綾小路龍之介の素人思考

[debian] sambaでシンボリックリンクを辿れない

デフォルトの設定では辿れないようになっている。これはセキュリティの観点から。共有ディレクトリの外にあるファイルに対するシンボリックリンクやハードリンクを辿れるようになれば、sambaのログインユーザの権限で/etc/passwdを見る事ができるようになる。sambaでrootログインを許可している場合には、システムの重要なファイルを好きに変更できるようになってしまうということだ。

Sambaのバージョンが大事らしい。

# smbd -V
Version 3.5.6

以下の設定をsmb.confのgrobalセクションにに追加する。

wide links = yes
unix extensions = no
follow symlinks = yes

yesの場合、共有ディレクトリ外へのシンボリックリンクをサーバによって辿る。通常、シンボリックリンクは共有ディレクトリの中だけに限られているが、これを共有ディレクトリの外まで辿れるようにする。この設定かつunix extentions = yesの場合はクライアントに共有ディレクトリの外にあるパスへのシンボリックリンクの作成を許可する。

wide links = yes

yesの場合、共有ディレクトリ外へのシンボリックリンクやハードリンクの作成を許可。windowsクライアントではこれらの作成はできないが、unixクライアントではこれをすることができる。また、自動的にwide links = noの設定になる。noはこれを禁止。

unix extensions = no

noの場合、共有ディレクトリの外にあるシンボリックリンクへのアクセスはエラーになる。yesの場合、これを許可する。そのため、ユーザは/etc/passwd等のファイルへのシンボリックリンクを通してこの内容を読むことができるようになってしまう。

follow symlinks = yes

リファレンス

  1. sambaでシンボリック先フォルダが見れない件 - メカパンダ君が超合金になったあとの歩み
  2. Ubuntu 8.04 Desktop LTS の samba でシンボリックリンク先のフォルダにアクセスできなくなる - PRiMENON:DiARY
  3. Symbolic Link へのアクセスが拒否される。
  4. Sambaのアクセスできないフォルダへの対処法。(Symbolic link問題、Samba脆弱性対策) - ブックマクロ開発に
  5. smb.conf
  6. smb.conf

ソーシャルブックマーク

  1. はてなブックマーク
  2. Google Bookmarks
  3. del.icio.us

ChangeLog

  1. Posted: 2010-03-07T06:04:16+09:00
  2. Modified: 2010-03-07T06:04:16+09:00
  3. Generated: 2017-05-11T23:09:19+09:00