samba create mask что это

Серверы Linux. Часть VI. Знакомство с сервером Samba

Оригинал: Samba securing shares
Автор: Paul Cobbaut
Дата публикации: 24 мая 2015 г.
Перевод: A.Панин
Дата перевода: 14 июля 2015 г.

Глава 15. Ограничение доступа к разделяемым с помощью сервера Samba ресурсам

15.1. Механизм ограничения доступа на основе имен пользователей

15.1.1. Список пользователей, которым разрешен доступ к разделяемому ресурсу (valid users)

15.1.2. Список пользователей, которым запрещен доступ к разделяемому ресурсу (invalid users)

Если же вы страдаете паранойей, вы можете использовать директиву invalid users для явного ограничения доступа к разделяемому ресурсу некоторых пользователей. В том случае, если имя пользователя находится в двух списках, пользователь не будет иметь доступа к разделяемому ресурсу!

15.1.3. Список пользователей, которым разрешен доступ к разделяемому ресурсу только для чтения (read list)

При создании разделяемого ресурса с доступом для чтения и записи вы можете установить круг пользователей, которые получат доступ к данному ресурсу только для чтения, с помощью параметра read list файла конфигурации.

15.1.4. Список пользователей, которым разрешен доступ к разделяемому ресурсу для чтения и записи (write list)

Даже при создании разделяемого ресурса с доступом только для чтения вы можете установить круг пользователей, которые смогут осуществлять запись данных. Для этого может использоваться параметр write list файла конфигурации.

15.2. Механизм ограничения доступа на основе IP-адресов пользователей

15.2.1. Список IP-адресов узлов, с которых разрешен доступ к разделяемому ресурсу (hosts allow)

Параметр hosts allow или allow hosts является одним из наиболее полезных параметров файла конфигурации сервера Samba. Он позволяет осуществлять разграничение доступа к разделяемым ресурсам на уровне IP-адресов. Для того, чтобы разрешить доступ к разделяемому ресурсу лишь с определенных узлов, следует создать список IP-адресов этих узлов, разделив IP-адреса с помощью символа запятой.

Для разрешения доступа к разделяемому ресурсу со всех узлов из определенной подсети следует заканчивать запись IP-адреса подсети символом точки.

Маски подсетей могут добавляться классическим способом.

Кроме того, вы можете разрешить доступ к разделяемому ресурсу со всех узлов из подсети с исключениями.

15.2.2. Список IP-адресов узлов, с которых запрещен доступ к разделяемому ресурсу (hosts deny)

Параметр файла конфигурации hosts deny или deny hosts является логической противоположностью предыдущего рассмотренного параметра. Его синтаксис полностью аналогичен синтаксису параметра hosts allow.

15.3. Безопасность через сокрытие информации

15.3.1. Сокрытие нечитаемых файлов (hide unreadable)

Установка значения yes параметра hide unreadable позволяет скрыть от пользователей файлы, содержимое которых они не могут прочитать.

15.3.2. Сокрытие разделяемых ресурсов (browsable)

Использование директивы browseable = no позволяет скрыть разделяемые ресурсы, которые ранее отображались в меню «Мое сетевое окружение». При этом данная директива не позволяет предотвратить доступ клиента к разделяемому ресурсу (в том случае, если имя разделяемого ресурса известно).

15.4. Механизм ограничения доступа на основе прав доступа файловой системы

15.4.1. Маска прав доступа для создаваемых файлов и директорий (create mask)

Вы можете использовать параметры create mask и directory mask для установки максимально возможных прав доступа для создаваемых файлов и директорий соответственно. После установки маски по отношению к установленному значению прав доступа к файлу будет применяться побитовая операция «И» (которая позволяет ограничивать права доступа в соответствии с заданной маской).

15.4.2. Минимальные права доступа для создаваемых файлов и директорий (force create mask)

Параметры для указания минимальных прав доступа для создаваемых файлов и директорий очень похожи на параметр create mask, но принципиально отличаются от него. В то время, как для применения описанной выше маски прав доступа используется побитовая операция «И», для применения минимальных прав доступа используется побитовая операция «ИЛИ» (позволяющая расширять права доступа). Вы можете использовать параметры force create mode и force directory mode для установки минимальных прав доступа для создаваемых файлов и директорий.

15.4.3. Маска прав доступа для существующих файлов и директорий (security mask)

15.4.4. Минимальные права доступа для существующих файлов и директорий (force security mode)

15.4.5. Наследование прав доступа (inherit permissions)

С помощью директивы inherit permissions = yes вы можете активировать механизм наследования прав доступа для создаваемых файлов и директорий от их корневой директории, причем в этом случае будут полностью игнорироваться заданные маски прав доступа для создаваемых файлов и директорий.

15.5. Практическое задание: ограничение доступа к разделяемым с помощью сервера Samba ресурсам

1. Создайте разделяемую директорию с доступом для чтения и записи с именем sales и разделяемую директорию с доступом только для чтения с именем budget. Проверьте их работоспособность.

2. Разрешите доступ к разделяемой директории sales пользователям с именами ann, sandra и veronique.

3. Убедитесь в том, что пользователь с именем roberto не имеет доступа к разделяемой директории share.

4. Несмотря на то, что разделяемая директория sales доступна для чтения и записи, пользователь с именем ann должен иметь доступ к данной директории только для чтения.

5. Несмотря на то, что разделяемая директория budget доступна только для чтения, пользователь с именем sandra должен также иметь доступ к данной директории для записи.

7. Убедитесь в том, что компьютер с IP-адресом 192.168.1.230 не имеет доступа к разделяемой директории с именем budget.

8. Убедитесь в том, что пользователи могут видеть лишь те файлы и директории из разделяемой директории с именем budget, к которым они имеют доступ.

9. Убедитесь в том, что разделяемая директория с именем sales не отображается при просмотре списка доступных ресурсов сети.

10. Все файлы, создаваемые в разделяемой директории с именем sales, должны иметь права доступа 640 или боле ограниченные.

11. Все директории, создаваемые в разделяемой директории с именем budget, должны иметь права доступа 750 или более расширенные.

12. Права доступа к файлам из разделяемой директории sales после их изменения не должны быть более расширенными, чем 640.

13. Права доступа к файлам из разделяемой директории с именем budget после их изменения не должны быть более ограниченными, чем 500.

14. Если позволяет время (или вы ожидаете завершения выполнения данного практического задания другими студентами), попытайтесь скомбинировать директивы «read only» и «writable», чтобы выяснить, какая из этих директив имеет приоритет.

15. Если позволяет время, попытайтесь скомбинировать директивы «read list», «write list», «hosts allow» и «host deny». Какие из этих директив имеют приоритет?

15.6. Корректная процедура выполнения практического задания: ограничение доступа к разделяемым с помощью сервера Samba ресурсам

1. Создайте разделяемую директорию с доступом для чтения и записи с именем sales и разделяемую директорию с доступом только для чтения с именем budget. Проверьте их работоспособность.

Корректная процедура выполнения данного задания была описана в предыдущих главах.

2. Разрешите доступ к разделяемой директории sales пользователям с именами ann, sandra и veronique.

3. Убедитесь в том, что пользователь с именем roberto не имеет доступа к разделяемой директории share.

4. Несмотря на то, что разделяемая директория sales доступна для чтения и записи, пользователь с именем ann должен иметь доступ к данной директории только для чтения.

5. Несмотря на то, что разделяемая директория budget доступна только для чтения, пользователь с именем sandra должен также иметь доступ к данной директории для записи.

7. Убедитесь в том, что компьютер с IP-адресом 192.168.1.230 не имеет доступа к разделяемой директории с именем budget.

8. Убедитесь в том, что пользователи могут видеть лишь те файлы и директории из разделяемой директории с именем budget, к которым они имеют доступ.

9. Убедитесь в том, что разделяемая директория с именем sales не отображается при просмотре списка доступных ресурсов сети.

10. Все файлы, создаваемые в разделяемой директории с именем sales, должны иметь права доступа 640 или боле ограниченные.

11. Все директории, создаваемые в разделяемой директории с именем budget, должны иметь права доступа 750 или более расширенные.

12. Права доступа к файлам из разделяемой директории sales после их изменения не должны быть более расширенными, чем 640.

13. Права доступа к файлам из разделяемой директории с именем budget после их изменения не должны быть более ограниченными, чем 500.

14. Если позволяет время (или вы ожидаете завершения выполнения данного практического задания другими студентами), попытайтесь скомбинировать директивы «read only» и «writable», чтобы выяснить, какая из этих директив имеет приоритет.

15. Если позволяет время, попытайтесь скомбинировать директивы «read list», «write list», «hosts allow» и «host deny». Какие из этих директив имеют приоритет?

Источник