Linux orosz
Az utóbbi időben már elkezdték vizsgálni a kérdést, hogy hogyan kell telepíteni és konfigurálni a biztonságos fájlszerver Samba a helyi (nem internetes) használatára. áttekintést E szerver történt, azt magyarázták, hogy miért Samba a legalkalmasabb beállítás „hálózati meghajtó” az ügyfelek a helyi hálózat meghatározott fogalmak és Samba fogalmak, és hogyan kell telepíteni a Samba szerverek démonai kliens közművek és webes felületet biztosít SWAT - Samba konfigurációs.
Ekkor egy áttekintést bővül, és kifejezetten mutatja, hogy szükség van, hogy rögzítse az smb.conf fájlba, hogy védett források megfelelően. Mi a probléma az általános értelemben vett, de különös figyelmet kell fordítani a biztonságra.
használati eset
Más szóval, a szerver fog futni felhasználói módban, amely együttesen kell használni a Linux / UNIX helyi felhasználók és a Samba-jelszó hash a felhasználók. Ez az, amit meg fogja határozni hozzáférést a megosztott erőforrások a munkacsoport. A munkacsoport, ahogy emlékszem, lehet, hogy több közös erőforrások által nyújtott különböző Samba-szerver, minden szerver tárolja a saját felhasználói adatbázist, függetlenül a más szerverek. Ezért tartományok és az Active Directory a legjobb megoldás a nagy hálózatok. A tesztünkben, a munkacsoport lesz egyetlen szerveren.
Tegyük fel, hogy bérelni egy lakást három titkos ügynökök az FSB: Skippy, Knut és Pepe. Imádják hogyan készüljek, és folyamatosan figyelemmel kíséri a heti menüt, hogy írok én Samba-kiszolgáló az éjszaka vasárnaptól hétfőig. Lefogadom, senki nem fog működni az esti órákban, amikor a vacsorát a krumplis palacsinta. Heti műsor nyilvános dokumentum.
Mégis, ezek a srácok - titkos ügynökök, és ezért nem szeretnék az ellenség tudja, hogy ástak komposzt gödörbe. Ezért a lista csak megtekinthető a titkos ügynökök, hanem megváltoztatni, nem tudtak.
Tehát, azt kell, hogy hozzon létre egy munkacsoportot (nevezzük FED-KÖZÉP) négy felhasználó (skippy, Knute, Pepe és Mick) és három közös erőforrások (vacsora, bevásárlási és BUZZ-OFF).
Samba konfiguráció: Globális beállítások
Most már készen állunk. Azt feltételezik, hogy megfelelően telepítve a Samba-kiszolgáló és kliens szoftver csomagok. Az első lépés az, hogy hozzanak néhány globális változókat.
Azonban az utóbbi időben voltam szokva a második módszer: GUI SWAT (Samba Web Administration Tool). Ha nem tetszik a pozitív hozzáállás, hogy a segédprogram, amely előírja, hogy állítsa be a root jelszót (alapértelmezésben az Ubuntu van tiltva), akkor olvassa el az előző cikkemben. A kiszolgáló nem úgy néz ki, hogy az internet, és oktatási célokat ebben az esetben sokkal fontosabb számunkra, mint a biztonsági problémákat.
Ebben a szakaszban azt feltételezzük, hogy nincs probléma Samba és Swat telepítés (írták le egy korábbi cikkben). Te beleértve konfigurálva, és indítsa újra az inetd, valamint a gyökér jelszót sudo passwd gyökér parancsot. Ha nem szeretnénk, hogy biztonságát veszélyeztető a szerveren, vagy egyszerűen nem akarja használni Swat - még további érvek hasznos lesz. Végtére is, hogy mi jelenik meg a screenshotok és Swat smb.conf fájlban - valójában egy és ugyanaz.
Azonban a lépés, hogy a globális Samba beállításait. Amikor nyitva vannak, ha megnyomja a gombot Globálisak, akkor megjelenik valami hasonló az 1. ábrán.
1. ábra: Globális beállítások
Nyilvánvaló, hogy csak meg kell változtatni a munkacsoport nevét meg a Munkacsoportot FED-Central. Az alapértelmezett NetBIOS-név kerül sor a / etc / hostname. leggyakrabban akkor csak meg kell hagyni, ahogy van. Ez a számítógép nevét, hogy az emberek látni fogják a nyílt hálózati környezetben.
A mező értéke alapértelmezett biztonsági - felhasználó. ez az, amit akarunk. Ugyanez vonatkozik a változó titkosítani jelszó - hagyjuk igen.
A következő két változó - kliens és szerver schannel schannel. meg kell változtatni. Schannel egy biztonságos módszer átviteli (biztonságos csatornán). Ez az opció lehetővé teszi az ügyfeleknek, hogy menjen a Samba-kiszolgálón a neved, és nem akarjuk, hogy legyen a választás. Ez szükséges ahhoz, hogy az eljárás kötelező. Ezért a két változókat kell beállítani, hogy igen.
Görgetés az oldal a globális beállításokat, akkor a hasonlóság a 2. ábra.
2. ábra: Még globális beállítások
Megismerése ezeket a globális beállításokat. Paraméter engedelmeskedik pam korlátozás azt jelenti, hogy a Samba tartsák be a szabályok által meghatározott rendszer PAM (Pluggable Authentication Modules). A gyakorlatban azonban, ha a paraméter titkosítása jelszavak beállítása igen. A Samba nem mindig veszik figyelembe PAM.
Passdb backend paraméter egy bázis Samba milyen típusú adatok tárolására titkosított jelszavakat. Az alapértelmezett érték (tbdsam) - a legjobb választás.
guest account - ez a helyi Linux-felhasználó, amelyeket használni fognak az ügyfelek, nem hitelesített - írtam róla egy kicsit magasabb. passwd programot. passwd chat és a unix password sync határozza meg, hogyan kezeli a Samba felhasználói kérések változtatni a jelszót a Samba-session. Ha nem szeretné, hogy a felhasználók módosíthatják jelszavukat, hagyni mindent, ahogy van.
Itt kérheti, hogy mi a különbség egy adatbázis és egy lista a Samba jelszó hash a / etc / shadow, ha még mindig kapcsolódnak az ugyanazon a helyi felhasználók? A rövid válasz: Samba (SMB / CIFS) használ hitelesítési protokoll, amely nem egyeztethető össze a UNIX jelszó hash.
A rossz hír az, hogy emiatt Linux Samba-jelszó adatbázis túlzó, ami azt a tényt, hogy a felhasználók meg kell emlékezni két különböző jelszavakat. Azonban, ha a paraméterek passwd program és passwd chat helyesen van beállítva (ha használja a hivatalos csomagokat az elosztás, akkor valószínűleg minden rendben van), és a unix password sync yes, akkor a Samba automatikusan frissíti a felhasználó Linux-jelszót, valahányszor változtassa meg a Samba-jelszó. Beszéljünk erről a következő részben.
Továbbá érvényes felhasználók listáját UNIX felhasználók, akik hozzáférhetnek a Samba-források. Az alapértelmezett érték a „” (üres) - senki ne kaphasson a forrásokhoz való hozzáférés. A mi forgatókönyv szükséges érvényes felhasználókat tartalmazza a felhasználói mick, Knute, Pepe, skippy, senkinek.
admin users lehetővé teszi, hogy root hozzáférést az összes erőforrás egy vagy több helyi felhasználók, függetlenül attól, milyen Samba- vagy Linux megalapozott jogokat biztosított forrás. Legyen óvatos ezzel a beállítással! A hatékony ez az opció hasonlít a végrehajtását a helyi csapat nevében a gyökér. Mint látható a 2. ábrán, én mick, mint egy rendszergazda, mert ezt az azonosítót használja a rendszer adminstrirovaniya.
A lista olvasható lista meghatározza azokat a felhasználókat, akik az alapértelmezett csak olvasható jogosultságokat. Amint a 2. ábrán látható, a lista tartalmazza a felhasználók Knute, Pepe, skippy.
Hasonlóképpen levelet listában adjuk meg a felhasználók listáját, akik a jogot, hogy írni és olvasni. Van ez a Mick.
Tehát, már foglalkozott a globális változók. A módosítások alkalmazásához, azaz, hogy mentse azokat egy fájlba /etc/samba/samba.conf. kattintson a Commit Changes gombra.
Néhány változó, hogy megváltoztatta az értéke (pl érvényes felhasználók), nem jelenik meg, ha a képernyő frissül. Látni őket, akkor egyszerűen kattintson az Advanced View (kövesse a jel Nézet váltása: az oldal tetején).
fiók beállítások
Az első lépést a különböző rendszerekben különböző módon - egy grafikus felhasználói interfészt (például a GNOME-applet felhasználók és csoportok) segítségével vagy az konzolparancsok useradd, userdel, stb
A második lépés az, hogy hozzanak egy jelszót újonnan létrehozott felhasználó, mint ez:
Nyilvánvaló, hogy belépés után a kezdeti jelszót (például 12345), akkor kell, hogy titokban adja át a Pepe, ami után ő lesz képes megváltoztatni a jelszót a saját opció (de ez csak akkor történhet meg a negyedik lépés).
A harmadik lépésben az smbpasswd parancsot. ezáltal megteremti a Linux-alapú felhasználói fiókot a Samba jelszó adatbázis. Valami ehhez hasonló:
Végül megy a rendszer nevében Pepe (csak akkor, ha nem adja meg a paramétereit a héj / bin / false az első lépés) és a csapat:
Pepe kérte a régi jelszót, az új kívánatos és erősítse meg annak érdekében, hogy elkerüljék a hibákat. Ha minden jól megy, akkor a Samba változtatni mindkét jelszót Pepe - Samba-jelszó és Linux alapú jelszót. Megjegyzendő, hogy ez a szinkronizálás nem történik, amikor létrehoz egy kezdeti belépési Pepe a Samba-alapú (harmadik lépés).
Recovery smb.conffájl a Debian / Ubuntu
Nagyon valószínű helyzetet, amikor felvette a Samba konfiguráció, akkor teljesen elveszett, és egyszerűen kezdje újra, vissza az eredeti /etc/samba/smb.conf. Mi van, ha elfelejti, hogy egy biztonsági mentést?
Swat segít. Továbbá minden konfigurációs paraméter van egy gomb, az Alapértelmezett gombra. Megnyomva, akkor visszatér az értéket, amelyet abban az időben a Samba telepítés. Azonban az én tapasztalatom, hogy ezek a gombok kiszámíthatatlanul viselkedhet. Néha rosszul adja vissza a null értéket, és önmagában is egy hosszú gombnyomást kerül feldolgozásra.
Ha van egy Debian vagy származékai (pl Ubuntu), akkor jobb, hogy kihasználják ezen a módon. Ahhoz, hogy egy friss fájlt smb.conf, meg kell teljesen eltávolítani a samba-common csomagot. majd telepítse újra. Ez eltávolítja függõségei, így ellenőrizni magad, hogy eltávolítja, majd helyreállítani.
Miután eltávolította a samba-common. de még nem telepítette újra, győződjön meg arról, hogy az smb.conf fájl pontosan eltávolítjuk (ha - manuálisan távolítsa el).
következtetés
Így a leírt forgatókönyv, köszönhetően Swat beállítani az alapvető paramétereket, és elkezdtünk hozzá felhasználókat. A következő cikkben fogunk létrehozni megosztott erőforrások. A következő információforrások segít.