From 055bb6d06feb08c2c2b5af3f65fc111a509eb97f Mon Sep 17 00:00:00 2001 From: Administrator Date: Thu, 19 Mar 2026 12:50:44 +0500 Subject: [PATCH] Update file Samba --- Security/Samba | 86 ++++++++++++++++++++++++++++++++++++++++++++++++++ 1 file changed, 86 insertions(+) create mode 100644 Security/Samba diff --git a/Security/Samba b/Security/Samba new file mode 100644 index 0000000..bb46d73 --- /dev/null +++ b/Security/Samba @@ -0,0 +1,86 @@ +# 🔒 Samba Security Hardening + +**Дата завершения:** 19 марта 2026 +**Инфраструктура:** Proxmox (LXC + Docker) +**Домен:** zailon.ru +**Админ:** Zailon (ноутбук BunkerZ) + +--- + +## 🎯 Цель работы + +Повысить безопасность Samba-серверов в домашней инфраструктуре при сохранении удобного доступа к медиа-ресурсам. + +### Было + +| Проблема | Риск | +|----------|------| +| `guest ok = yes` на всех шарах | Любой в сети имеет полный доступ | +| `map to guest = bad user` | Ошибка входа = доступ гостя | +| Права `0777` на файлы и папки | Полный контроль для всех | +| Нет разделения прав на чтение/запись | Любое устройство может удалить данные | +| Монтирование через `guest` в fstab | Пароли не требуются | + +### Стало + +| Решение | Защита | +|---------|--------| +| `map to guest = Never` | Гостевой доступ полностью запрещён | +| `guest ok = no` на всех шарах | Требуется авторизация | +| Права `0644`/`0755` | Запись только владельцу и группе | +| Разделение: `valid users` + `write list` | Чтение у всех, запись у админа | +| Монтирование через `credentials` | Пароли в защищённом файле | + +--- + +## 👥 Пользователи и права доступа + +### Учётные записи Samba (на всех серверах) + +| Пользователь | Назначение | Чтение | Запись | Где используется | +|--------------|------------|--------|--------|------------------| +| `zailon` | Администратор | ✅ | ✅ | Ручное управление, Windows | +| `zevs` | Тестовый/рядовой | ✅ | ❌ | Проверка прав, ограниченный доступ | +| `qb` | Сервисный (qBittorrent) | ✅ | ✅ | Автоматическое монтирование, торренты | + +### Пароли + +| Пользователь | Пароль | Где хранится | +|--------------|--------|--------------| +| `zailon` | *(установлен вручную)* | В памяти админа | +| `zevs` | *(установлен вручную)* | В памяти админа | +| `qb` | `Z@p1sk@` | `/etc/smb-creds/qb` на torrent | + +> ⚠️ **Важно:** При смене пароля обновляйте: +> 1. Samba: `sudo smbpasswd ` +> 2. Файл credentials: `/etc/smb-creds/qb` +> 3. Перемонтируйте: `sudo mount -a` + +--- + +## ⚙️ Конфигурация Samba + +### 1. Глобальные настройки (`/etc/samba/smb.conf`) + +**Файл:** `/etc/samba/smb.conf` +**Серверы:** `media` (192.168.1.203), `games` (192.168.1.207) + +```ini +[global] + workgroup = LATV4513 + server role = standalone server + log file = /var/log/samba/log.%m + max log size = 1000 + logging = file + obey pam restrictions = yes + unix password sync = yes + passwd program = /usr/bin/passwd %u + pam password change = yes + + # === БЕЗОПАСНОСТЬ === + map to guest = Never + usershare allow guests = no + create mask = 0644 + directory mask = 0755 + force create mode = 0644 + force directory mode = 0755 \ No newline at end of file