# 🔒 Samba Security Hardening

**Дата завершения:** 19 марта 2026  
**Инфраструктура:** Proxmox (LXC + Docker)  
**Домен:** zailon.ru  
**Админ:** Zailon (ноутбук BunkerZ)

---

## 🎯 Цель работы

Повысить безопасность Samba-серверов в домашней инфраструктуре при сохранении удобного доступа к медиа-ресурсам.

### Было

| Проблема | Риск |
|----------|------|
| `guest ok = yes` на всех шарах | Любой в сети имеет полный доступ |
| `map to guest = bad user` | Ошибка входа = доступ гостя |
| Права `0777` на файлы и папки | Полный контроль для всех |
| Нет разделения прав на чтение/запись | Любое устройство может удалить данные |
| Монтирование через `guest` в fstab | Пароли не требуются |

### Стало

| Решение | Защита |
|---------|--------|
| `map to guest = Never` | Гостевой доступ полностью запрещён |
| `guest ok = no` на всех шарах | Требуется авторизация |
| Права `0644`/`0755` | Запись только владельцу и группе |
| Разделение: `valid users` + `write list` | Чтение у всех, запись у админа |
| Монтирование через `credentials` | Пароли в защищённом файле |

---

## 👥 Пользователи и права доступа

### Учётные записи Samba (на всех серверах)

| Пользователь | Назначение | Чтение | Запись | Где используется |
|--------------|------------|--------|--------|------------------|
| `zailon` | Администратор | ✅ | ✅ | Ручное управление, Windows |
| `zevs` | Тестовый/рядовой | ✅ | ❌ | Проверка прав, ограниченный доступ |
| `qb` | Сервисный (qBittorrent) | ✅ | ✅ | Автоматическое монтирование, торренты |

### Пароли

| Пользователь | Пароль | Где хранится |
|--------------|--------|--------------|
| `zailon` | *(установлен вручную)* | В памяти админа |
| `zevs` | *(установлен вручную)* | В памяти админа |
| `qb` | `Z@p1sk@` | `/etc/smb-creds/qb` на torrent |

> ⚠️ **Важно:** При смене пароля обновляйте:
> 1. Samba: `sudo smbpasswd <username>`
> 2. Файл credentials: `/etc/smb-creds/qb`
> 3. Перемонтируйте: `sudo mount -a`

---

## ⚙️ Конфигурация Samba

### 1. Глобальные настройки (`/etc/samba/smb.conf`)

**Файл:** `/etc/samba/smb.conf`  
**Серверы:** `media` (192.168.1.203), `games` (192.168.1.207)

```ini
[global]
   workgroup = LATV4513
   server role = standalone server
   log file = /var/log/samba/log.%m
   max log size = 1000
   logging = file
   obey pam restrictions = yes
   unix password sync = yes
   passwd program = /usr/bin/passwd %u
   pam password change = yes

   # === БЕЗОПАСНОСТЬ ===
   map to guest = Never
   usershare allow guests = no
   create mask = 0644
   directory mask = 0755
   force create mode = 0644
   force directory mode = 0755