Samba ograniczenie przegl

kodama · Post autor: **kodama** » 06 maja 2012, 20:22

dhapollo pisze:Skoro korzystasz z opcji ,,valid users'' to czemu nie zastosujesz praw dostępu 700?

Przecież napisałem tutaj http://debian.linux.pl/threads/26114-Sa ... post147921

kodama pisze:[...]
Maski oczywiście nie muszą takie być, to zostanie zmienione.

Ustawiłem takie tylko do testowania.

dhapollo · Post autor: **dhapollo** » 06 maja 2012, 22:35

Spoko, patrzyłem na konfiguracje Ale jak testować to z odpowiednimi prawami

.
Podsumowując działa?

cooleq · Post autor: **cooleq** » 04 czerwca 2012, 15:29

Wiem, że temat nie najświeższy ale jakiś czas nie zaglądałem, jeśli kolega jeszcze nie rozwiązał problemu to mamy coś takiego jak home directory...

Kod: Zaznacz cały

[homes]
   comment = Home Directories
   browseable = no
   writable = yes
   read only = no
   create mask = 0700
   directory mask = 0700
   valid users = %S

Jeśli login i hasło w obu systemach są takie same, logowanie dla danego użytkownika będzie przebiegać automatycznie.

sethiel · Post autor: **sethiel** » 05 czerwca 2012, 13:22

Swoją drogą nie jest to dziura w systemach?
Zakłada się sambę z logowaniem logowań do zasobów i już wiadomo jakie użytkownik podał login i hasło.
Czy też porównuje się tylko wyniki funkcji haszujących?

Bastian · Post autor: **Bastian** » 05 czerwca 2012, 19:08

W logach nie będziesz miał podanych żadnych haseł..

kodama · Post autor: **kodama** » 05 czerwca 2012, 19:59

cooleq pisze:Wiem, że temat nie najświeższy ale jakiś czas nie zaglądałem, jeśli kolega jeszcze nie rozwiązał problemu to mamy coś takiego jak home directory...
Kod: Zaznacz cały
[homes]
   comment = Home Directories
   browseable = no
   writable = yes
   read only = no
   create mask = 0700
   directory mask = 0700
   valid users = %S
Jeśli login i hasło w obu systemach są takie same, logowanie dla danego użytkownika będzie przebiegać automatycznie.

Ja zakładam, że na komputerze z linuksem użytkownicy nie mają założonych kont - tylko leżą tam sobie katalogi z ich danymi.
DODANE
Źle oczywiście się wypowiedziałem, przepraszam - mają konta w linuksie, ale bez katalogów domowych, o to mi chodziło.

cooleq · Post autor: **cooleq** » 06 czerwca 2012, 08:52

Jeśli chcesz, żeby mieli prywatne foldery tylko dla siebie, to naturalnym takim folderem jest katalog domowy. Nie wiem po co komplikować sprawę, chyba że nie dostrzegam jakiegoś celu. Jeśli chcesz, żeby nie mieli ogólnie dostępu do serwera a tylko do udziałów, w konfiguracji kont zmieniasz dostęp do konsoli na /bin/false wg przykładu

Kod: Zaznacz cały

user:x:1020:1022::/home/user:/bin/false

Jeśli chcesz mieć katalogi gdzie indziej niż w home dla użytkowników to też tutaj zmieniasz ścieżkę.
Dzięki takiej konfiguracji łatwo i bez trudności dodasz kolejne konta, bez potrzeby zmiany konfiguracji samby i dodawania nowych udziałów. Jeśli masz synchronizację kont włączoną, dodanie użytkownika załatwia za ciebie wszystko.

sethiel · Post autor: **sethiel** » 13 czerwca 2012, 15:43

Bastian pisze:W logach nie będziesz miał podanych żadnych haseł..

Hmm...
Załóżmy że komputer z sambą nasłuchuje wszystko i loguje wszystko - to przecież może - czyli zapisuje każdą ramkę tcp/udp która do niego dociera. Już logowanie jest.
Teraz komputerek który będzie klientem samby jeśli login i hasło użytkownika takie same jak do zasobów samby to wpuszcza bez pytania do zasobów, system podaje to w jakiejś formie jak zauważyłem empirycznie.
Skoro podaje to wysyła w jakiś sposób login i hasło na serwer, a skoro wysyła to można go sprawdzić. Więc ciekaw jestem jak to wysyła i jak to sprawdza?
To akurat wątek na hacking.pl ale niemniej jednak może jest to powszechnie znane i zabezpieczone?

Bastian · Post autor: **Bastian** » 14 czerwca 2012, 16:44

Mozliwe, ze haslo jest przesyłane plain/text ale pewnie można to skonfigurować, uzywająć np. kluczy. Niemniej zauważ, że SMB zostało stworzone do działania w sieciach lokalnych, które winny być zabezpieczone na 2/3 warstwie. Jeśli juz puszczać sambe w świat to tylko przez tunel.