Blindando información de SAMBA

Existen servidores a los cuales mas de una persona tiene acceso, ya sea por ssh o directamente sobre él, probablemente dicho servidor contenga carpetas compartidas por SAMBA, en modo de seguridad “USER”, en donde los funcionarios de la empresa mantienen documentación que la mayoría de las veces es algo delicada. Si existe mas de un operador en el servidor el administrador se está arriesgando a que uno de ellos sea algo curioso y acceda a leer la información de dichos directorios, por ende el objetivo es blindarlo un poco mas.

Al habilitar el modo de seguridad USER en samba se deben crear usuarios en el servidor para tener acceso a ellos, por lo tanto hay que tener presente:

  • Para agregar un usuario hay que hacerlo tanto en el sistema como en samba
  • Cuando se ingresa en forma anónima, el usuario de sistema que escribe datos es normalmente nobody
  • Los directorios deben ser restringidos usando el parametro valid user
  • Al tener claro esto podemos proceder con el afinamiento inicial:

    Luego de tener funcionando SAMBA, crearemos un directorio de almacenamiento general, llamado samba.

    mkdir /home/samba

    Dentro de él estarán contenidos los directorios samba, posteriormente agregaremos un usuario de sistema, que también se llamará samba, pero con prohibición de ingreso.

    useradd -s /usr/sbin/nologin samba

    Posteriormente asignaremos permisos restringidos al directorio que creamos hace un rato, con el fin de limitar el acceso a lo que él contiene

    chmod 770 /home/samba

    Con esto solo doy acceso al usuario samba y al grupo samba a dicho directorio, ningun otro usuario del sistema, salvo root, podrá acceder a él.

    Luego de esto es probable que SAMBA deje de funcionar correctamente debido a que los usuarios samba no tienen acceso a sus directorios.

    Para ello agregamos cada usuario de samba al grupo samba de la siguiente forma

    adduser usuario1 samba
    adduser usuario2 samba
    adduser usuario2 samba

    No hay que olvidar al usuario anonimo nobody

    adduser nobody samba

    Con esto, la estructura de directorios de samba queda blindada a nivel de sistema, por lo que solo los usuarios propios de samba tendrán acceso a ellos.

    NOTA:
    Cada usuario que se agrega a SAMBA en forma posterior también debe ser agregado al grupo samba, de lo contrario el acceso a su directorio no funcionará

    Subscribe
    Notify of
    guest

    Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

    0 Comments
    Inline Feedbacks
    View all comments
    0
    Would love your thoughts, please comment.x
    ()
    x