86 lines
3.6 KiB
Plaintext
86 lines
3.6 KiB
Plaintext
# 🔒 Samba Security Hardening
|
||
|
||
**Дата завершения:** 19 марта 2026
|
||
**Инфраструктура:** Proxmox (LXC + Docker)
|
||
**Домен:** zailon.ru
|
||
**Админ:** Zailon (ноутбук BunkerZ)
|
||
|
||
---
|
||
|
||
## 🎯 Цель работы
|
||
|
||
Повысить безопасность Samba-серверов в домашней инфраструктуре при сохранении удобного доступа к медиа-ресурсам.
|
||
|
||
### Было
|
||
|
||
| Проблема | Риск |
|
||
|----------|------|
|
||
| `guest ok = yes` на всех шарах | Любой в сети имеет полный доступ |
|
||
| `map to guest = bad user` | Ошибка входа = доступ гостя |
|
||
| Права `0777` на файлы и папки | Полный контроль для всех |
|
||
| Нет разделения прав на чтение/запись | Любое устройство может удалить данные |
|
||
| Монтирование через `guest` в fstab | Пароли не требуются |
|
||
|
||
### Стало
|
||
|
||
| Решение | Защита |
|
||
|---------|--------|
|
||
| `map to guest = Never` | Гостевой доступ полностью запрещён |
|
||
| `guest ok = no` на всех шарах | Требуется авторизация |
|
||
| Права `0644`/`0755` | Запись только владельцу и группе |
|
||
| Разделение: `valid users` + `write list` | Чтение у всех, запись у админа |
|
||
| Монтирование через `credentials` | Пароли в защищённом файле |
|
||
|
||
---
|
||
|
||
## 👥 Пользователи и права доступа
|
||
|
||
### Учётные записи Samba (на всех серверах)
|
||
|
||
| Пользователь | Назначение | Чтение | Запись | Где используется |
|
||
|--------------|------------|--------|--------|------------------|
|
||
| `zailon` | Администратор | ✅ | ✅ | Ручное управление, Windows |
|
||
| `zevs` | Тестовый/рядовой | ✅ | ❌ | Проверка прав, ограниченный доступ |
|
||
| `qb` | Сервисный (qBittorrent) | ✅ | ✅ | Автоматическое монтирование, торренты |
|
||
|
||
### Пароли
|
||
|
||
| Пользователь | Пароль | Где хранится |
|
||
|--------------|--------|--------------|
|
||
| `zailon` | *(установлен вручную)* | В памяти админа |
|
||
| `zevs` | *(установлен вручную)* | В памяти админа |
|
||
| `qb` | `Z@p1sk@` | `/etc/smb-creds/qb` на torrent |
|
||
|
||
> ⚠️ **Важно:** При смене пароля обновляйте:
|
||
> 1. Samba: `sudo smbpasswd <username>`
|
||
> 2. Файл credentials: `/etc/smb-creds/qb`
|
||
> 3. Перемонтируйте: `sudo mount -a`
|
||
|
||
---
|
||
|
||
## ⚙️ Конфигурация Samba
|
||
|
||
### 1. Глобальные настройки (`/etc/samba/smb.conf`)
|
||
|
||
**Файл:** `/etc/samba/smb.conf`
|
||
**Серверы:** `media` (192.168.1.203), `games` (192.168.1.207)
|
||
|
||
```ini
|
||
[global]
|
||
workgroup = LATV4513
|
||
server role = standalone server
|
||
log file = /var/log/samba/log.%m
|
||
max log size = 1000
|
||
logging = file
|
||
obey pam restrictions = yes
|
||
unix password sync = yes
|
||
passwd program = /usr/bin/passwd %u
|
||
pam password change = yes
|
||
|
||
# === БЕЗОПАСНОСТЬ ===
|
||
map to guest = Never
|
||
usershare allow guests = no
|
||
create mask = 0644
|
||
directory mask = 0755
|
||
force create mode = 0644
|
||
force directory mode = 0755 |