1 / 21

Samba Share security gespiegeld aan Vines mogelijkheden

Samba Share security gespiegeld aan Vines mogelijkheden. Erik Heeren. Onze start met LinSam. Installatie via de kickstart - procedure van PC-labo Bijkomende pakketen (Samba, WebMin,…) werden geïnstalleerd en geconfigureerd. Aanmaken van Samba File Shares. Probleem !.

morton
Download Presentation

Samba Share security gespiegeld aan Vines mogelijkheden

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Samba Share security gespiegeld aan Vines mogelijkheden Erik Heeren

  2. Onze start met LinSam • Installatie via de kickstart - procedure van PC-labo • Bijkomende pakketen (Samba, WebMin,…)werden geïnstalleerd en geconfigureerd. • Aanmaken van Samba File Shares Probleem ! Hoe kan ik ongeveer dezelfde structuur aanbieden als onder Vines ?

  3. Zoektocht • Teksten van Ludit en AIV • Samba en Linux documentatie • Internet • IBM - Linux tutorials • … Dit leverde enkele ideen op, maar eerst meer informatie over wat ik gevonden heb

  4. ‘Linux permission and ownership model’ Voor elk object in een bestands-systeem bestaan er 3 toelatingsniveau’s [root@ls-cib-03 /root]#cd /home [root@ls-cib-03 /home]#ls -l -rwxr-xr-- 1 root CiB 1234 Dec 6 14:00 text.txt Text.txt lezen schrijven execute • is eigendom van root r w x • behoort tot de groep CiB r - x • Others/everyone r - -

  5. Tools om in te grijpen op dit model • chown : enkel ‘owner’ wijzigen • chgrp : enkel ‘group’ wijzigen • chown : ‘owner’ en ‘group’ wijzigen [root@ls-cib-03 /home]#chown u000000# text.txt [root@ls-cib-03 /home]#chgrp CiBsec text.txt [root@ls-cib-03 /home]# ls -l -rwxr-xr-- 1 u000000# CiBsec 1234 Dec 6 14:00 text.txt [root@ls-cib-03 /home]#chown u000000#:CiBsec text.txt [root@ls-cib-03 /home]# ls -l -rwxr-xr-- 1 u000000# CiBsec 1234 Dec 6 14:00 text.txt • chmod : de ‘rwx’-toelatingen wijzigen

  6. chmod: numerieke toelatings syntax Bij dit commando zijn er min. 2 argumenten Mode getal rwx7 rw-6 r-x5 r--4 -wx3 -w-2 --x1 ---0 • Toelatingsmode bestaande uit 3 cijfers (owner, group & other) • bestand of lijst van bestanden [root@ls-cib-03 /home]#chmod 740 text.txt [root@ls-cib-03 /home]#ls -l -rwxr----- 1 u000000# CiBsec ….

  7. chmod: numerieke toelatings syntax Er wordt normaal een toegangsmode verwacht van 4 cijfers !!! suid sgid stiky getal ononon7 ononoff6 onoffon5 onoffoff4 offonon3 offonoff2 offoffon1 offoffoff0 Het eerste cijfer = optelling van 3 speciale bits van het ‘Linux permissionmodel’ chmod 740 text.txt chmod 0740 text.txt

  8. chmod: numerieke toelatings syntax • executable + ‘suid’ bit on : het programma loopt onder de naam van de owner van de file, i.p.v. de persoon die het opstartte. • executable + ‘sgid’ bit on : het programma loopt onder de naam van de group van de file, i.p.v. de persoon die het opstartte. • file + ‘sticky’ bit on : het bestand kan enkel door de file-owner, dir-owner en root hernoemd of verwijderd worden.

  9. Toelatingsniveau’s voor directories Hier wordt gebruik gemaakt van dezelfde letter-kodes, maar met een licht gewijzigde interpretatie r - read de inhoud van de directory kan opgevraagd worden w - write er kunnen bestanden gecreeerd worden in de directory x - execute je kan ‘binnen’ in de directory (cfr. search) sgid bit onelk bestand dat hier gecreeerd wordt, erft de group van deze directory

  10. Opmerking i.v.m. groepen Via LEGUMIS wordt elke gebruiker in een primaire groep geplaatst. Het groep-id nummer komt best overeen met nummer uit de K.U.Leuven organisatie structuur. IBM tutorial Bij sommige systemen wordt bij het aanmaken van een account, automatisch een gelijknamige groep gemaakt (met user-id nummer = groep-id nummer) ‘trusted-user(s)’ toegevoegen aan een groep

  11. Wat heb ik hier uitgehaald • 4 digit octale kode t.o.v. een Windows client • De 3 laatste cijfers Mode rwx rw- r-x r-- -wx -w- --x --- 6 4 2 0 7 5 3 1 0 files directories

  12. Wat heb ik hier uitgehaald • 4 digit octale kode t.o.v. een Windows client • De 3 laatste cijfers • Het 1ste cijfer ‘sgid’-bit gebruiken voor directories (=2) Zo wordt tenminste de groepsnaam al geërfd voor al de bestanden die in deze directory aangemaakt worden • Per gebruiker wordt een groep aangemaakt User-id nummer = groep-id nummer, maar de groepnaam wordt zoals de gepersonaliseerde E-mail adressen U0001907:Erik.Heeren Elke groep bevat de gebruiker zelf + een extra persoon ‘admincib03’

  13. Samba settings Aanpassen via : - WebMin- SWAT- edit van smb.conf bestand Global Settings : - Algemeen: Netbios name, workgroup, ... - default settings voor nieuwe printers - default settings voor nieuwe shares create mask = 0640 security mask = 0640 directory mask = 2750 directory security mask = 2750

  14. Aanmaken Samba Share We wensen als eigenschap voor DataP : • Enkel toegang voor personeel van de afdeling • 1 directory per gebruiker elke gebruiker kan lezen en schrijven in zijn directory • 1 directory per project enkel gebruikers die werken aan dit project kunnen lezen en schrijven in deze directory • 1 directory ‘work’ alle gebruikers kunnen lezen en schrijven in deze directory

  15. Aanmaken v/d dir [DataP] mkdir /home/DataP chown root:CiB /home/DataP ls -l /home drwxr-s--- 2 root CiB 34 Dec 6 14:00 DataP De groep ‘CiB’ bevat al het personeel van het Centrum voor Industrieel Beleid

  16. Samba-folder voor DataP Share comment = Personal Data Disc path = /home/DataP volume = P Disc valid users = +CiB read only = No browsable = No create mask =0660 force create mask =0660 security mask =0660 force security mask =0660 directory mask =2770 force directory mask =2770 directory security mask =2770 force directory security mask =2770

  17. Samba-folder voor DataP Share • valid users = +CiB • enkel toegang voor deze groep • ‘+’ = enkel kijken in de Linux groepen • read only = No • schrijven op de share is toegelaten • browsable = No • structuur niet zichtbaar in Network Neighborhood Opmerking:de ‘others/everyone’-groep van het ‘permission model’ kan nooit groter zijn dan de groep die we toegang hebben gegeven (CiB)

  18. Samba-folder voor DataP Share • file masks =0660 • owners : lees en schrijf rechten • group : lees en schrijf rechten • others : geen rechten • directory masks =2770 • owners : kan binnen, inhoud opvragen en bestanden wegschrijven • group : kan binnen, inhoud opvragen en bestanden wegschrijven • others : kan niet binnen en geen rechten • sgid (2) : groeps automatisch wordt geerfd

  19. cd /home/DataP mkdir EH mkdir ABC mkdir work chown u0001907:Erik.Heeren EH chown admincib03:project-ABC ABC chown admincib03:CiB work chmod 2770 EH chmod 2770 ABC chmod 2770 work ls -l drwxrws--- 1 u0001907 Erik.Heeren 34 Dec 6 14:00 EH drwxrws--- 1 admincib03 project-ABC 34 Dec 6 14:00 ABC drwxrws--- 1 admincib03 CiB 34 Dec 6 14:00 work

  20. valid users : +CiB group : gedefinieerde groepen others : GEEN rechten valid users : +CiBatp, +CiBzap group : gedefinieerde groepen others : LEES rechten

  21. valid users : +CiB group : gedefinieerde groepen others : GEEN rechten valid users : +CiB group : voor elke dir ‘CiBsec’ others : ALLE rechten !!!, Maar …

More Related