1

Я настраиваю музыкальный сервер для своей семьи. Это на самом деле работает, поэтому я нахожусь (был на рассмотрении кода, отскочил как не совсем код) здесь. Я не рад, что достаточно разбираюсь в том, как сконфигурирована samba, чтобы понять соображения безопасности опций, к которым я наконец-то пришел, в моем файле smb.conf. Я не параноик безопасности как таковой, но, поскольку я получаю доступ к своему банку с компьютеров в сети, я не хочу вывешивать большой знак возле моего дома, говорящий «пожалуйста, взломайте». Я посмотрел на howtogeek и samba.org, и приведенные ими примеры, похоже, не подходят точно или не работают так, как они сказали. Файл .conf был получен с некоторым толчком и предположениями из полной ссылки на самбу.

Во всяком случае, сначала требования. У меня есть Raspberry PI с несколькими USB-флешками FAT32, подключенными в качестве запоминающего устройства. Я предпочел бы сохранить FAT32 для удобной совместимости с машинами MS в доме. Если мне нужно отформатировать как extn, я подумаю об этом. Я хочу, чтобы любое количество пользователей имели одновременный доступ только для чтения к файлам, и один пользователь-администратор имел права на запись по сети (а также ssh). Я запускаю вездесущий Debian Wheezy на PI. Я - Linux-новичок, но постепенно меня подтягивают к учебе.

Что работает

Теперь у меня есть доступ на запись ко всем флешкам от моего администратора, и я могу получить одновременный доступ для трех пользователей, вошедших в систему под одним и тем же пользователем с chromebook, Mint PC и XP PC, и им было отказано в доступе на запись в разрешениях. , Так что базовая функциональность, за которой я работаю, действительно работает. Я рад, что пользователи должны войти в систему, а не просто подключиться как гость.

Чтобы получить эту функциональность, я создал какие-нибудь глупые уязвимости?

Я не слишком уверен, что модель самбы. Можете ли вы подтвердить, что каждый раздел [resource] определяет поведение, которое пользователь получит при входе в этот ресурс. Это должно означать, что разные блоки ресурсов могут указывать один и тот же путь = без конфликта. Я не видел, как это на самом деле прописано для самбы, но мне кажется, это должно работать именно так. Вот почему у меня есть различные настройки для чтения только в пользовательских и административных ресурсах, и, кажется, работает нормально.

Я установил fstab для монтирования палочек в /media, и это папка, которую разделяет samba. Сначала я пытался свалить все на моего администратора, но это не сработало. При поиске я обнаружил, что формат FAT не поддерживает владение, что звучит как причина. По умолчанию все вернуло root для владельца, и в одном из примеров на samba.org использовалась корневая строка принудительного пользователя, и теперь она работает. Это, однако, вариант, которым я менее всего доволен.

Это файл smb.conf, я удалил большинство комментариев и большинство неактивных опций из файла примера, поставляемого с установкой 3.6.6.

# This will prevent nmbd to search for NetBIOS names through DNS.
   dns proxy = no

# This tells Samba to use a separate log file for each machine
   log file = /var/log/samba/log.%m

# Cap the size of the individual log files (in KiB).
   max log size = 1000

   syslog = 0

# Do something sensible when Samba crashes: mail the admin a backtrace
   panic action = /usr/share/samba/panic-action %d
   security = user
   encrypt passwords = true
   passdb backend = tdbsam
   obey pam restrictions = yes
   unix password sync = yes
   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\s*\spassword:* %n\n        *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
   pam password change = yes

   map to guest = bad user

#======================= Share Definitions =======================
[Library]
comment = Music Library
path = /media
read only = yes
browsable = yes

[Lib_Admin]
comment = Lib Admin
path = /media
valid users = admin_lib
force user = root
create mask = 0744
directory mask = 0755
browsable = yes
read only = no

Основные вопросы ...
а) разумна ли безопасность на этом?
б) есть ли лучшие варианты делать то, что я пытаюсь сделать?

Я думаю, что я должен взять карту гостю из
я должен поставить root dir = /media, с зеркалированием файлов в /media, что будет необходимо?

0