Re: sshfs en umask

2017-10-19 Berichten over hetzelfde onderwerp Paul van der Vlis 
Hallo,

Op 12-10-17 om 22:55 schreef Paul van der Vlis:
> Hallo,
> 
> Ik wil bestanden delen via sshfs, en daarom de umask wijzigen.
> 
> Als ik de umask op de client wijzig gaat alles goed. Maar eigenlijk
> lijkt het me beter om de umask op de server te bepalen, de client beheer
> ik soms niet. En wellicht willen er ook mensen met duistere operating
> systemen zoals Windows of MacOS op, waar ik weinig van weet.
> 
> Nu lees ik overal dat je de umask op de server in kunt stellen in
> /etc/ssh/sshd_config met bijvoorbeeld iets als:
> Subsystem   sftp/usr/lib/openssh/sftp-server -u 0002
> of:
> ForceCommand internal-sftp -u 0002
> 
> Maar dat werkt niet bij mij, de umask wordt gewoon zoals ingesteld op de
> client. Iemand een idee waarom het niet werkt, en of er iets tegen te
> doen is?
Het blijkt dat ik de rechten wel kan beperken, maar niet groter kan
maken dan dat ze op de client zijn. Iets als "-u 0222" heeft dus wel effect.

Groeten,
Paul

-- 
Paul van der Vlis Linux systeembeheer Groningen
https://www.vandervlis.nl/

Re: sshfs en umask

2017-10-13 Berichten over hetzelfde onderwerp Paul van der Vlis 
Op 13-10-17 om 11:06 schreef Geert Stappers:

> Ik weet het niet.  Als ik wat meer belang bij had, 
> dan zou ik uitzoeken of sshfs (client kant) wel echt
> gebruik maakt van sftp subsystem aan server kant.

Dat lijkt hij wel te doen, via "ps aux" zie ik :

paul 13688  0.0  0.3  97268  3148 ?Ss   13:59   0:00 sshd:
paul@internal-sftp

Ik heb de indruk dat de umask van de client tegenwoordig correct wordt
doorgegeven en dat die nu de umask op de server overschrijft. Eerder
werd de umask van de client niet goed doorgegeven.

Groeten,
Paul

-- 
Paul van der Vlis Linux systeembeheer Groningen
https://www.vandervlis.nl/

Re: sshfs en umask

2017-10-13 Berichten over hetzelfde onderwerp Paul van der Vlis 
Op 13-10-17 om 12:28 schreef Floris:
> Op Fri, 13 Oct 2017 11:41:28 +0200 schreef Paul van der Vlis
> :
> 
>> Op 13-10-17 om 11:12 schreef Floris:
>>
>>> iets als:
>>> session optional pam_umask.so umask=0002
>>> in /etc/pam.d/sshd
>>>
>>> In ieder geval als systemd en logind op de server draaien, zal ik het in
>>> die hoek zoeken.
>>
>> Ik werk inderdaad met systemd, of ik logind gebruik weet ik niet
>> helemaal zeker. Logind zou zijn toegevoegd in systemd 30, voor zover ik
>> zie werk ik met versie 232 dus het zal wel, maar ik zie het niet draaien
>> met "ps aux", en vind ook geen bestand "logind".
>>
>> /etc/pam.d/sshd is best een ingewikkeld bestand en pam is niet mijn
>> specialiteit. Kan ik zo'n regel aan het eind van het bestand toevoegen
>> of moet dat ergens op een speciale plek in het bestand?
>>
>> Groet,
>> Paul
>>
> Als ik het goed begrijp dan kan het gewoon aan het einde. Wel is de tip
> om je ssh verbinding aan te laten staan en met een nieuwe verbinding te
> testen of het werkt. Want als het niet werkt kan het zo zijn dat je niet
> meer kan inloggen.
Het werkt wel met inloggen via SSH, maar niet met sshfs (wat onder de
motorkap sftp gebruikt). En ik zie geen pam config voor sftp.

Maar ik ben ook bang dat het andere onverwachte problemen zou kunnen
geven. Ik zou graag zo'n default willen voor gewone gebruikers, maar
voor root is het wellicht geen goed idee. (Alhoewel, voor root zou ik
wellicht ergens de umask apart kunnen instellen.)

Groet,
Paul


-- 
Paul van der Vlis Linux systeembeheer Groningen
https://www.vandervlis.nl/

Re: sshfs en umask

2017-10-13 Berichten over hetzelfde onderwerp Floris 
Op Fri, 13 Oct 2017 11:41:28 +0200 schreef Paul van der Vlis  
:



Op 13-10-17 om 11:12 schreef Floris:


iets als:
session optional pam_umask.so umask=0002
in /etc/pam.d/sshd

In ieder geval als systemd en logind op de server draaien, zal ik het in
die hoek zoeken.


Ik werk inderdaad met systemd, of ik logind gebruik weet ik niet
helemaal zeker. Logind zou zijn toegevoegd in systemd 30, voor zover ik
zie werk ik met versie 232 dus het zal wel, maar ik zie het niet draaien
met "ps aux", en vind ook geen bestand "logind".

/etc/pam.d/sshd is best een ingewikkeld bestand en pam is niet mijn
specialiteit. Kan ik zo'n regel aan het eind van het bestand toevoegen
of moet dat ergens op een speciale plek in het bestand?

Groet,
Paul

Als ik het goed begrijp dan kan het gewoon aan het einde. Wel is de tip om  
je ssh verbinding aan te laten staan en met een nieuwe verbinding te  
testen of het werkt. Want als het niet werkt kan het zo zijn dat je niet  
meer kan inloggen.


Floris

Re: sshfs en umask

2017-10-13 Berichten over hetzelfde onderwerp Paul van der Vlis 
Op 13-10-17 om 11:12 schreef Floris:

> iets als:
> session optional pam_umask.so umask=0002
> in /etc/pam.d/sshd
> 
> In ieder geval als systemd en logind op de server draaien, zal ik het in
> die hoek zoeken.

Ik werk inderdaad met systemd, of ik logind gebruik weet ik niet
helemaal zeker. Logind zou zijn toegevoegd in systemd 30, voor zover ik
zie werk ik met versie 232 dus het zal wel, maar ik zie het niet draaien
met "ps aux", en vind ook geen bestand "logind".

/etc/pam.d/sshd is best een ingewikkeld bestand en pam is niet mijn
specialiteit. Kan ik zo'n regel aan het eind van het bestand toevoegen
of moet dat ergens op een speciale plek in het bestand?

Groet,
Paul

/etc/pam.d/sshd, de regels zijn wat afgebroken:
-
# PAM configuration for the Secure Shell service

# Standard Un*x authentication.
@include common-auth

# Disallow non-root logins when /etc/nologin exists.
accountrequired pam_nologin.so

# Uncomment and edit /etc/security/access.conf if you need to set complex
# access limits that are hard to express in sshd_config.
# account  required pam_access.so

# Standard Un*x authorization.
@include common-account

# SELinux needs to be the first session rule.  This ensures that any
# lingering context has been cleared.  Without this it is possible that a
# module could execute code in the wrong domain.
session [success=ok ignore=ignore module_unknown=ignore default=bad]
   pam_selinux.so close

# Set the loginuid process attribute.
sessionrequired pam_loginuid.so

# Create a new session keyring.
sessionoptional pam_keyinit.so force revoke

# Standard Un*x session setup and teardown.
@include common-session

# Print the message of the day upon successful login.
# This includes a dynamically generated part from /run/motd.dynamic
# and a static (admin-editable) part from /etc/motd.
sessionoptional pam_motd.so  motd=/run/motd.dynamic
sessionoptional pam_motd.so noupdate

# Print the status of the user's mailbox upon successful login.
sessionoptional pam_mail.so standard noenv # [1]

# Set up user limits from /etc/security/limits.conf.
sessionrequired pam_limits.so

# Read environment variables from /etc/environment and
# /etc/security/pam_env.conf.
sessionrequired pam_env.so # [1]
# In Debian 4.0 (etch), locale-related environment variables were moved to
# /etc/default/locale, so read that as well.
sessionrequired pam_env.so user_readenv=1
envfile=/etc/default/locale


# SELinux needs to intervene at login time to ensure that the process starts
# in the proper default security context.  Only sessions which are intended
# to run in the user's context should be run after this.
session [success=ok ignore=ignore module_unknown=ignore default=bad]
   pam_selinux.so open

# Standard Un*x password updating.
@include common-password
--


-- 
Paul van der Vlis Linux systeembeheer Groningen
https://www.vandervlis.nl/

Re: sshfs en umask

2017-10-13 Berichten over hetzelfde onderwerp Paul van der Vlis 
Op 13-10-17 om 07:47 schreef Geert Stappers:
> On Thu, Oct 12, 2017 at 10:55:03PM +0200, Paul van der Vlis wrote:
>> Hallo,
>>
>> Ik wil bestanden delen via sshfs, en daarom de umask wijzigen.
>>
>> Als ik de umask op de client wijzig gaat alles goed. Maar eigenlijk
>> lijkt het me beter om de umask op de server te bepalen, de client beheer
>> ik soms niet. En wellicht willen er ook mensen met duistere operating
>> systemen zoals Windows of MacOS op, waar ik weinig van weet.
>>
>> Nu lees ik overal dat je de umask op de server in kunt stellen in
>> /etc/ssh/sshd_config met bijvoorbeeld iets als:
>> Subsystem   sftp/usr/lib/openssh/sftp-server -u 0002
>> of:
>> ForceCommand internal-sftp -u 0002
>>
>> Maar dat werkt niet bij mij, de umask wordt gewoon zoals ingesteld op de
>> client. Iemand een idee waarom het niet werkt, en of er iets tegen te
>> doen is?
> 
> Euh, sshd herstarten?
> ( i.p.v. aanname nieuwe setting zal actief zijn bij nieuwe sessie ?? )

Dat had ik wel gedaan hoor!  Voelt wel wat raar zo'n "service ssh
restart" vanuit een ssh sessie, en ik vraag me dan altijd wel af of hij
wel echt herstart.

En uiteraard ook nieuwe sessie. Maar nee...

Volgens mij werkte eerder de umask van de client niet, dat had iets met
FUSE te maken. Nu werkt dat dus wel.

Ik test met een Debian 9 server en een Debian 8 client. Met een Debian 8
server (en client) zag ik hetzelfde.

Groeten,
Paul



-- 
Paul van der Vlis Linux systeembeheer Groningen
https://www.vandervlis.nl/

sshfs en umask

2017-10-12 Berichten over hetzelfde onderwerp Paul van der Vlis 
Hallo,

Ik wil bestanden delen via sshfs, en daarom de umask wijzigen.

Als ik de umask op de client wijzig gaat alles goed. Maar eigenlijk
lijkt het me beter om de umask op de server te bepalen, de client beheer
ik soms niet. En wellicht willen er ook mensen met duistere operating
systemen zoals Windows of MacOS op, waar ik weinig van weet.

Nu lees ik overal dat je de umask op de server in kunt stellen in
/etc/ssh/sshd_config met bijvoorbeeld iets als:
Subsystem   sftp/usr/lib/openssh/sftp-server -u 0002
of:
ForceCommand internal-sftp -u 0002

Maar dat werkt niet bij mij, de umask wordt gewoon zoals ingesteld op de
client. Iemand een idee waarom het niet werkt, en of er iets tegen te
doen is?

Met vriendelijke groet,
Paul van der Vlis


-- 
Paul van der Vlis Linux systeembeheer Groningen
https://www.vandervlis.nl/