Как монтировать сетевые шары в Ubuntu из под доменного пользователя без прав root?

Question

[Виталий Гусев]

Есть доменная сеть на основе WIndows 2012 R2 Server. Есть пара контроллеров домена и сервер, на котором хранятся данные пользаков (Мои документы и Рабочий стол), подключаемые обычно на виндовых машинах с помощью Folder Redirection. Так же на том же сервере есть ряд общих папок, которые подключались, как сетевые диски.

Есть идея переводить пользаков на убунту с максимальным сохранением окружения.
Т.е., хочется при логоне доменного пользака в системе на убунту скриптом монтировать его рабочий стол на сервере в рабочий стол профиля на убунту, документы в папку документы, а диски - в специально созданные папки, которые будут храниться в домашнем каталоге пользователя.

Убунту в домен вогнать проблем не составило, доменный пользователь успешно заходит, его профиль создаётся в /home/.

Сейчас мучаюсь с проблемой:
Убунта не даёт монтировать без рута, ругаясь на невозможность использовать опции команды mount
Запихал путь к скрипту монтирования в .profile и при авторизации вот, что выходит:


Сам скрипт:

#!/bin/bash

# Проверяем, что скрипт выполняется от имени доменного пользователя
if [ "$(id -u)" != "0" ]; then
    # Местоположение домашней папки пользователя
    home_dir="$HOME"

    # Путь к ресурсу SMB и точке монтирования
    smb_share1="//filesrv/UserData/Обмен"
    smb_share2="//filesrv/UserData/Отдел-ИТ/Обмен"
    mount_point_l="$home_dir/Диск L"
    mount_point_g="$home_dir/Диск G"

    # Создаем точки монтирования, если они не существуют
    mkdir -p "$mount_point_g"
    mkdir -p "$mount_point_l"

    # Монтируем ресурсы SMB
    mount -t cifs -o username="$USER" "$smb_share1" "$mount_point_g"
    mount -t cifs -o username="$USER" "$smb_share2" "$mount_point_l"
fi

Может кто сталкивался с похожей ситуацией и решил ей?

Comments

[Модератор]

Не надо ставить как можно больше тэгов. Лучше оставить один, но конкретный, с которым проблема.
См.п.3.1 Регламента. Также обратите внимание на п.3.7 - разнородные вопросы в одном вопросе запрещены. И 3.4 - лирика не нужна.

[Adamos]

Не проще прописать эти шары в etc/fstab с опцией users?
Жестко ограничиться хомяком все равно и с sudoers не получится.

Answer 1

[CityCat4]

Решено сто тыщ мильенов лет назад внесением команды (скрипта) в sudoers вот так:

## Mount SMB shares without password
myusername        COMP = (root) NOPASSWD: /usr/local/bin/mountsmb3 -a
myusername         COMP = (root) NOPASSWD: /usr/local/bin/umountsmb3

где mountsmb3 и umountsmb - названия скриптов.

Comments

[Виталий Гусев]

Я так сделал даже:

ALL ALL=(ALL:ALL) NOPASSWD: /bin/bash /opt/scripts/*
ALL ALL=(ALL:ALL) NOPASSWD: /bin/mount
ALL ALL=(ALL:ALL) NOPASSWD: /usr/bin/mount
ALL ALL=(ALL:ALL) NOPASSWD: /usr/sbin/mount

Но не сработало, ошибка та же.

Или это не то?

[pfg21]

Виталий Гусев, ну авторы sudo ведь не дураки, чтоб вот просто так делать дыры в защите :)
надо писать допускаемую к запуску строчку, а не указание на исполняемый файл.
т.е. чтото типа такого

ALL ALL=(ALL:ALL) NOPASSWD: /usr/sbin/mount -t cifs -o username=$USER $HOME/Диск G //filesrv/UserData/Обмен

sudo будет пропускать только вот такой набор символов.
емнип переменные среды тож не пропускаются, т.е. $USER не сработает, разворачивай и проверяй.
поэтому много чего упаковывается в скрипт, но и запуск скрипта должен быть "прямой" с префиксом в виде пути до исполняемого бинаря и т.д.
"это вам не винда, тут все сложнее" :)

[CityCat4]

Виталий Гусев, Нет, конечно же. Мой скрипт делает все сам :) Кроме того, окружение фильтруется sudo, там приходится потанцевать с бубном, чтобы имя юзера передать, потому что $USER сносится нафиг.

Пришлось пойти на допущение, что имя юзера = имени домашки и выцеплять его вот так:

# We suppose, that username equal to their home directory name i.e /usr/home/myusername 
# assigned to user myusername, /root assigned to user root, so we simply use LATEST part of
# pathway to home directory as username.
_uname=${HOME##*/}

sudo проверяет запуск полностью. То есть, если я написал "/usr/local/bin/mountsmb3 -a" - это значит, я должен набрать именно эту строку полностью

[CityCat4]

pfg21, Чтобы не писать вот это чудовище, я и написал скрипт в свое время (сто тыщ лет назад). Он читает свое файло в домашке, парсит и монтирует

[pfg21]

CityCat4, хых, как обычно "упрощающий жизнь" косяк :)
вот от такого и возникают дырки в защите ибо скрипт редактируется пользователем, а запускается от рута.
следовательно пользователь может отредактировать скрипт и запустить от рута любую команду.

[CityCat4]

pfg21, Ну не совсем уж так :) Скрипт /usr/local/bin/mountsmb3 не редактируется пользователем :) Пользователем редактируется файл .mssmbrc, в котором нет кода, а только указание, что куда монтировать.

[hint000]

pfg21, CityCat4,

Пользователем редактируется файл .mssmbrc, в котором нет кода

...и тут какой-нибудь кулхацкер Пупкин по аналогии с SQL-инъекцией делает bash-инъекцию. ;)
Как говорил мастер Инь Фу Во, "Паранойя входит в число моих должностных обязанностей". :)

[CityCat4]

hint000, В число моих тоже :)

Но раз сказали А - скажите уж Б :)

Скрипт написан много-много лет назад

# Written by CityCat at 05.02.2003      Version 0.90.1
# Translated to sh at 22.09.2005 by CityCat
# Rewritten for Linux 15.04.2015 by CityCat

Написан примитивно, а примитивные вещи очень тяжело ломать - в них нет допущений.
Где здесь можно вставить bash-injection так, чтобы она исполнилась?

smbshares=`cat $HOME/.mssmbrc`

for smbshare in $smbshares
 do
  IFS=$saveifs

# Auto-parse line from .mssmbrc file.
# Here:
# $1 - server, $2 - share, $3 - mountpoint, $4 - files mode, $5 - dirs mode
# $6 - sign for auto/manually mounting
  set $smbshare
  comment=`echo $1 | awk '{print substr($0,1,1)}'`
  if [ $comment = "#" ]; then
    continue
  fi

# Strip out last '$', when this resource tried to mount
  share=${2%$}

# Ensure, that this share is already mounted
  domount=`$util_mount | grep -i -e "//$1/$2 on $3"`

  if [ ${#domount} -eq 0 ]; then

    if [ $4 = "none" ]; then
      mfmode=""
     else
       mfmode=$4
    fi

    if [ $5 = "none" ]; then
      dfmode=""
     else
       dfmode=$5
    fi

# Do mount this share, when automount is requested
    if [ $allmount -eq 1 ] && [ $6 = "auto" ]; then
      do_smbmount "$smbshare" $myuid $_usergroup $_userhome
      continue
    fi

# Do mount this share, when mount point was specified exactly and exit
    if [ $mpoint = $3 ]; then
      do_smbmount "$smbshare" $myuid $_usergroup $_userhome
      exit
    fi
  fi

  IFS=$strip
 done

[hint000]

CityCat4, это больше стёб был. И правды - одна крупинка сахара на гранёный стакан стёба. Так-то понятно, при парсинге скрипта несколько уровней подстановок, экранирований и всего такого. Инъекция теоретически становится возможной в результате какого-нибудь бага в парсере. И, может быть, десяткам тысяч человек приходила мысль об этом; из них, может быть, тысячи внимательно изучали исходники bash в поисках таких багов, и, может быть, десять человек даже чего-то нашли и отрепортили. В результате чего уязвимости парсера bash, допускающие инъекцию, исправлены "сто тыщ мильенов лет назад". Но, таки, вдруг где-то осталась одна уязвимость?

примитивные вещи очень тяжело ломать - в них нет допущений

По аналогии с SQL-инъекцией, это как апеллировать к простоте SQL-запроса. Но простота (и правильность) запроса в принципе не спасает от инъекции. Спасти или не спасти может программный код за пределами запроса. Так и здесь - за пределами скрипта - вся надежда на вылизанный до блеска код самого bash.