Existen servidores a los cuales mas de una persona tiene acceso, ya sea por ssh o directamente sobre él, probablemente dicho servidor contenga carpetas compartidas por SAMBA, en modo de seguridad “USER”, en donde los funcionarios de la empresa mantienen documentación que la mayoría de las veces es algo delicada. Si existe mas de un operador en el servidor el administrador se está arriesgando a que uno de ellos sea algo curioso y acceda a leer la información de dichos directorios, por ende el objetivo es blindarlo un poco mas.
Al habilitar el modo de seguridad USER en samba se deben crear usuarios en el servidor para tener acceso a ellos, por lo tanto hay que tener presente:
Al tener claro esto podemos proceder con el afinamiento inicial:
Luego de tener funcionando SAMBA, crearemos un directorio de almacenamiento general, llamado samba.
mkdir /home/samba
Dentro de él estarán contenidos los directorios samba, posteriormente agregaremos un usuario de sistema, que también se llamará samba, pero con prohibición de ingreso.
useradd -s /usr/sbin/nologin samba
Posteriormente asignaremos permisos restringidos al directorio que creamos hace un rato, con el fin de limitar el acceso a lo que él contiene
chmod 770 /home/samba
Con esto solo doy acceso al usuario samba y al grupo samba a dicho directorio, ningun otro usuario del sistema, salvo root, podrá acceder a él.
Luego de esto es probable que SAMBA deje de funcionar correctamente debido a que los usuarios samba no tienen acceso a sus directorios.
Para ello agregamos cada usuario de samba al grupo samba de la siguiente forma
adduser usuario1 samba
adduser usuario2 samba
adduser usuario2 samba
No hay que olvidar al usuario anonimo nobody
adduser nobody samba
Con esto, la estructura de directorios de samba queda blindada a nivel de sistema, por lo que solo los usuarios propios de samba tendrán acceso a ellos.
NOTA:
Cada usuario que se agrega a SAMBA en forma posterior también debe ser agregado al grupo samba, de lo contrario el acceso a su directorio no funcionará