Update file Samba
This commit is contained in:
Administrator
commit
055bb6d06f
86
Security/Samba
Normal file
86
Security/Samba
Normal file
@ -0,0 +1,86 @@
|
|||||||
|
# 🔒 Samba Security Hardening
|
||||||
|
|
||||||
|
**Дата завершения:** 19 марта 2026
|
||||||
|
**Инфраструктура:** Proxmox (LXC + Docker)
|
||||||
|
**Домен:** zailon.ru
|
||||||
|
**Админ:** Zailon (ноутбук BunkerZ)
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
## 🎯 Цель работы
|
||||||
|
|
||||||
|
Повысить безопасность Samba-серверов в домашней инфраструктуре при сохранении удобного доступа к медиа-ресурсам.
|
||||||
|
|
||||||
|
### Было
|
||||||
|
|
||||||
|
| Проблема | Риск |
|
||||||
|
|----------|------|
|
||||||
|
| `guest ok = yes` на всех шарах | Любой в сети имеет полный доступ |
|
||||||
|
| `map to guest = bad user` | Ошибка входа = доступ гостя |
|
||||||
|
| Права `0777` на файлы и папки | Полный контроль для всех |
|
||||||
|
| Нет разделения прав на чтение/запись | Любое устройство может удалить данные |
|
||||||
|
| Монтирование через `guest` в fstab | Пароли не требуются |
|
||||||
|
|
||||||
|
### Стало
|
||||||
|
|
||||||
|
| Решение | Защита |
|
||||||
|
|---------|--------|
|
||||||
|
| `map to guest = Never` | Гостевой доступ полностью запрещён |
|
||||||
|
| `guest ok = no` на всех шарах | Требуется авторизация |
|
||||||
|
| Права `0644`/`0755` | Запись только владельцу и группе |
|
||||||
|
| Разделение: `valid users` + `write list` | Чтение у всех, запись у админа |
|
||||||
|
| Монтирование через `credentials` | Пароли в защищённом файле |
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
## 👥 Пользователи и права доступа
|
||||||
|
|
||||||
|
### Учётные записи Samba (на всех серверах)
|
||||||
|
|
||||||
|
| Пользователь | Назначение | Чтение | Запись | Где используется |
|
||||||
|
|--------------|------------|--------|--------|------------------|
|
||||||
|
| `zailon` | Администратор | ✅ | ✅ | Ручное управление, Windows |
|
||||||
|
| `zevs` | Тестовый/рядовой | ✅ | ❌ | Проверка прав, ограниченный доступ |
|
||||||
|
| `qb` | Сервисный (qBittorrent) | ✅ | ✅ | Автоматическое монтирование, торренты |
|
||||||
|
|
||||||
|
### Пароли
|
||||||
|
|
||||||
|
| Пользователь | Пароль | Где хранится |
|
||||||
|
|--------------|--------|--------------|
|
||||||
|
| `zailon` | *(установлен вручную)* | В памяти админа |
|
||||||
|
| `zevs` | *(установлен вручную)* | В памяти админа |
|
||||||
|
| `qb` | `Z@p1sk@` | `/etc/smb-creds/qb` на torrent |
|
||||||
|
|
||||||
|
> ⚠️ **Важно:** При смене пароля обновляйте:
|
||||||
|
> 1. Samba: `sudo smbpasswd <username>`
|
||||||
|
> 2. Файл credentials: `/etc/smb-creds/qb`
|
||||||
|
> 3. Перемонтируйте: `sudo mount -a`
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
|
## ⚙️ Конфигурация Samba
|
||||||
|
|
||||||
|
### 1. Глобальные настройки (`/etc/samba/smb.conf`)
|
||||||
|
|
||||||
|
**Файл:** `/etc/samba/smb.conf`
|
||||||
|
**Серверы:** `media` (192.168.1.203), `games` (192.168.1.207)
|
||||||
|
|
||||||
|
```ini
|
||||||
|
[global]
|
||||||
|
workgroup = LATV4513
|
||||||
|
server role = standalone server
|
||||||
|
log file = /var/log/samba/log.%m
|
||||||
|
max log size = 1000
|
||||||
|
logging = file
|
||||||
|
obey pam restrictions = yes
|
||||||
|
unix password sync = yes
|
||||||
|
passwd program = /usr/bin/passwd %u
|
||||||
|
pam password change = yes
|
||||||
|
|
||||||
|
# === БЕЗОПАСНОСТЬ ===
|
||||||
|
map to guest = Never
|
||||||
|
usershare allow guests = no
|
||||||
|
create mask = 0644
|
||||||
|
directory mask = 0755
|
||||||
|
force create mode = 0644
|
||||||
|
force directory mode = 0755
|
||||||
Loading…
Reference in New Issue
Block a user