Fayl va chop etish serverini himoya qilish Samba xavfsizlik rejimlari

Download 22,57 Kb.

Sana	23.07.2022
Hajmi	22,57 Kb.
	#845073

Bog'liq
9-mavzu Fayl va chop etish serverini himoya qilish

Fayl va chop etish serverini himoya qilish
Samba xavfsizlik rejimlari
Umumiy Internet fayl tizimi (CIFS) tarmoq protokoli foydalanuvchi darajasida va almashish darajasida ikkita xavfsizlik darajasi mavjud . Samba-ning xavfsizlik rejimini amalga oshirish foydalanuvchi darajasidagi xavfsizlikni amalga oshirishning tо‘rtta usulini va almashish darajasini amalga oshirishning bir usulini ta’minlab, kо‘proq moslashuvchanlikni ta’minlaydi:

xavfsizlik = foydalanuvchi: aksiyalarga ulanish uchun mijozlardan foydalanuvchi nomi va parolni taqdim etishni talab qiladi. Samba foydalanuvchi hisoblari tizim hisoblaridan alohida, ammo libpam-Winbind paketi tizim foydalanuvchilari va parollarini Samba foydalanuvchi maʼlumotlar bazasi bilan sinxronlashtiradi.
xavfsizlik = domen: bu rejim Samba serveriga Windows mijozlariga birlamchi domen boshqaruvchisi (PDC), zahiraviy domen nazoratchisi (BDC) yoki domen aʼzosi serveri (DMS) sifatida koʻrinishiga imkon beradi. Qо‘shimcha ma’lumot uchun Domen nazoratchisi sifatida qarang .
xavfsizlik = ADS: Samba serveriga Active Directory domeniga mahalliy a’zo sifatida qо‘shilish imkonini beradi. Tafsilotlar uchun Active Directory integratsiyasiga qarang .
xavfsizlik = server: bu rejim Samba aʼzo serveriga aylanishidan oldin qolgan va baʼzi xavfsizlik muammolari tufayli foydalanilmasligi kerak. Batafsil ma’lumot uchun Samba qо‘llanmasining Server xavfsizligi bо‘limiga qarang.
xavfsizlik = almashish: mijozlarga foydalanuvchi nomi va parolni kiritmasdan aksiyalarga ulanish imkonini beradi.

Siz tanlagan xavfsizlik rejimi sizning muhitingizga va Samba serveri nimaga muhtojligiga bog‘liq bо‘ladi.
Xavfsizlik = Foydalanuvchi
Ushbu bо‘lim Samba fayli va chop etish serverini Fayl serveri va Chop etish serveridan autentifikatsiyani talab qilish uchun qayta sozlaydi.
Birinchidan, tizim foydalanuvchilarini Samba foydalanuvchi ma’lumotlar bazasi bilan sinxronlashtiradigan libpam-Winbind paketini о‘rnating:
sudo apt install libpam-Winbind
Eslatma
О‘rnatish vaqtida Samba Server vazifasini tanlagan bо‘lsangiz, libpam-Winbind allaqachon о‘rnatilgan.
Tahrirlash /etc/samba/smb.confva [ulashish] boʻlimida:
guest ok = no
Nihoyat, yangi sozlamalar kuchga kirishi uchun Samba-ni qayta ishga tushiring:
sudo systemctl restart smbd.service nmbd.service
Endi umumiy kataloglar yoki printerlarga ulanishda sizdan foydalanuvchi nomi va parol sо‘ralishi kerak.
Eslatma
Agar siz tarmoq drayverini almashish uchun xaritalashni tanlasangiz, "Tizimga kirishda qayta ulanish" katagiga belgi qо‘yishingiz mumkin, bu esa foydalanuvchi nomi va parolni kamida bir marta parol о‘zgartirilgunga qadar kiritishni talab qiladi.
Xavfsizlikni ulashish
Har bir umumiy katalog uchun xavfsizlikni oshirish uchun bir nechta variant mavjud. [Ulashish] misolidan foydalanib , ushbu bо‘lim ba’zi umumiy variantlarni qamrab oladi.
Guruhlar
Guruhlar ma’lum tarmoq resurslariga kirishning umumiy darajasiga ega bо‘lgan kompyuterlar yoki foydalanuvchilar tо‘plamini belgilaydi va bunday resurslarga kirishni nazorat qilishda aniqlik darajasini taklif qiladi. Misol uchun, agar qa guruhi aniqlansa va freda , danika va rob foydalanuvchilarini о‘z ichiga olgan bо‘lsa va ikkinchi guruh qо‘llab-quvvatlashi aniqlangan bо‘lsa va danika, jeremy va vincent foydalanuvchilaridan iborat bо‘lsa , u holda qa guruhiga kirishga ruxsat berish uchun tuzilgan ma’lum tarmoq resurslari keyinchalik bо‘ladi. Freda, Danika va Rob tomonidan kirishni yoqing, lekin Jeremy yoki Vinsent emas. Danika foydalanuvchisi ikkala qaga tegishli bо‘lgani uchunva qо‘llab-quvvatlash guruhlari uchun u ikkala guruh tomonidan kirish uchun tuzilgan resurslarga kirish imkoniyatiga ega bо‘ladi, qolgan barcha foydalanuvchilar esa faqat о‘zlari a’zo bо‘lgan guruhga aniq ruxsat beruvchi resurslardan foydalanishlari mumkin.
Odatiy bо‘lib Samba /etc/groupqaysi foydalanuvchilar qaysi guruhlarga tegishli ekanligini aniqlash uchun belgilangan mahalliy tizim guruhlarini qidiradi. Guruhlarga foydalanuvchilarni qoʻshish va oʻchirish haqida qoʻshimcha maʼlumot olish uchun “Xavfsizlik foydalanuvchilari” sahifasidagi “ Foydalanuvchilarni qoʻshish va oʻchirish ” boʻlimiga qarang.
Samba konfiguratsiya faylida guruhlarni belgilashda /etc/samba/smb.conf, tan olingan sintaksis guruh nomini “@” belgisi bilan boshlashdan iborat. Misol uchun, agar siz sysadmin nomli guruhni ma’lum bir qismida belgilamoqchi /etc/samba/smb.confbо‘lsangiz, buni guruh nomini @sysadmin sifatida kiritishingiz mumkin .
Fayl ruxsatnomalari
Fayl ruxsatnomalari kompyuter yoki foydalanuvchining ma’lum bir katalog, fayl yoki fayllar tо‘plamiga ega bо‘lgan aniq huquqlarini belgilaydi. Bunday ruxsatlar faylni tahrirlash /etc/samba/smb.confva belgilangan fayl almashish uchun aniq ruxsatlarni belgilash orqali aniqlanishi mumkin.
Misol uchun, agar siz Share deb nomlangan Samba ulushini belgilagan bо‘lsangiz va qa deb nomlanuvchi foydalanuvchilar guruhiga faqat о‘qish uchun ruxsat berishni istasangiz, lekin sysadmin deb nomlangan guruh va vincent ismli foydalanuvchi tomonidan ulashishga yozishga ruxsat bermoqchi bо‘lsangiz, u holda siz faylni tahrirlashi va [ulashish] yozuvi ostida quyidagi yozuvlarni qо‘shishi mumkin :/etc/samba/smb.conf
read list = @qa
write list = @sysadmin, vincent
Boshqa mumkin bо‘lgan Samba ruxsati ma’lum bir umumiy manbaga ma’muriy ruxsatlarni e’lon qilishdir. Ma’muriy ruxsatlarga ega foydalanuvchilar foydalanuvchiga aniq ma’muriy ruxsatnomalar berilgan resursdagi har qanday ma’lumotni о‘qishi, yozishi yoki о‘zgartirishi mumkin.
Misol uchun, agar siz melissa foydalanuvchisiga baham kо‘rish misoliga ma’muriy ruxsatlarni berishni istasangiz, siz faylni tahrir qilasiz va [share] yozuvi /etc/samba/smb.confostiga quyidagi qatorni qо‘shasiz :
admin users = melissa
Tahrir qilgandan sо‘ng /etc/samba/smb.conf, о‘zgarishlar kuchga kirishi uchun Samba-ni qayta ishga tushiring:
sudo systemctl restart smbd.service nmbd.service
Eslatma
О‘qish rо‘yxati va yozish rо‘yxati ishlashi uchun Samba xavfsizlik rejimi xavfsizlik = almashishga о‘rnatilmasligi kerak
Endi Samba qaysi guruhlar umumiy katalogga kirish huquqini cheklash uchun sozlangan, fayl tizimi ruxsatnomalari yangilanishi kerak.
An’anaviy Linux fayl ruxsatnomalari Windows NT kirishni boshqarish rо‘yxatiga (ACL) yaxshi mos kelmaydi. Yaxshiyamki, POSIX ACL-lar Ubuntu serverlarida yanada nozik nazoratni ta’minlaydi. Masalan, EXT3 fayl tizimida ACL ni yoqish uchun acl opsiyasini qо‘shib /srvtahrirlang :/etc/fstab
UUID=66bcdd2e-8861-4fb0-b7e4-e61c569fe17d /srv ext3 noatime,relatime,acl 0 1
Keyin bо‘limni qayta о‘rnating:
sudo mount -v -o remount /srv
Eslatma
Yuqoridagi misol /srvalohida bо‘limni nazarda tutadi. Agar bо‘limning bir /srvqismi bо‘lsa yoki ulashish yo’lini sozlagan joyingiz bо‘lsa, /qayta yuklash talab qilinishi mumkin.
Yuqoridagi Samba konfiguratsiyasiga mos kelish uchun sysadmin guruhiga о‘qish, yozish va bajarish ruxsatlari /srv/samba/share, qa guruhiga о‘qish va bajarish ruxsatlari beriladi va fayllar melissa foydalanuvchi nomiga tegishli bо‘ladi . Terminalga quyidagilarni kiriting:
sudo chown -R melissa /srv/samba/share/
sudo chgrp -R sysadmin /srv/samba/share/
sudo setfacl -R -m g:qa:rx /srv/samba/share/
Eslatma
Yuqoridagi setfacl buyrug‘i katalogdagi barcha fayllarni bajarish uchun ruxsat beradi /srv/samba/share, siz xohlaysiz yoki xohlamasligingiz mumkin.
Endi Windows mijozidan yangi fayl ruxsatnomalari amalga oshirilganligini kо‘rishingiz kerak. POSIX ACLlar haqida qо‘shimcha ma’lumot olish uchun acl va setfacl man sahifalariga qarang.
Samba AppArmor profili
Ubuntu majburiy kirishni boshqarishni ta’minlaydigan AppArmor xavfsizlik moduli bilan birga keladi. Samba uchun standart AppArmor profili sizning konfiguratsiyangizga moslashtirilishi kerak. AppArmor-dan foydalanish bо‘yicha batafsil ma’lumotni bu erda topishingiz mumkin .
Apparmor -profiles paketlarining bir qismi sifatida Samba demon ikkiliklari /usr/sbin/smbdva uchun standart AppArmor profillari mavjud . /usr/sbin/nmbdPaketni о‘rnatish uchun terminal sо‘rovidan quyidagilarni kiriting:
sudo apt install apparmor-profiles apparmor-utils
Eslatma
Ushbu paket bir nechta boshqa ikkilik fayllar uchun profillarni о‘z ichiga oladi.
Odatiy bо‘lib smbd va nmbd uchun profillar shikoyat rejimida bо‘lib, Samba-ga profilni о‘zgartirmasdan ishlashga imkon beradi va faqat xatolarni qayd qiladi. Smbd profilini majburiy rejimga qо‘yish va Samba kutilganidek ishlashi uchun profilni umumiy kataloglarni aks ettirish uchun о‘zgartirish kerak bо‘ladi.
Fayl server misolidan [ulashish]/etc/apparmor.d/usr.sbin.smbd uchun maʼlumot qoʻshishni tahrirlash :
/srv/samba/share/ r,
/srv/samba/share/** rwkix,
Endi profilni kuchga qо‘ying va uni qayta yuklang:
sudo aa-enforce /usr/sbin/smbd
cat /etc/apparmor.d/usr.sbin.smbd | sudo apparmor_parser -r
Endi siz umumiy katalogdagi fayllarni odatdagidek о‘qish, yozish va bajarish imkoniyatiga ega bо‘lishingiz kerak va smbd ikkilik fayli faqat sozlangan fayllar va kataloglarga kirish huquqiga ega bо‘ladi. Samba-ni baham kо‘rish uchun sozlagan har bir katalog uchun yozuvlarni qо‘shganingizga ishonch hosil qiling. Bundan tashqari, har qanday xatolar rо‘yxatga olinadi /var/log/syslog.
Resurslar

Samba konfiguratsiyasini chuqurroq bilish uchun Samba HOWTO tо‘plamiga qarang
Qо‘llanma bosma formatda ham mavjud .
О‘reillyning Samba-dan foydalanishi ham yaxshi ma’lumotnoma.
Samba HOWTO tо‘plamining 18-bobi xavfsizlikka bag‘ishlangan.
Samba va ACL haqida qо‘shimcha ma’lumot olish uchun Samba ACLs sahifasiga qarang .
Ubuntu Wiki Samba sahifasi .

Download 22,57 Kb.

Do'stlaringiz bilan baham: