Заметки о решаемых задачах АйТишников

Сделал - запиши. Нашёл - сохрани :)

Защита файлового сервера Samba

Защита файлового сервера Samba

 

Режимы безопасности Samba

Есть статья про настройку Samba-сервера, используя графическую оболочку - поглядеть.
Есть статья про настройку Samba-сервера, используя только терминал - поглядеть.

Доступны два уровня безопасности для сетевого протокола CIFS (разделяемая файловая система интернета): уровень пользователя user и уровень ресурса share.
Безопасность Samba состоит из пяти уровней: четыре способа реализации уровня пользователя и один вариант реализации уровня разделяемого ресурса:

  • security = user: требует от клиента предоставить имя пользователя и пароль для подключения к ресурсу. Учетные записи пользователей Samba отделены от системных учетных записей.
  • security = domain: этот режим позволяет серверу Samba представляться клиентам Windows первичным доменным контроллером (PDC), резервным доменным контроллером (BDC) или сервером-членом домена (DMS). Смотрите раздел Samba как контроллер домена для дополнительной информации.
  • security = ADS: позволяет серверу Samba присоединиться к домену Active Directory как родному. Смотрите раздел Интеграция Samba с Active Directory для уточнения деталей.
  • security = server: этот режим оставлен с тех времен, когда Samba не мог становиться членом домена и по ряду причин, связанных с безопасностью, не может использоваться. Смотрите раздел Server Security руководства по Samba для уточнения деталей.
  • security = share: позволяет клиентам подключаться к разделяемому ресурсу без предоставления имени пользователя и пароля.

Параметр security=share устарел
Вместо share используйте

security = user
​map to guest = Bad User

Имя пользователя будет сравниваться с базой данных самбы, если пользователь отсутствует в базе самбы, то он будет помечен как «Bad User» и сопоставляется с учетной записью гостя.
Режим безопасности, который вы выберете, будет зависеть от вашего окружения и того что вы хотите получить от сервера Samba.

Security = User

В этой секции рассматривается как перенастроить сервера файлов и печати Samba, чтобы они требовали аутентификацию.

Отредактируйте /etc/samba/smb.conf, и измените в секции [share]:

guest ok = no

Перезагрузите Samba, чтобы новые настройки вступили в силу:

sudo service smbd restart

Теперь при подсоединении к общим каталогам или принтерам у вас будет запрашиваться имя пользователя и пароль.

Безопасность разделяемого ресурса

Существует несколько опций для усиления безопасности по каждому конкретному общему каталогу. По примеру [share], эта секция рассматривает наиболее распространенные опции.

Группы и пользователи

Группы определяют какие компьютеры или пользователи имеют общий уровень доступа к определенным сетевым ресурсам.
Например имеем две группы пользователей:
— первая группа users с пользователями olegpetr и vasya,
— вторая группа admins с пользователями ludaartem и petr,
Также имеем некоторый сетевой ресурс, настроенный на доступ группы users. Этот ресурс будет соответственно предоставлять доступ для olegpetr и vasya, но не luda или artem. Оговорим сразу, что пользователь petr относящийся к обеим группам users и admins, будет иметь доступ к ресурсам, настроенным на доступ для любой из этих групп, в то время как все остальные — только к ресурсам, настроенным на определенные группы, которым они принадлежат.

По умолчанию Samba ищет локальные системные группы, объявленные в /etc/group, для определения какие пользователи им принадлежат. Для дополнительной информации по добавлению и удалению пользователей в группах смотрите раздел Добавление и удаление пользователей.

При определении групп в файле настроек Samba /etc/samba/smb.conf используется синтаксис распознавания с предшествующим символом @. Например, если вы собираетесь определить группу с именем admins в определенной секции файла /etc/samba/smb.conf, вы сможете сделать это, указав имя группы как @admins.

Права доступа к файлам

Права доступа определяют явные права компьютера или пользователя на определенный каталог или файл. Такой доступ может быть определен редактированием файла /etc/samba/smb.conf и заданием явных разрешений определенному разделяемому файловому ресурсу.

Например, если у Вас определен Samba ресурс с названием share и Вы собираетесь дать права на чтение группе пользователей users, но хотите предоставить возможность записи для группы с именем admins, а также пользователю oleg, то вы можете отредактировать файл /etc/samba/smb.conf, добавив следующие записи в секцию [share]:

read list = @users
write list = @admins, oleg

В Samba можно включить определение административных привилегий на определенный разделяемый ресурс. Пользователи с административными правами могут читать, записывать или изменять любую информацию, которую содержит ресурс, на который у данного пользователя существуют административные привилегии.

Например, если вы хотите предоставить пользователю luda административные права доступа к ресурсу share из нашего примера, вам потребуется отредактировать файл /etc/samba/smb.conf и добавить следующую строку в раздел [share]:

admin users = luda

Другой возможной защитой является включение масок и прав на созданные каталоги и файлы. Для этого отредактируйте /etc/samba/smb.conf, и добавьте в секцию [share]:

force group = nogroup
force user = nobody
create mask = 0644
directory mask = 0775

force group — устанавливает на файлы и каталоги права группы nogroup.
force user — устанавливает права пользователя nobody на созданные файлы и каталоги.
create mask — определяет права на записываемые файлы.
directory mask — определяет права на записываемые каталоги.

После изменений /etc/samba/smb.conf перезапустите Samba для применения изменений:

sudo service smbd restart

Чтобы опции read list и write list работали, режим безопасности Samba не должен быть установлен в security = share.

 

12 декабря 2016, 02:25    Александр Linux 0    2952 0

 



Комментарии (0)

    Вы должны авторизоваться, чтобы оставлять комментарии.