Existem dois níveis de segurança disponíveis para o protocolo de rede CIFS - Common Internet File system, user-level e share-level. A implementação security mode do Samba permite mais flexibilidade, oferecendo quatro maneiras de implementar segurança em nível de usuário e uma maneira de implementar nível de compartilhamento:
• security = user: requer que os clientes forneçam usuário e senha para conectar aos compartilhamentos. Contas de usuário do Samba são separadas das contas do sistema, mas o pacote libpam-smbpass irá sincronizar os usuários e senhas do sistema com o banco de dados de usuários do Samba.
• security = domain: este modo permite que o servidor Samba apareça para os clientes Windows como um Primary Domain Controller (PDC), Backup Domain Controller (BDC), ou um Domain Member Server (DMS).
• security = ADS: permite que o servidor Samba seja adicionado a um domínio do Active Directory como um membro nativo.
• security = server: este modo foi deixado de lado desde antes do Samba poder se tornar um servidor membro, e devido a algumas questões relacionadas a segurança não deve ser utilizado.
• security = share: permite que clientes se conectem a compartilhamentos sem informar um usuário e senha.
O modo de segurança que você optar irá depender de seu ambiente e do papel que o servidor Samba irá cumprir.
Security = User
Vamos reconfigurar o servidor de arquivos e impressão Samba, a partir de “Servidor de arquivos samba” e “Servidor de Impressão Samba”, para requerer autenticação.
Primeiro, instale o pacote libpam-smbpass que irá sincronizar os usuáriuos do sistema com os usuários do banco de dados do Samba:
sudo apt-get install libpam-smbpass
Se você escolheu a tarefa do Servidor Samba durante a instalação, o pacote libpam-smbpass já está instalado.
Edite /etc/samba/smb.conf, e na seção [share] mude:
guest ok = no
Finalmente, reinicialize o Samba para que as novas configurações entrem em efeito:
sudo /etc/init.d/samba restart
Agora quando estiver conectando aos diretórios ou impressoras compartilhados serão pedidos usuário e senha.
Se você optar por mapear um drive de rede sobre o compartilhamento você pode marcar o checkbox “Reconectar ao efetuar Logon”, que irá pedir para você digitar usuário e senha uma só vez, pelo menos até que a senha mude.
Segurança do Compartilhamento
Existem diversas opções disponíveis para aumentar a segurança para cada diretório compartilhado. Usanso o exemplo [share], esta seção irá abordar algumas opções comuns.
Grupos
Os grupos definem uma relação de computadores ou usuários que têm um nível comum de acesso a recursos particulares da rede e oferece um nível detalhado para controlador o acesso a tais recursos. Por exemplo, se o grupo qa contem os usuários freda, danika e rob e um segundo grupos support contem os seguintes usuários danika, jeremy e vincent em seguida, certos recursos da rede podem ser configurados para que o grupo qa seja acessível por freda, danika e rob, mas não por jeremy ou vincent. Desde que o usuário danika pertença a ambos os grupos qa e support, ela será capaz de acessar recursos de ambos os grupos, ao passo que todos os outros usuários terão acesso a recursos explicitamente permitidos ao grupo de que fazem parte.Por padrão o Samba procura por grupos locais do sistema definidos em /etc/group para determinar quais usuários pertencem a quais grupos. Para mais informações sobre como adicionar e remover usuários de grupos.Quando estiver definindo grupos no arquivo de configuração do Samba, /etc/samba/smb.conf, a sintaxe reconhecida é para preceder o nome do grupo com um símbolo de "@". Por exemplo, se você quiser definir um grupo chamado sysadmin em uma certa seção do arquivo /etc/samba/smb.conf, você deverá fazê-lo digitando o nome do grupo como @sysadmin.
Permissões de Arquivo
As Permissões de Arquivos definem direitos específicos que um computador ou usuário possui em determinado diretório, arquivo ou conjunto de arquivos. Tais permissões devem ser definidas editando o arquivo /etc/samba/smb.conf e especificando as permissões explícitas de um compartilhamento.
Por exemplo, se você definiu um compartilhamento Samba chamado share e deseja dar permissões read-only para um grupo de usuários chamado de qualidade, mas gostaria de permitir escrita para o compartilhamento pelo grupo chamado sysadmins e o usuário vicente, então você pode editar o arquivo /etc/samba/smb.confe adicionar as seguintes entradas sob o compartilhamento [share]:
read list = @qualidadewrite list = @sysadmins, vicente
Outra possível permissão do Samba é declarar permissões administrativas para um determinado recurso compartilhado. Usuários que possuem permissões administrativas podem ler, escrever ou modificar qualquer informação contida no recurso em que as permissões foram concedidas ao usuário.
Por exemplo, se você quer dar permissões administrativas à usuária melissa ao compartilhamento de exemplo share, você deve editar o arquivo /etc/samba/smb.conf, e adicionad a seguinte linha abaixo da entrada [share]:
admin users = melissa
Após editar /etc/samba/smb.conf, reinicialize o Samba para que as alterações tenham efeito:
sudo /etc/init.d/samba restart
Para que as opções read list e write list funcionem, o modo de segurança do Samba não pode estar definido como security = share
Agora que o Samba foi configurado para limitar quais grupos possuem acesso ao diretório compartilhado, as permissões do sistema de arquivos devem ser atualizadas.
As permissões de arquivo tradicionais Linux não mapeiam bem com as ACLs (Listas de Controle de Acesso) do Windows NT. Por sorte as ACLs POSIX ACLs estão disponíveis nos servidores Ubuntu provendo controle de acesso mais refinado.
Por exemplo, para habilitar ACLs em um sistema de arquivos EXT3 /srv, edite /etc/fstab adicionando a opção acl:
UUID=66bcdd2e-8861-4fb0-b7e4-e61c569fe17d /srv ext3 noatime,relatime,acl 0 1
Então remonte a partição:
sudo mount -v -o remount /srv
O exemplo abaixo assume que /srv esteja em uma partição separada. Se /srv, ou o que quer que seja que você tenha configurado como caminho para seu compartilhamento fizer parte da partição / um reboot pode ser necessário.
Para realizar a configuração do Samba a seguir, serão dadas as permissões de ler, escrever e executar ao grupo sysadmins para /srv/samba/share, ao grupo qualidade serão dadas permissões de ler e executar, e os arquivos serão de propriedade da usuária melissa. Digite o seguinte em um terminal:
sudo chown -R melissa /srv/samba/share/
sudo chgrp -R sysadmins /srv/samba/share/
sudo setfacl -R -m g:qa:rx /srv/samba/share/
O comando setfacl abaixo dá permissões de execução para todos os arquivos no diretório /srv/samba/share, que você pode ou não querer.
Agora de um cliente Windows client você deve notar que as permissões estão implementadas. Veja as páginas de manual acl e setfacl para mais informações sobre as ACLs POSIX.
Perfil Samba AppArmor
O Ubuntu vem com o módulo de segurança AppArmor, que fornece controles de acesso obrigatórios. O perfil padrão do AppArmor para o Samba precisa ser adaptado às suas configurações.
Existem perfis padrão do AppArmor para /usr/sbin/smbd e /usr/sbin/nmbd, os binários do daemon the Samba, que são parte do pacote apparmor-profiles. Para instalar o pacote, digite a partir de um terminal:
sudo apt-get install apparmor-profiles
Este pacote contém perfis para diversos outros binários.
Por padrão para os perfis smbd e nmbd estão em queixar de modo que permita o Samba trabalhar sem modificar o perfil e apenas registrando erros. Para colocar o perfil smbd dentro do modo valer, o Samba terá que funcionar como esperado, o perfil terá de ser modificado para refletir em quaisquer diretórios que serão compartilhados.
Editar /etc/apparmor.d/usr.sbin.smbd adicionando informações para [share] a partir do servidor de arquivos, exemplo:
/srv/samba/share/ r,
/srv/samba/share/** rwkix,
Agora coloque o perfil em valer e recarregue-o:
sudo aa-enforce /usr/sbin/smbd
cat /etc/apparmor.d/usr.sbin.smbd | sudo apparmor_parser -r
Você agora deve ser capaz de ler, escrever e executar arquivos no diretório compartilhado como normais, e o smbd binário terá acesso somente aos arquivos e diretórios configurados. Certifique-se de adicionar entradas para cada diretório que você configurar no Samba para compartilhar. Além disso, todos os erros serão registrados para /var/log/syslog.
Fonte
