conf puoi definire da quali IP accettare le connessioni...

certo se non è in produzione potresti anche cambiare i permessi a /var/www/mioprog... una soluzione un po sporca ma non essendo una macchina ad accesso libero può andare...

[mark2x]

Ok, quindi il nocciolo resta far girare smb come un dato utente.

Ma dato che non vedo topic simili in giro per l'Internet, mi chiedo: ma sono io che mi faccio pippe o tutta la gente che usa condivisioni samba pone le cartelle condivise a 777???!!!!

Cmq, no, /var/www/mioprog deve girare come www-data (alla sicurezza ci tengo, vedi mia guida di cui al link sotto)

[Manuel.s]

Originariamente inviato da mark2x
Ma dato che non vedo topic simili in giro per l'Internet, mi chiedo: ma sono io che mi faccio pippe o tutta la gente che usa condivisioni samba pone le cartelle condivise a 777???!!!!

non mi stupirebbe nemmeno un po

cmq il punto secondo me è anche un altro: se in /var/www/ ci sono siti web samba non dovrebbe accedere a quel path, con nessun utente.
di più, se la macchina è una macchina SOLO di produzione samba andrebbe rimosso. usalo per accedere ai tuoi volumi su una macchina di sviluppo, poi da quella sposta i dati verso la prod in qualche altro modo (ssh o sftp).

[mark2x]

No non te preocupe, io accedo via vpn + ssh/fuse.

Il webserver Debian deployato gira su una VM VMWare, ed il cliente vuole farsi giustamente i backup dei dati creati (parliamo di un gestore documentale web).

Quindi

- installo il client del loro sistema di backup su Debian e lo gestisco io (ma il client per Linux non c'è);
- condivido la cartella... e che devo fare sennò!?

^.^

[mark2x]

Guardando il comportamento di smbd, mi accorgo che è analogo a quello di Apache, nel senso che inizia a girare come root per poi figliare con minori permessi.
Però - a differenza di Apache - figlia solo quando il servizio viene richiamato.

Mi spiego.

Nessuna connessione samba:

netstat -ap | grep smbd

codice:

tcp        0      0 *:netbios-ssn           *:*                     LISTEN     3084/smbd           
tcp        0      0 *:microsoft-ds          *:*                     LISTEN     3084/smbd

ps aux | grep smbd

codice:

root      3084  0.0  0.1   9356  1900 ?        Ss   Jun27   0:00 /usr/sbin/smbd -D
root      3093  0.0  0.0   9252   712 ?        S    Jun27   0:00 /usr/sbin/smbd -D

Connessioni presenti:

netstat -ap | grep smbd

codice:

tcp        0      0 *:netbios-ssn           *:*                     LISTEN     3084/smbd           
tcp        0      0 *:microsoft-ds          *:*                     LISTEN     3084/smbd           
tcp        0      0 sms.mediab:microsoft-ds preview:1206            ESTABLISHED8253/smbd

ps aux | grep smbd

codice:

root      3084  0.0  0.1   9356  1900 ?        Ss   Jun27   0:00 /usr/sbin/smbd -D
root      3093  0.0  0.0   9252   712 ?        S    Jun27   0:00 /usr/sbin/smbd -D
nobody    8287  0.0  0.2   9848  2396 ?        S    15:39   0:00 /usr/sbin/smbd -D

eccolo lì, è nato nobody.


La domanda è quindi: posso agire sullo script di init.d per modificare questo comportamento?