Recomendaciones de esquema de usuarios NAS
#1
Hola a tod@s,
simplemente me gustaría comentar acerca de cómo tenéis/consideráis el esquema de usuarios en el NAS.
La idea es coger ideas, y así evitar la tentación de tener pocos usuarios y reutilizarlos para diferentes servicios  Angel Tongue

Por ejemplo:
- 1 usuario para vpn
- 2 usuarios nominales para samba
- 2 usuarios nominales para NFS
- 1 usuario "administrador" (distinto del "admin")
- etc

Espero vuestros comentarios/sugerencias.
Gracias  Heart
TS-253A 2x4TB RAID1 8GB RAM
“La inteligencia es la habilidad de evitar hacer trabajo y conseguir que el trabajo se haga.” (Linus Torvalds)
  Responder
#2
Hola

Me parece muy buena la idea lo de separar usuarios.
Yo no suelo separar los de nfs y smb.
Y uso los grupos de usuarios para los accesos.
Pero si los de las vpn.


Un saludo

Agur eta ondo ibilli

Mon (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be y QHora-301w)
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Responder
#3
En mi caso la verdad que tengo pocos usuarios "humanos" por así decirlo, pero me gusta analizar todos los puntos de vista para, sin descuidar la seguridad, escoger el más práctico.

(23-04-2022, 10:55 PM)Ganekogorta escribió: Yo no suelo separar los de nfs y smb.
Y uso los grupos de usuarios para los accesos.
Pero si los de las vpn.

En tu caso por ejemplo, si concedes acceso por vpn a una persona, ¿le otorgas al mismo usuario los permisos tanto para vpn y luego para, por ejemplo, montar ciertos shares por samba, o bien obligas a que dicha persona emplee un usuario específico para la vpn y otro para los datos nfs/samba?

Realmente lo fácil sería darle a esa persona un único usuario con todos los permisos que requerirá, pero quizá se complique la administración ante cualquier modificación. ¿Cómo lo veis?
TS-253A 2x4TB RAID1 8GB RAM
“La inteligencia es la habilidad de evitar hacer trabajo y conseguir que el trabajo se haga.” (Linus Torvalds)
  Responder
#4
Hola

Yo suelo personalizar mucho los permisos.
Tengo usuarios que sólo son de la vpn y no acceden a nada de la nas.
Otros solo a smb… depende de lo que quieras hacer y la granularidad que quieras conseguir. A más detalle, más trabajo de mantenimiento y gestión [emoji2371]


Un saludo

Agur eta ondo ibilli

Mon (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be y QHora-301w)
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Responder
#5
Me he dispuesto a generar usuarios específicos para smb y me surge (más bien me vuelve a surgir) la siguiente cuestión. Hace tiempo montaba carpetas compartidas en mi Linux mediante NFS (que es lo más lógico e iba muuucho más rápido todo, especialmente se notaba en recorrido de directorios y el rsync para hacer backups, etc). El caso es que entonces tenía problemas con el dichoso mapeo de usuarios entre los locales de la NAS y los locales de mi equipo. Al final, por cuestiones de tiempo y practicidad, decidí montarlos mediante samba y evitar tocar temas de permisos en la NAS.

Ahora, al generar usuarios para smb veo que me da errores de permisos con la escritura. Entro en el NAS por ssh y efectivamente veo que todos los ficheros de las carpetas compartidas las tengo con propietario "admin:administrators", y máscaras 755 para directorios y 644 para ficheros. Lógicamente con esos permisos no me vale, tampoco bastaría con meter a los nuevos usuarios en el grupo "administrators" (además de ser una barbaridad). Sólo veo la opción de jugar a cambiar permisos en el NAS, de manera recursiva, a ciertos directorios/subdirectorios.. pero me da un miedo terrible por si acaba afectando en algo al funcionamiento del NAS.

¿Cómo habéis solventado el problema? O quizá generasteis en su día las carpetas compartidas de origen ya con propiedad de cada usuario, en lugar de tenerlo todo como "admin"  Shy
TS-253A 2x4TB RAID1 8GB RAM
“La inteligencia es la habilidad de evitar hacer trabajo y conseguir que el trabajo se haga.” (Linus Torvalds)
  Responder
#6
Hola

Como veo que quieres hilar fino, creo que te conviene tener algún servidor de directorio activo.
Si no lo tienes, la nas podría serlo y así tienes centralízalo el control de usuarios y sus accesos [emoji848]


Un saludo

Agur eta ondo ibilli

Mon (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be y QHora-301w)
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Responder
#7
Desconozco si realmente me convendría, pues el mundo por el que me muevo en casa es por entero Linux  Angel

¿No habéis probado ninguno a cambiar permisos en las carpetas compartidas del NAS (no a la carpeta en sí, sino el contenido) a un usuario distinto de "admin"?
TS-253A 2x4TB RAID1 8GB RAM
“La inteligencia es la habilidad de evitar hacer trabajo y conseguir que el trabajo se haga.” (Linus Torvalds)
  Responder
#8
Hola

Lo cierto es que no, pero entiendo que es exactamente igual que un sistema Linux y no veo porque no puedas hacer lo que comentas.
Pero claro, la gestión vía QTS no se si te irá bien. Lo que está claro es que la gestión manual por consola si debería ir bien [emoji848]


Un saludo

Agur eta ondo ibilli

Mon (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be y QHora-301w)
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Responder
#9
Hola,
finalmente modifiqué los propietarios de los ficheros desde la consola y cree un nuevo usuario para los montajes NFS y otro para SMB. Al menos de momento, no percibo ningún estropicio  Big Grin

Le voy a echar un ojo a la sección "Permisos avanzados", dentro de "Carpetas compartidas", quizá me ahorre este tipo de "manualidades". ¿Tenéis alguno experiencia con esta característica?
TS-253A 2x4TB RAID1 8GB RAM
“La inteligencia es la habilidad de evitar hacer trabajo y conseguir que el trabajo se haga.” (Linus Torvalds)
  Responder
#10
He observado dos cosas al incluir usuarios en el grupo "administrators": 


1. No se añade este grupo como gid sino como grupo convencional, con lo que al generar ficheros/directorios el grupo efectivo es "everyone". Por lo que, con la máscara por defecto de creación de ficheros/directorios, se pierde el permiso de escritura sobre los ficheros del usuario "admin" (aun perteneciendo al mismo grupo). He tenido que modificar a mano el gid y listo.

Código:
# usermod -g administrators <usuario>


2. El nuevo usuario creado no es un "admin" al 100% ni mucho menos. Por ejemplo he observado que no es capaz de cambiar permisos a los ficheros pertenecientes al usuario "admin" auténtico. Me imagino que habrá más cosas que lo hacen diferente (no sé si por un bug o por seguridad)  Confused
Para solventar esto último es necesario añadir al nuevo admin en el sudo. Para ello generamos el directorio /usr/etc/sudoers.d y un ficheros que contenga algo así:

Código:
<usuario> ALL=(ALL) NOPASSWD:ALL

Con esto podemos elevarnos al usuario "admin" (sin necesidad de introducir su clave) para lanzar comandos. Como este cambio no es persistente a reinicios, es necesario incluirlo en el autorun.sh (https://wiki.qnap.com/wiki/Running_Your_...at_Startup).



Por si a alguien le sucede algo similar o le sirve.
TS-253A 2x4TB RAID1 8GB RAM
“La inteligencia es la habilidad de evitar hacer trabajo y conseguir que el trabajo se haga.” (Linus Torvalds)
  Responder




Usuarios navegando en este tema: 1 invitado(s)