Geum.ru

Брандмауэры и специальное программное обеспечение 8 Часть 4

Вид материалаРеферат

Содержание


Ограничение доступа к службам
Подобный материал:
1   ...   74   75   76   77   78   79   80   81   ...   101

Ограничение доступа к службам


Система Samba обладает множеством возможностей, позволяющих гибко контролировать уровень привилегий, которым наделяется клиент Samba в отношении системы Linux. Samba позволяет вам воспользоваться преимуществами групп UNIX NIS (если в вашей сети используется система NIS). Помимо многих других способов контроля пользовательских привилегий система Samba позволяет вам использовать, например, следующие возможности:

- система обслуживает пользователя, подключившегося к общей папке, так, как будто он действует от лица некоторого предопределенного администратором пользователя системы Linux (например, guest, nobody, root, samba или любого другого пользователя Linux);

- система обслуживает пользователя, подключившегося к общей папке, так, как будто он является членом некоторой предопределенной администратором группы;

- Samba позволяет администратору определить имена пользователей, которым разрешается доступ к общей папке; остальным пользователям доступ будет запрещен;

- Samba позволяет администратору определить имена пользователей, которые будут обладать в отношении общей папки административными полномочиями;

- Samba позволяет администратору определить имена пользователей, которые будут обладать правом осуществлять, как чтение, так и запись файлов общей папки;

- Samba позволяет администратору определить имена пользователей, которые будут обладать только возможностью чтения файлов общей папки (запись файлов общей папки для них будет запрещена);

- Samba позволяет администратору определить имена пользователей, которые будут обладать правом печати.

Все перечисленные возможности настраиваются при помощи режима Advanced View конфигурационной страницы Share в разделе Security Options.

Используя все эти возможности, вы можете обеспечить очень гибкий контроль подключений пользователей к любой из общих папок сервера Samba. Также на странице Global вы можете настроить параметр root directory (корневой каталог), указав с его помощью любой удобный для вас каталог, отличающийся от корневого каталога по умолчанию (с именем «/»).


ПРИМЕЧАНИЕ

Если вы делаете корневым каталогом для Samba каталог, отличающийся от каталога с именем /, вы должны разместить в указанном вами каталоге все файлы, необходимые для запуска сервера Samba. В частности, в новый корневой каталог следует скопировать все бинарные файлы и все библиотеки, используемые пользователями Samba. Таким образом, вы создаете для Samba рабочую среду с измененным корнем, которую также называют тюрьмой с измененным корнем (change root jail). При создании такой тюрьмы следует принимать во внимание все соображения и все нюансы, о которых рассказывалось в главе 12, в которой была подробно рассмотрена процедура создания тюрьмы с измененным корнем для службы DNS.


Samba позволяет вам создать рабочую среду с измененным корнем подобно тому, как это позволяет делать служба DNS (об этом рассказывалось ранее, в главе 12). При этом следует руководствоваться теми же самыми принципами, однако вам потребуется скопировать большее количество файлов. Если сравнивать с DNS, создание тюрьмы с измененным корнем для Samba осуществляется несколько сложнее, так как для этого вы должны будете скопировать в новый корневой каталог большее количество библиотек, устройств, конфигурационных и бинарных файлов.

Однако у этого подхода есть существенное преимущество: в новом корневом каталоге, который выполняет функции тюрьмы, содержатся копии абсолютно всех необходимых файлов, включая файл /etc/password, и любой из этих файлов вы можете модифицировать так, как посчитаете нужным. Это значит, что вы можете использовать совершенно другой набор паролей. Благодаря этому, даже если злоумышленник сможет взломать рабочую среду с измененным корнем, это не будет автоматически означать, что он взломал всю систему Linux.

Создание для Samba рабочей среды с измененным корнем может осуществляться по-разному — все зависит от конфигурации Samba и бинарных файлов, которые вы хотели бы сделать доступными для пользователей. Приведу общие рекомендации на эту тему.

Каталог /etc: здесь потребуется скопировать все имеющие отношение к Samba конфигурационные файлы, а также большую часть подкаталога pam.d/, а также те файлы в каталоге /etc, на которые ссылается файл pam.d. Также потребуется скопировать все файлы, имеющие отношение к аутентификации пользователей при подключении их к системе (passwd, group, shadow), а также все связанные с этим конфигурационные файлы, равно как и модифицированный файл syslog.conf с добавлением к syslog ключа -а, чтобы syslog мог читать этот конфигурационный файл.

Каталог /home: домашние каталоги пользователей, если они используются пользователями (если создана общая папка Homes).

Каталог /dev: любые устройства, которые могут потребоваться пользователям Samba, а также соответствующие им записи <корень Samba>/etc/fstab, чтобы предоставить пользователям возможность монтировать эти устройства.

Каталог /lib: библиотеки, необходимые для запуска бинарных файлов, а также подкаталог безопасности для РАМ.

Каталоги /bin и /sbin: все относящиеся к Samba бинарные файлы, а также бинарные файлы для других необходимых программ, таких как mount (на случай, если пользователи должны обладать возможностью монтировать компакт-диски, гибкие диски или другие подобные устройства).

Каталог /var: подкаталог журнала и рабочий подкаталог (а также, возможно, другие подкаталоги).

Каталог /tmp: временный каталог с необходимыми привилегиями доступа (chmod 1777).

Хочу еще раз заострить ваше внимание на том, что в зависимости от конфигурации Samba для создания тюрьмы с измененным корнем может потребоваться копирование некоторых других файлов и каталогов.