Я настраиваю музыкальный сервер для своей семьи. Это на самом деле работает, поэтому я нахожусь (был на рассмотрении кода, отскочил как не совсем код) здесь. Я не рад, что достаточно разбираюсь в том, как сконфигурирована samba, чтобы понять соображения безопасности опций, к которым я наконец-то пришел, в моем файле smb.conf. Я не параноик безопасности как таковой, но, поскольку я получаю доступ к своему банку с компьютеров в сети, я не хочу вывешивать большой знак возле моего дома, говорящий «пожалуйста, взломайте». Я посмотрел на howtogeek и samba.org, и приведенные ими примеры, похоже, не подходят точно или не работают так, как они сказали. Файл .conf был получен с некоторым толчком и предположениями из полной ссылки на самбу.
Во всяком случае, сначала требования. У меня есть Raspberry PI с несколькими USB-флешками FAT32, подключенными в качестве запоминающего устройства. Я предпочел бы сохранить FAT32 для удобной совместимости с машинами MS в доме. Если мне нужно отформатировать как extn, я подумаю об этом. Я хочу, чтобы любое количество пользователей имели одновременный доступ только для чтения к файлам, и один пользователь-администратор имел права на запись по сети (а также ssh). Я запускаю вездесущий Debian Wheezy на PI. Я - Linux-новичок, но постепенно меня подтягивают к учебе.
Что работает
Теперь у меня есть доступ на запись ко всем флешкам от моего администратора, и я могу получить одновременный доступ для трех пользователей, вошедших в систему под одним и тем же пользователем с chromebook, Mint PC и XP PC, и им было отказано в доступе на запись в разрешениях. , Так что базовая функциональность, за которой я работаю, действительно работает. Я рад, что пользователи должны войти в систему, а не просто подключиться как гость.
Чтобы получить эту функциональность, я создал какие-нибудь глупые уязвимости?
Я не слишком уверен, что модель самбы. Можете ли вы подтвердить, что каждый раздел [resource] определяет поведение, которое пользователь получит при входе в этот ресурс. Это должно означать, что разные блоки ресурсов могут указывать один и тот же путь = без конфликта. Я не видел, как это на самом деле прописано для самбы, но мне кажется, это должно работать именно так. Вот почему у меня есть различные настройки для чтения только в пользовательских и административных ресурсах, и, кажется, работает нормально.
Я установил fstab для монтирования палочек в /media, и это папка, которую разделяет samba. Сначала я пытался свалить все на моего администратора, но это не сработало. При поиске я обнаружил, что формат FAT не поддерживает владение, что звучит как причина. По умолчанию все вернуло root для владельца, и в одном из примеров на samba.org использовалась корневая строка принудительного пользователя, и теперь она работает. Это, однако, вариант, которым я менее всего доволен.
Это файл smb.conf, я удалил большинство комментариев и большинство неактивных опций из файла примера, поставляемого с установкой 3.6.6.
# This will prevent nmbd to search for NetBIOS names through DNS.
dns proxy = no
# This tells Samba to use a separate log file for each machine
log file = /var/log/samba/log.%m
# Cap the size of the individual log files (in KiB).
max log size = 1000
syslog = 0
# Do something sensible when Samba crashes: mail the admin a backtrace
panic action = /usr/share/samba/panic-action %d
security = user
encrypt passwords = true
passdb backend = tdbsam
obey pam restrictions = yes
unix password sync = yes
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
pam password change = yes
map to guest = bad user
#======================= Share Definitions =======================
[Library]
comment = Music Library
path = /media
read only = yes
browsable = yes
[Lib_Admin]
comment = Lib Admin
path = /media
valid users = admin_lib
force user = root
create mask = 0744
directory mask = 0755
browsable = yes
read only = no
Основные вопросы ...
а) разумна ли безопасность на этом?
б) есть ли лучшие варианты делать то, что я пытаюсь сделать?
Я думаю, что я должен взять карту гостю из
я должен поставить root dir = /media, с зеркалированием файлов в /media, что будет необходимо?