Update file Samba

2026-03-19 12:50:44 +05:00 · 2026-03-19 12:50:44 +05:00 · 055bb6d06f
commit 055bb6d06f
1 changed files with 86 additions and 0 deletions
--- a/Security/Samba
+++ b/Security/Samba
@ -0,0 +1,86 @@
+# 🔒 Samba Security Hardening
+
+**Дата завершения:** 19 марта 2026  
+**Инфраструктура:** Proxmox (LXC + Docker)  
+**Домен:** zailon.ru  
+**Админ:** Zailon (ноутбук BunkerZ)
+
+---
+
+## 🎯 Цель работы
+
+Повысить безопасность Samba-серверов в домашней инфраструктуре при сохранении удобного доступа к медиа-ресурсам.
+
+### Было
+
+| Проблема | Риск |
+|----------|------|
+| `guest ok = yes` на всех шарах | Любой в сети имеет полный доступ |
+| `map to guest = bad user` | Ошибка входа = доступ гостя |
+| Права `0777` на файлы и папки | Полный контроль для всех |
+| Нет разделения прав на чтение/запись | Любое устройство может удалить данные |
+| Монтирование через `guest` в fstab | Пароли не требуются |
+
+### Стало
+
+| Решение | Защита |
+|---------|--------|
+| `map to guest = Never` | Гостевой доступ полностью запрещён |
+| `guest ok = no` на всех шарах | Требуется авторизация |
+| Права `0644`/`0755` | Запись только владельцу и группе |
+| Разделение: `valid users` + `write list` | Чтение у всех, запись у админа |
+| Монтирование через `credentials` | Пароли в защищённом файле |
+
+---
+
+## 👥 Пользователи и права доступа
+
+### Учётные записи Samba (на всех серверах)
+
+| Пользователь | Назначение | Чтение | Запись | Где используется |
+|--------------|------------|--------|--------|------------------|
+| `zailon` | Администратор | ✅ | ✅ | Ручное управление, Windows |
+| `zevs` | Тестовый/рядовой | ✅ | ❌ | Проверка прав, ограниченный доступ |
+| `qb` | Сервисный (qBittorrent) | ✅ | ✅ | Автоматическое монтирование, торренты |
+
+### Пароли
+
+| Пользователь | Пароль | Где хранится |
+|--------------|--------|--------------|
+| `zailon` | *(установлен вручную)* | В памяти админа |
+| `zevs` | *(установлен вручную)* | В памяти админа |
+| `qb` | `Z@p1sk@` | `/etc/smb-creds/qb` на torrent |
+
+> ⚠️ **Важно:** При смене пароля обновляйте:
+> 1. Samba: `sudo smbpasswd <username>`
+> 2. Файл credentials: `/etc/smb-creds/qb`
+> 3. Перемонтируйте: `sudo mount -a`
+
+---
+
+## ⚙️ Конфигурация Samba
+
+### 1. Глобальные настройки (`/etc/samba/smb.conf`)
+
+**Файл:** `/etc/samba/smb.conf`  
+**Серверы:** `media` (192.168.1.203), `games` (192.168.1.207)
+
+```ini
+[global]
+   workgroup = LATV4513
+   server role = standalone server
+   log file = /var/log/samba/log.%m
+   max log size = 1000
+   logging = file
+   obey pam restrictions = yes
+   unix password sync = yes
+   passwd program = /usr/bin/passwd %u
+   pam password change = yes
+
+   # === БЕЗОПАСНОСТЬ ===
+   map to guest = Never
+   usershare allow guests = no
+   create mask = 0644
+   directory mask = 0755
+   force create mode = 0644
+   force directory mode = 0755