Брандмауэры и специальное программное обеспечение 8 Часть 4
| Вид материала | Реферат |
- Муниципальное общеобразовательное учреждение средняя общеобразовательная школа №12, 174.77kb.
- Управление экономикой и создание экономических информационных систем Изучив данную, 148.93kb.
- Программное обеспечение ЭВМ, 209.59kb.
- Программное обеспечение вычислительной системы, 824.71kb.
- Учебная программа (Syllabus) Дисциплина: Интерфейсы компьютерных систем (iks 3304), 321.31kb.
- Реферат по Информационной безопасности Тема: «Антивирусы», 711.1kb.
- Пк программный комплекс; по программное обеспечение; ппо прикладное программное обеспечение, 208.41kb.
- Лекция 4 Обеспечивающие подсистемы асу. Математическое, программное, лингвистическое,, 59.3kb.
- Математическое и программное обеспечение систем оперативной оценки характеристик сложных, 247.51kb.
- Учебная программа (Syllabus) Дисциплина «Инструментальные средства разработки программ», 374.12kb.
SWAT — средство администрирования Samba
В комплект поставки Samba 2.0 было включено новое средство администрирования Samba Web Administration Tool (SWAT). Средство администрирования SWAT было разработано в ответ на многочисленные запросы администраторов, нуждающихся в более удобном способе управления многочисленными параметрами конфигурационного файла smb.conf. Прилагаемая к Samba документация слишком объемна и слишком сложна, используя ее вряд ли можно выполнить быструю настройку Samba, особенно если вы новичок. Благодаря SWAT вы получаете простой в использовании инструмент конфигурирования, а также более удобную контекстно-зависимую электронную подсказку. Электронная документация SWAT все же может показаться несколько сложной для новичков, однако само по себе средство SWAT является чрезвычайно удобным инструментом управления конфигурационными переменными.
Подготовка к запуску SWAT
При установке с использованием механизма RPM, равно как и в процессе начальной установки комплекта Caldera OpenLinux, программное средство SWAT предлагается в виде отдельного пакета RPM. Обратите внимание, что в комплекте поставки Red Hat SWAT не является отдельным пакетом и устанавливается на компьютере в составе основного RPM-пакета Samba. В разных комплектах Linux установка SWAT выполняется по-разному, поэтому прежде чем устанавливать SWAT, вы должны изучить документацию, прилагаемую к вашему комплекту Linux.
При установке через RPM в комплекте Caldera (и возможно, во многих других комплектах) служба swat добавляется в файл /etc/inted.conf. При этом учитывается рекомендация разработчиков Samba, предписывающая использовать для swat порт 901. Таким образом, если порт 901 связан супердемоном inetd, значит, скорее всего, в вашей системе служба swat установлена именно таким образом.
Запуск SWAT с использованием inetd
Если Samba устанавливается в процессе начальной установки ОС, скорее всего, все необходимое конфигурирование будет выполнено автоматически, однако если вы загружаете из Интернета последнюю версию Samba, компилируете ее и устанавливаете в системе вручную и при этом намерены обеспечить запуск swat с использованием inetd, вы должны выполнить кое-какие настройки самостоятельно. Даже если программа установки выполнила все эти шаги за вас, я все равно рекомендую вам изучить описанную далее процедуру, так как она может оказаться для вас полезной в процессе устранения неисправностей. Первый этап настройки связан с редактированием файлов /etc/services и /etc/inetd.conf. От имени пользователя root вы должны добавить в файл /etc/services следующую строку:
swat 901/tcp
Эта строка назначает порт 901 для TCP-подключения к программе swat. Далее в соответствии с документацией Samba необходимо добавить в файл inetd.conf следующую строку:
swat stream tcp nowait.400 root /путь/к/swat swat
Эта строка предписывает метадемону inetd запускать swat в поточном режиме tcp на уровне привилегий root. Документация Samba предлагает использовать параметр nowait.400. Это означает, что программу swat разрешается запускать до 400 раз в минуту. Если не использовать данный параметр, по умолчанию будет разрешен запуск swat не более 40 раз в минуту — скорее всего, этого будет вполне достаточно. Добавлять какое-либо число к параметру nowait вовсе не обязательно, однако в случае необходимости вы вполне можете сделать это в соответствии с вашими предпочтениями.
Если вы желаете, чтобы программа swat запускалась с использованием tcpd (механизм TCP Wrappers), как это обсуждалось в главе 15, вместо предыдущей записи вы можете добавить в inetd.conf следующую:
swat stream tcp nowait root /usr/sbin/tcpd /путь/к/swat
Вы можете указать любое удобное вам количество экземпляров swat, которое разрешается запустить в течение 60-секундного периода (например, 100).
ПРИМЕЧАНИЕ
Вместо строки /путь/к/swat необходимо указать корректное местоположение программы swat. При установке OpenLinux по умолчанию этот исполняемый файл расположен в каталоге /usr/sbin, однако он может быть расположен также в каталоге /usr/bin или где-либо в другом месте — все зависит от того, какой комплект Linux вы используете и каким способом вы устанавливаете swat. Для того чтобы найти swat, воспользуйтесь командой locate.
Утилиты Samba поддерживают работу с РАМ. Иными словами, они обращаются к сведениям, содержащимся в модулях РАМ (Password Authentication Module), расположенных в подкаталоге /etc/pam.d (см. главу 1). Как правило, при этом используется файл с именем samba. В данном файле содержится несколько строк, например:
auth required /lib/security/pam_pwdb.so shadow nullok
account required /lib/security/pam_pwdb.so
Если в любой из вышеуказанных строк содержится pam.deny.so, вы не сможете запустить swat. Возможны также другие комбинации, однако приведенные здесь строки являются строками, по умолчанию добавляемыми в комплекте Caldera. В других комплектах могут использоваться другие комбинации, кроме того, вы можете самостоятельно добавлять другие модули, как об этом говорилось в главе 1.
По умолчанию в комплекте Caldera в файл hosts.deny также добавляется строка, которая выглядит следующим образом:
swat: ALL EXCEPT 127.0.0.1
Эта строка запрещает кому бы то ни было администрировать Samba удаленно. Если вы уверены в том, что ваша локальная сеть является хорошо защищенной и полностью безопасной, вы можете заменить адрес 127.0.0.1 на LOCAL. Учтите, что если вы выполняете установку по умолчанию, при подключении к swat имя пользователя и пароль будут передаваться через сеть в незашифрованном виде.
Теперь вы можете обратиться к swat. Для этого запустите ваш web-браузер, введите :901/ в поле адреса и нажмите Enter. Вам будет предложено ввести имя пользователя и пароль. Если вы работаете от имени root, введите имя пользователя root и пароль пользователя root.
Вместо localhost вы можете использовать любое корректное ассоциированное с вашим узлом имя, включая IP-адрес 127.0.0.1. Если вы хотите обеспечить возможность администрировать Samba удаленно, очевидно, лучше использовать для этой цели защищенный web-сервер (с поддержкой SSL) и в ходе любых сеансов выполнять шифровку любых передаваемых через сеть данных.
ССЫЛКА
O том, как осуществляется конфигурирование защищенного web-сервера Apache, рассказывается в главе 20.
Если для подключения к swat вы будете использовать любую другую (отличную от root) корректную пару имя пользователя/пароль, вы сможете просматривать экраны swat, однако некоторые возможности будут для вас недоступны. Кнопка Commit Changes (сохранить изменения) не будет отображаться на экране, так как правом вносить изменения в файл smb.conf обладает только пользователь root (предполагается, что разрешения на доступ к этому файлу настроены должным образом). Также вы не будете обладать возможностью запускать и останавливать демоны smbd и nmbd.
Если в момент запуска swat файл smb.conf отсутствует, программа swat будет запущена с использованием конфигурационных значений по умолчанию.
ВНИМАНИЕ
Если у вас есть составленный вручную файл smb.conf, который вы хотели бы сохранить для последующего использования, сделайте его копию или не запускайте swat. Дело в том, что программа swat попытается извлечь из конфигурационного файла smb.conf любую полезную информацию, а затем перезапишет файл smb.conf в своем собственном формате. При этом будут утеряны комментарии, а также такие директивы, как include и сору.
Запуск SWAT с использованием Apache
Настройка swat для запуска с использованием web-сервера Apache выполняется несколько сложнее, и требует большего внимания к деталям, в противном случае вы рискуете нарушить безопасность вашей системы. Если на вашем компьютере уже установлен web-сервер Apache и вы обладаете опытом его настройки, описываемые далее действия помогут вам настроить ваш сервер так, чтобы он мог запускать программу swat.
Прежде всего в корневом каталоге документов вашего web-сервера (document root) следует создать подкаталог с именем swat. Если вы планируете, что администрирование системы должно осуществляться удаленно, будет лучше, если вы будете использовать защищенный корневой каталог документов. В каталог documentrooot/ swat следует скопировать содержимое каталога samba/swat Также в соответствующие подкаталоги следует скопировать содержимое подкаталогов help, images и include. Бинарный файл swat следует скопировать в подкаталог cgi-bin вашего web-сервера.
В подкаталоге swat корневого каталога документов вашего web-сервера создайте файл с именем .htaccess. В этот файл необходимо поместить следующий текст:
AuthName "swat restricted"
AuthType Basic
AuthUserFile /etc/swat.users
require valid-user
Далее необходимо создать файл авторизированных пользователей. Это выполняется при помощи следующей команды:
htpasswd -с /etc/swat.users root
Вам будет предложено ввести пароль. После этого будет создан файл с пользователем root и хэшированным (то есть зашифрованным) паролем внутри.
ВНИМАНИЕ
Вы должны убедиться в том, что правом записи в данный файл обладает только пользователь root. Кроме того, хранящиеся в данном файле пароли должны быть хорошо подобраны, для того чтобы обеспечить должный уровень защиты.
Наконец, после этого в файле Apache access, conf необходимо найти строку, которая начинается с имени параметра AllowOverride. Необходимо убедиться, что данный параметр имеет значение AuthConfig. После этого следует отдать вашему серверу команду SIGHUP (для сервера Apache 3.1.x следует использовать команду apachectl с аргументом restart).
После этого вы сможете обратиться к swat при помощи web-браузера, указав в строке адреса /swat/cgi-bin/swat.
ВНИМАНИЕ
Вне зависимости от того, какой из двух ранее описанных методов запуска SWAT вы предпочтете, вы не должны забывать, что пароли передаются через сеть в незашифрованном виде, если только вы не настроите ваш web-сервер Apache на использование SSL и не разместите swat в корневом каталоге документов SSL