Различия
Здесь показаны различия между двумя версиями данной страницы.
Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия | ||
wiki:руководство_по_ubuntu_server:сеть_windows:securing_samba_servers [2012/09/20 10:41] [Безопасность разделяемого ресурса] |
wiki:руководство_по_ubuntu_server:сеть_windows:securing_samba_servers [2015/07/02 14:44] (текущий) [Режимы безопасности Samba] |
||
---|---|---|---|
Строка 17: | Строка 17: | ||
-- **security = server**: этот режим оставлен с тех времен, когда Samba не мог становиться членом домена и по ряду причин, связанных с безопасностью, не может использоваться. Смотрите раздел [[http://samba.org/samba/docs/man/Samba-HOWTO-Collection/ServerType.html#id349531|Server Security]] руководства по Samba для уточнения деталей. | -- **security = server**: этот режим оставлен с тех времен, когда Samba не мог становиться членом домена и по ряду причин, связанных с безопасностью, не может использоваться. Смотрите раздел [[http://samba.org/samba/docs/man/Samba-HOWTO-Collection/ServerType.html#id349531|Server Security]] руководства по Samba для уточнения деталей. | ||
-- **security = share**: позволяет клиентам подключаться к разделяемому ресурсу без предоставления имени пользователя и пароля. | -- **security = share**: позволяет клиентам подключаться к разделяемому ресурсу без предоставления имени пользователя и пароля. | ||
+ | <note warning>Параметр security=share устарел </note> | ||
+ | Вместо share используйте <code>security = user | ||
+ | map to guest = Bad User</code> | ||
+ | The remote user name will be compared to the one found in the samba password database and if it doesn't find a match it will be tagged a "Bad User" and mapped to the guest account. | ||
Режим безопасности, который вы выберете, будет зависеть от вашего окружения и того что вы хотите получить от сервера Samba. | Режим безопасности, который вы выберете, будет зависеть от вашего окружения и того что вы хотите получить от сервера Samba. | ||
Строка 95: | Строка 99: | ||
====Профиль AppArmor для Samba==== | ====Профиль AppArmor для Samba==== | ||
- | Ubuntu comes with the AppArmor security module, which provides mandatory access controls. The default AppArmor profile for Samba will need to be adapted to your configuration. For more details on using AppArmor see AppArmor. | + | Ubuntu поставляется с модулем безопасности **AppArmor**, который предоставляет контроль доступа по разрешению. Изначальный профиль AppArmor потребует изменений для приведения в соответствие с вашей конфигурацией. Более детальное описание AppArmor смотрите в разделе [[wiki:руководство_по_ubuntu_server:безопасность:apparmor|AppArmor]]. |
- | There are default AppArmor profiles for /usr/sbin/smbd and /usr/sbin/nmbd, the Samba daemon binaries, as part of the apparmor-profiles packages. To install the package, from a terminal prompt enter: | + | Существуют изначальные профили AppArmor для /usr/sbin/smbd и /usr/sbin/nmbd, программ-сервисов Samba, как часть пакета apparmor-profiles. Чтобы установить пакет введите в строке терминала: |
+ | <code>sudo apt-get install apparmor-profiles apparmor-utils</code> | ||
+ | <note>Этот пакет содержит профили различных других программ.</note> | ||
- | sudo apt-get install apparmor-profiles apparmor-utils | + | По умолчанию профили для smbd и nmbd находятся в режиме **complain** (отслеживания), позволяя Samba работать без изменения профиля, и только фиксируя ошибки. Для перевода профиля smbd в режим **enforce** (ограничений) и установки работы Samba как положено, профиль требуется изменить для отражения всех каталогов с разделяемым доступом. |
- | + | ||
- | This package contains profiles for several other binaries. | + | |
- | + | ||
- | By default the profiles for smbd and nmbd are in complain mode allowing Samba to work without modifying the profile, and only logging errors. To place the smbd profile into enforce mode, and have Samba work as expected, the profile will need to be modified to reflect any directories that are shared. | + | |
- | + | ||
- | Edit /etc/apparmor.d/usr.sbin.smbd adding information for [share] from the file server example: | + | |
+ | Отредактируем /etc/apparmor.d/usr.sbin.smbd, добавив информацию для **[share]** из примера файлового сервера: | ||
+ | <code> | ||
/srv/samba/share/ r, | /srv/samba/share/ r, | ||
/srv/samba/share/** rwkix, | /srv/samba/share/** rwkix, | ||
+ | </code> | ||
- | Now place the profile into enforce and reload it: | + | Теперь переведем профиль в режим ограничений и перезагрузим его: |
+ | <code> | ||
sudo aa-enforce /usr/sbin/smbd | sudo aa-enforce /usr/sbin/smbd | ||
cat /etc/apparmor.d/usr.sbin.smbd | sudo apparmor_parser -r | cat /etc/apparmor.d/usr.sbin.smbd | sudo apparmor_parser -r | ||
+ | </code> | ||
- | You should now be able to read, write, and execute files in the shared directory as normal, and the smbd binary will have access to only the configured files and directories. Be sure to add entries for each directory you configure Samba to share. Also, any errors will be logged to /var/log/syslog. | + | Теперь вы можете читать, записывать и выполнять файлы в разделяемом каталоге как обычно, а программа **smbd** будет предоставлять доступ только к настроенным файлам и каталогам. Убедитесь, что добавили каждый каталог, настроенный как ресурс Samba. Кроме того, все ошибки будут сохраняться в журнале /var/log/syslog. |
====Ссылки==== | ====Ссылки==== | ||
- | For in depth Samba configurations see the Samba HOWTO Collection | + | -- Для более глубокого погружения в настройки Samba смотрите [[http://samba.org/samba/docs/man/Samba-HOWTO-Collection/|Коллекцию ЧаВо по Samba]]. |
- | + | -- Данное руководство доступно также в [[http://www.amazon.com/exec/obidos/tg/detail/-/0131882228|печатном виде]]. | |
- | The guide is also available in printed format. | + | -- Также хорошее руководство - [[http://www.oreilly.com/catalog/9780596007690/|Using Samba]] от O'Reilly. |
- | + | -- [[http://samba.org/samba/docs/man/Samba-HOWTO-Collection/securing-samba.htmlhttp://samba.org/samba/docs/man/Samba-HOWTO-Collection/securing-samba.html|18 глава]] из коллекции ЧаВо по Samba посвящена безопасности. | |
- | O'Reilly's Using Samba is also a good reference. | + | -- Для дополнительной информации по Samba и ACL смотрите страницу [[http://samba.org/samba/docs/man/Samba-HOWTO-Collection/AccessControls.html#id397568|Samba ACLs]]. |
- | + | -- Страница [[https://help.ubuntu.com/community/Samba|Ubuntu Wiki Samba]]. | |
- | Chapter 18 of the Samba HOWTO Collection is devoted to security. | + | |
- | + | ||
- | For more information on Samba and ACLs see the Samba ACLs page . | + | |
- | + | ||
- | The Ubuntu Wiki Samba page. | + | |
---- | ---- |