Linux/Samba drošības pasākumi

Ja Linux dators tiek izmantots tikai kā Samba pakalpojumu sniedzējs, tad ieteicams piemērot dažus drošības pasākumus.

Kad saglabājiet izmaiņas sekojošos Linux konfigurācijas failos obligāti pārslēdzaties ar Alt+F2 vai Alt+F3 uz citu konsoli un pārliecinaties, ka Linux ļauj Jums ieiet sistēmā, citādi kādas kļūdas dēļ var sanākt visai nepatīkama situācija.

Ierobežot datoru loku
Ierobežot to datoru loku, kuri drīkst izmantot Linux pakalpojumus (/etc/inetd.conf). To panāk ar diviem failiem /etc/hosts.allow un /etc/hosts.deny.

Failā /etc/hosts.allow ierakstam, ka Linux pakalpojumus drīkst izmantot vietējais datortīkls ar adresēm 192.168.100.0/255.255.255.0 un dators ar adresi 10.10.10.5 - attālinātai administrēšanai:

ALL:localhost 192.168.100. 10.10.10.5

Ievērojiet, ka nenorādot ceturto adreses grupu un atstājot beigās punktu, nozīmē, ka tiek akceptēti visi datori, kuru adreses sākas ar norādīto adresi. Otra adrese, ir viena konkrēta datora adrese atdalīta ar vienu atstarpi.

Failā /etc/hosts.deny ierakstam, ka visiem pārējiem tiek liegti Linux pakalpojumi:

ALL:ALL

Vairāk par šo failu lietošanu un sintaksi - man hosts.allow un man hosts.deny.

Ierobežot lietotāju loku
Ierobežot tos lietotājus kuri var izmantot Linux pakalpojumus caur login. Ieteicams liegt visiem tādu iespēju, izņemot sistēmas administrātoru, piemēram, peteris. To panāk labojot failu /etc/login.access:

-:ALL EXCEPT peteris:ALL

Šādā gadījumā, sistēmas administrātors vispirms pieslēdzas ar savu lietotāja vārdu peteris un tad ar komandu su pārslēdzas uz root.
Vairāk par šī faila lietošanu un sintaksi - man login.access.

Ierobežot Samba serveri
Ierobežot pašu Samba serveri no datoriem, kuri nav tīklā uz kuru strādā Samba. To panāk, Samba konfigurācijas failā smb.conf, kurš var atrasties /etc/smb.conf vai /etc/samba/smb.conf, ierakstot:


interfaces = eth0
bind interfaces only = Yes
hosts allow = 192.168.100.

Pirmā rindiņa norāda, ka Samba servera dēmonam smbd strādāt tikai uz tīkla karti eth0. Otrā, ka arī nmbd dēmonam strādāt tikai uz tīkla karti eth0. Un trešā rindiņa, nosaka, ka akceptēt tikai tos datorus kuru adreses ir 192.168.100.0/255.255.255.0, gadījumā, ja Jūs dalat vienu tīklu subnetos.