简单 NAS 的 samba 设置 - 它是否尽可能安全?

简单 NAS 的 samba 设置 - 它是否尽可能安全?

我正在为我的家人设置一个音乐服务器。它确实在运行,这就是我来这里的原因(之前是代码审查,后来被退回,因为不是真正的代码)。我对 Samba 的配置方式了解得不够多,无法理解我最终在 smb.conf 文件中得出的选项的安全考虑,这让我很不高兴。我并不是那种安全偏执狂,但由于我确实从网络上的机器访问我的银行,我不想在我家外面挂一个大牌子,上面写着“请破解”。我查看了 howtogeek 和 samba.org,他们给出的示例似乎并不完全合适,或者没有按照他们所说的那样工作。.conf 文件是在对完整的 Samba 参考进行一些探索和猜测后得出的。

无论如何,首先是要求。我有一台树莓派,插着一些 FAT32 USB 棒作为大容量存储器。我宁愿保留 FAT32,以便与家里的 MS 机器兼容。如果我必须格式化为 extn,我会考虑的。我希望任意数量的用户同时对文件具有只读访问权限,并且一个管理员用户通过网络(以及 ssh)具有写入访问权限。我在树莓派上运行着无处不在的 debian wheezy。我是一个 Linux 菜鸟,但正在慢慢地被拖上学习曲线。

哪些措施有效

我现在拥有管理员用户对所有存储棒的写访问权限,并且可以同时获得三个用户的访问权限,这三个用户都以同一个用户身份从 chromebook、Mint PC 和 XP PC 登录,并且他们被拒绝写访问权限。所以我追求的基本功能似乎确实有效。我很高兴用户需要登录,而不仅仅是以访客身份连接。

为了获得该功能,我是否创建了任何愚蠢的漏洞?

我不太清楚 Samba 模型是什么。您能否确认每个 [资源] 部分都定义了用户登录该资源时将获得的行为。这应该意味着不同的资源块可以指定相同的路径 =,而不会发生冲突。我还没有看到 Samba 对此进行详细说明,但在我看来它必须以这种方式工作。这就是为什么我在用户和管理资源中对只读有不同的设置,而且它似乎工作正常。

我已将 fstab 设置为将存储棒挂载在 /media 下,这是 samba 共享的文件夹。我最初尝试将所有内容的所有权更改为管理员用户,但此举无效。搜索后,我发现 FAT 格式不支持所有权,这听起来像是原因。默认情况下,所有内容都返回 root 作为所有者,samba.org 上的一个示例使用了强制用户 root 行,现在看来可以正常工作。然而,这是我最不满意的选项。

这是 smb.conf 文件,我从安装 3.6.6 附带的示例文件中删除了大部分注释和大部分非活动选项。

# This will prevent nmbd to search for NetBIOS names through DNS.
   dns proxy = no

# This tells Samba to use a separate log file for each machine
   log file = /var/log/samba/log.%m

# Cap the size of the individual log files (in KiB).
   max log size = 1000

   syslog = 0

# Do something sensible when Samba crashes: mail the admin a backtrace
   panic action = /usr/share/samba/panic-action %d
   security = user
   encrypt passwords = true
   passdb backend = tdbsam
   obey pam restrictions = yes
   unix password sync = yes
   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\s*\spassword:* %n\n        *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
   pam password change = yes

   map to guest = bad user

#======================= Share Definitions =======================
[Library]
comment = Music Library
path = /media
read only = yes
browsable = yes

[Lib_Admin]
comment = Lib Admin
path = /media
valid users = admin_lib
force user = root
create mask = 0744
directory mask = 0755
browsable = yes
read only = no

主要问题是...
a)这方面的安全性是否合理?
b)对于我想做的事情,有没有更好的选择?

我认为我应该把地图带给客人,
我应该把根目录 = /media,并将文件镜像到 /media,这是必要的吗?

相关内容