configuração do samba para o NAS simples - é tão seguro quanto poderia ser?

1

Estou configurando um servidor de música para minha família. Na verdade, está funcionando, e é por isso que estou no (estava em revisão de código, rebatido como não realmente código) aqui. Eu não estou feliz que eu entendi o suficiente sobre como o samba está configurado, para entender as considerações de segurança das opções que eu finalmente cheguei no meu arquivo smb.conf. Eu não sou paranóico por segurança, mas como eu acesso meu banco de máquinas na rede, eu não quero pendurar uma placa grande do lado de fora da minha casa dizendo 'por favor hack'. Eu olhei para howtogeek e samba.org, e os exemplos que eles deram não pareciam se encaixar exatamente, ou funcionar como eles disseram que deveriam. O arquivo .conf chegou com algumas cutucadas e adivinhando a partir da referência completa do samba.

De qualquer forma, primeiro os requisitos. Eu tenho um PI de framboesa, com vários sticks USB FAT32 conectados como armazenamento em massa. Eu preferiria manter o FAT32 para compatibilidade conveniente com as máquinas MS da casa. Se eu tiver que formatar como extn, vou pensar sobre isso. Eu quero que qualquer número de usuários tenha acesso simultâneo somente leitura aos arquivos, e um usuário administrador tenha acesso de gravação através da rede (assim como o ssh). Eu estou executando o onipresente debian wheezy no PI. Eu sou um noob linux, mas lentamente sendo arrastado até a curva de aprendizado.

O que está funcionando

Agora tenho acesso de gravação a todos os bastidores do meu usuário administrador e posso obter acesso simultâneo para três usuários todos conectados como o mesmo usuário de um Chromebook, um PC Mint e um PC XP, e eles foram recusados. acesso em permissões. Portanto, a funcionalidade básica que estou procurando parece estar funcionando. Fico feliz que os usuários precisem fazer login, em vez de apenas se conectar como convidado.

Para obter essa funcionalidade, criei alguma vulnerabilidade tola?

Não sei muito bem qual é o modelo do samba. Você pode confirmar que cada seção [recurso] define o comportamento que um usuário obterá quando fizer login nesse recurso. Isso deve significar que os diferentes blocos de recursos podem especificar o mesmo caminho =, sem conflito. Eu não vi isso realmente escrito para o samba, mas me parece que tem que funcionar dessa maneira. É por isso que tenho configurações diferentes para readonly nos recursos de usuário e administrador, e parece funcionar bem.

Eu configurei o fstab para montar os bastões em / media, e esta é a pasta compartilhada pelo samba. Eu tentei inicialmente chown tudo para o meu usuário admin, mas isso não funcionou. Na busca, descobri que o formato FAT não suporta a propriedade, o que soou como o motivo. Tudo retornou root para o proprietário por padrão, e um dos exemplos em samba.org usou a linha raiz do usuário forçado, e parece funcionar agora. No entanto, esta é a opção com a qual estou menos feliz.

Este é o arquivo smb.conf, eu tirei a maior parte dos comentários e a maioria das opções inativas do arquivo de exemplo que veio com a instalação 3.6.6.

# This will prevent nmbd to search for NetBIOS names through DNS.
   dns proxy = no

# This tells Samba to use a separate log file for each machine
   log file = /var/log/samba/log.%m

# Cap the size of the individual log files (in KiB).
   max log size = 1000

   syslog = 0

# Do something sensible when Samba crashes: mail the admin a backtrace
   panic action = /usr/share/samba/panic-action %d
   security = user
   encrypt passwords = true
   passdb backend = tdbsam
   obey pam restrictions = yes
   unix password sync = yes
   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\s*\spassword:* %n\n        *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
   pam password change = yes

   map to guest = bad user

#======================= Share Definitions =======================
[Library]
comment = Music Library
path = /media
read only = yes
browsable = yes

[Lib_Admin]
comment = Lib Admin
path = /media
valid users = admin_lib
force user = root
create mask = 0744
directory mask = 0755
browsable = yes
read only = no

As principais questões são ...
a) é a segurança razoável sobre isso?
b) existem melhores opções para fazer o que estou tentando fazer?

Acho que devo levar o mapa aos convidados Devo colocar root dir = / media, com o espelhamento de arquivos para / media que será necessário?

    
por Neil_UK 08.10.2015 / 17:01

0 respostas