Михаил Флёнов - Linux глазами хакера
- Название:Linux глазами хакера
- Автор:
- Жанр:
- Издательство:БХВ-Петербург
- Год:2005
- Город:Санкт-Петербург
- ISBN:5-94157-635-8
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Михаил Флёнов - Linux глазами хакера краткое содержание
Рассмотрены вопросы настройки ОС Linux на максимальную производительность и безопасность. Описаны потенциальные уязвимости и рекомендации по предотвращению возможных атак. Дается подробное описание настройки прав доступа и конфигурирования сетевого экрана. Показано, как действовать при атаке или взломе системы, чтобы максимально быстро восстановить ее работоспособность и предотвратить потерю данных.
Для пользователей, администраторов и специалистов по безопасности
Linux глазами хакера - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
С помощью Samba можно сделать легко доступный и удобный в использовании файловый сервер. Раньше у меня на работе для этих целей использовался Windows 2000-сервер, который параллельно работал как сервер баз данных. Но файловый архив занимает слишком много места, отнимает ресурсы сети и сервера и понижает безопасность. Поэтому было принято решение перенести файловый архив на отдельный физический сервер. Использовать для этого Windows 2000 слишком дорого и неэффективно — это то же самое, что вывозить мусор из дома на расстояние 20 метров на Ford Mondeo. Для этих целей лучше подойдет Linux, который обходится дешевле и не требует обслуживания. Достаточно один раз настроить такой сервер, и можно использовать годами. Именно так мы и поступили.
Одно из мощнейших преимуществ Samba — возможность удаленного управления через SSH или SWAT (Samba Web-based Administrative Tool, набор администратора через Web для Samba).
6.1. Конфигурирование Samba
Основным конфигурационным файлом для Samba является smb.conf, который можно найти в директории /etc/samba(в некоторых дистрибутивах это может быть каталог /etc). Кроме него в этой директории можно найти файл lmhosts, с помощью которого происходит преобразование IP-адресов и имен компьютеров аналогично \etc\hostsв Linux, а Диск:\Windows\system32\drivers\etc\lmhosts.samв Windows только используется сервером Samba.
Дополнительно вы можете создать следующие файлы (некоторые из них могут существовать):
□ smbusers — файл хранит список пользователей, которым разрешено подключаться к серверу Samba;
□ smbpasswd — пароли пользователей из файла smbusers;
Как видите, у Samba свои конфигурационные файлы для хранения списка пользователей. Если вы создаете их вручную, то убедитесь, что права на чтение и запись установлены правильно. Файл должен быть доступен только администратору т.е. владельцем может быть исключительно root, и никто более.
Конфигурационный файл smb.conf содержит не так много директив, поэтому для удобства восприятия я привел небольшой пример (листинг 6.1), который поможет вам увидеть общую структуру такого файла. В дальнейшем нам предстоит рассматривать другие серверы Linux, где настроек намного больше.
Листинг 6.1. Фрагмент конфигурационного файла smb.conf
[global]
# Основные директивы
workgroup = MYGROUP
server string = Samba Server
; hosts allow = 192.168.1. 192.163.2. 127.
load printers = yes
printing = lprng
; guest account = pcguest
# Директивы журнала
log file = /var/log/samba/%m.log
max log size = 0
# Директивы безопасности
security = user
; password server =
; password level = 8
; username level = 8
encrypt passwords = yes
smb passwd file = /etc/samba/smbpasswd
unix password sync = Yes
passwd program = /usr/bin/passwd %u
passwd chat = *New*password* %n\n *Retype*new*password* %.
*passwd:*all*authentication*tokens*updated*successfully*
pam password change = yes
; username map = /etc/samba/smbusers
; include = /etc/samba/smb.conf.%m
obey pam restrictions = yes
# Настройка сокета
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_sndbuf=819
; interfaces = 192.168.12.2/24 192.168.13.2/24
# Настройка просмотра
; remote browse sync = 192.168.3.25 192.168.5.255
; remote announce = 192.168.1.255 192.168.2.44
; local master = no
; os level = 33
; domain master = yes
; preferred master = yes
# Работа с сервером
; domain logons = yes
; logon script = %m.bat
; logon script = %U.bat
; logon path = \\%L\Profiles\%U
; wins support = yes
# WINS-сервер
; wins server = w.x.y.z
; wins proxy = yes
dns proxy = no
# Отображение файлов
; preserve case = no
; short preserve case = no
; default case = lower
; case sensitive = no
Реальный файл в вашей системе будет намного больше, потому что он содержит множество комментариев с описаниями и примерами конфигурирования открытых директорий. Я все это удалил, чтобы вам проще было ориентироваться, когда мы будем рассматривать назначение команд.
В большинстве конфигурационных файлов Linux и его программах для описания директив используется формат:
ИмяДирективы Значение
Имядирективыв данном случае должно состоять из одного слова и не может содержать пробелы. После имени ставится пробел, за которым идет значение директивы.
В Samba-сервере используется несколько иной формат:
ИмяДирективы=Значение
Значение директивы ставится после знака равенства. Таким образом, имя директивы может состоять из нескольких слов, содержать пробелы и различные символы (кроме знака равенства).
6.1.1. Основные настройки
Конфигурационный файл разбит на секции. Самой первой идет
[global], в которой описываются глобальные настройки сервера. В ней можно увидеть следующие директивы:
□
workgroup = имя— содержит имя группы, в которую входит сервер. Когда в Windows вы входите в сетевое окружение, то можно увидеть все доступные ресурсы, разбитые на категории. В каждой группе могут быть свои компьютеры или серверы;
□
netbios name = имя— определяет имя, которое пользователи будут видеть в сетевом окружении для данного сервера, оно не должно совпадать с именем рабочей группы;
□
server string = описание— это свободный текст, который можно будет увидеть в поле Description(Комментарий) свойств сервера или окне сетевого окружения в режиме Details(Таблица). В этом поле вы можете поместить комментарий, описывающий содержимое сервера, например, "Файловый архив Сергея";
□
hosts allow = адреса— перечисление через пробел IP-адресов или сетей, которым разрешен доступ к Samba-серверу. Например, чтобы открыть доступ всем компьютерам сети 192.168.1.x и одному компьютеру из другой сети 192.168.2.1, надо написать следующую команду:
hosts allow = 192.168.1. 192.168.2.2
□
printcap name = файл— указывает файл описания принтеров, подключенных к системе. По умолчанию это /etc/printcap;
□
load printers = yes— задает ( yes) автоматическое включение принтеров в список открытых ресурсов. Если в этом нет надобности, то укажите no;
□
printing = система— определяет тип системы печати. Здесь можно использовать одно из следующих значений: bsd, sysv, plp, lprng, aix, hpuxили qnx.
6.1.2. Безопасность
В этом разделе мы рассмотрим директивы, которые напрямую или косвенно влияют на безопасность:
□
guest account = имя— указывается учетная запись, с правами которой пользователь сможет входить в систему. Если ваш сервер не содержит секретной информации и используется для открытого обмена файлами, то можно завести гостевую учетную запись, иначе такой вход не безопасен;
Интервал:
Закладка:
