Esse artigo tem por objetivo mostrar como implementar um servidor de arquivos compartilhados seguro usando Linux + Samba. Assim como eu, muitos administradores trabalham em redes mistas (Windows e Linux). Então mãos a obra!
Primeiro criaremos os usuários e senhas para que o acesso fique mais seguro. No prompt de comando digite:
# adduser --disabled-login --no-create-home teste
Assim criamos uma espécie de usuário fantasma que existe e pode acessar arquivos do sistema (de acordo com as permissões de acesso), mas que, por outro lado, não pode fazer login (nem localmente, nem remotamente via SSH), nem possui diretório home.
Cadastrando o usuário criado no Samba:
# smbpasswd -a teste
Feito isso nosso sistema já está apto para receber conexões autenticadas.
Para garantir que tudo as configurações sejam aplicadas reiniciaremos o serviço do Samba:
# /etc/init.d.samba restart
Configurando permissão na pasta de acesso
Agora que já adicionamos o usuário teste, setaremos as permissões necessárias para que este usuário possa incluir, excluir e modificar o conteúdo da pasta.
# chmod 777 /home/software
Obs.: As permissões podem e devem variar de acordo com a necessidade específica de cada caso. Para fins didáticos e primeiro acesso à pasta configurei permissão total para o usuário teste.
[1] Comentário enviado por fabio em 14/01/2010 - 16:44h
Gostei do trabalho! A única observação que faço é sobre o shell script no final. Ao invés de deletar os arquivos, seria uma boa movê-los para um diretório de quarentena. Digo isso porque, como programador, trabalho muito com arquivos .js (leia-se java script). Se algum dia teu script apagar o .js de algum webdesigner da empresa os caras vão querer te matar por aí! :)
[2] Comentário enviado por silent-man em 14/01/2010 - 17:22h
O Artigo está muito bom, bem prático e direto. Parabéns!
Eu só acho que deveria ser pesquisada alguma ferramenta que automatizasse a coisa. Como?
Sempre que eu quiser adicionar/remover um diretório compartilhado ou a ser compartilhado temos que ir ao Samba(smb.conf) adicionar os valores(diretório, permissões, etc...).
No R(u)windows Temos por exemplo o "File Server Resource". Com essa ferramenta é muito prático fazer esses ajustes. Claro que para nós (jedi's) que gostamos de digitar(shell) não há problema, penso apenas no caso de alguém que queira adicionar uma pasta a ser compartilhada e não tenha estes conhecimentos a coisa complica.
O seu script está bom também. Só acho que se ele deleta sempre as mesma extensões, por que não fazer algo mais rápido? Tipo ele buscar as extensões em todos os subdiretórios de /home e dai removê-los, movê-los, etc...
Veja bem, isso não é uma crítica. Estou apenas colocando meu ponto de vista de como a coisa pode crescer ou ficar melhor ainda.
[4] Comentário enviado por mcfmlt em 14/01/2010 - 20:51h
Prezados Amigos!
Agradeço muito os comentários e dicas!
Porém esse arquivo deleta_virus.sh já foi criado levando em consideração as dicas de vocês.
Como no exemplo acima citado não possuia por exemplo o pessoal de Webdesign é simples para resolver tal dificuldade.
Como vocês podem perceber utilizei funções em meu script então para nao deletarmos os arquivos em .js (javascript) fiaramos da seguinte maneira.
Adicionariamos uma função específica para a pasta Webdesign.
Notem que nesse função a extensão *.js não esta presente.
Assim o script será executado e não ira deletar os arquivos com a extensao .js na pasta webdesign.
Logo após apenas para teste, crie alquns arquivos nessa pasta com as extensões acima!
touch teste.exe teste.cmd teste.bat teste.pif e etc...
Em seguida execute esse shellscript que criamos # ./deleta_virus.sh
Em seguida verifique se os arquivos criados com as seguintes extensões foram deletados! Se sim
agora é só agendar no crontab para disparar esse script de acordo com a sua necessidade...
Espero ter ajudado...
Atenciosamente Milton Caetano Filho.
[10] Comentário enviado por konqueror em 26/01/2010 - 21:29h
Milton Caetano Filho este artigo foi de grande valia para mim,fiz como descrito no artigo e funcionou perfeitamente.
Embora eu não esteja numa rede corporativa e sim doméstica(minha casa) :-(.
Porem gostei muito do artigo pois ajudou bastante um iniciante como eu no maravilhoso mundo GNU/Linux,seu artigo esta muito bem escrito.
Parabéns e muito obrigado
[11] Comentário enviado por israel_super em 11/02/2010 - 23:50h
Ola pessoal
eu fiz um server em laboratorio para um cliente. ele era samba dominio com squid e iptables, squid autenticado autenticando com usuarios do dominio samba.
ate ai tudo certo
faixa de ip da wan 192.167.1.1/24
faixa rede 192.168.1 254/24
em laboratorio tava perfeito
mas cheguei no cliente, eu nao pude deixar a rede dele com as faixas de ip que eu tinha feito em lab.
pois na rede ele tem umas maquinas CNC q se comunicam por ip fixo com os pc e pra mudar ip das maquinas é froid
a rede la era 10.0.1.1
modem ligado direto no hub
mask 255.0.0.0
entao tive q mudar os ips do servidor
deixei a wan com 192.167.1.1/24 e lan eu coloquei 10.0.1.1/8
reconfigurei o DHCPD, Alterei o ip no IPtables, Squid, Sarg e httpd
o squid nao queria mais autenticar no samba
depois de horas pequisando achei o problema
tem q excluir o arquivo wins.dat e restartar o samba
dai autentica perfeito
porem agora as maquinas nao ingressam no dominio
ele pede o user e a senha do adm
mas fica pensando e da o erro que o usuario e senha nao foi encontrado
tipo parece que o usuario nao faz parte do adm do samba
meu samba é 3.4 e tava perfeito em laboratorio, ate tinha conseguido ingressar win7 nele.
[14] Comentário enviado por removido em 14/11/2010 - 22:53h
Olá, amigo!
Obrigado pelo artigo!
Muito bom!
Queria pedir uma ajuda pois não consegui utilizar o script com sucesso e o Windows XP não mapeia a unidade.
Pode ajudar???
Gostaria de saber se é possível utilizar essas configurações para usar o smbclient apenas para compartilhar pastas e arquivos entre grupos e usuários Windows XP sem usar bind, etc.
[15] Comentário enviado por infoguaratiba em 06/08/2011 - 21:46h
Olá
Gostei muito do Tópico segui direitinho a risca pois estou começando a usar alguns recursos do Linux. Seguinte notei que quando envio 1 arquivo solto, fora da pasta deleta na hora, jogando dezenas dentro de uma pasta não deleta os arquivos com o script, como seria para ele fazer isso?
abraços
[17] Comentário enviado por luiz64 em 02/01/2013 - 21:51h
Meu amigo muito bom o artigo.
Estou precisando de algumas dicas para implementar um servidor de arquivos na minha empresa.
Cenário da Rede
Um servidor principal ( debian 6.0 ) que faz o papel de autenticar os usuários na REDE;
várias estações de trabalhos ( Linux ( Ubuntun) e estações com windows xp;
Preciso de configurar um servidor de arquivos de preferência em separado do servidor de autenticação para que as estações linux e windows possam acessar as pastas compartilhadas .
[20] Comentário enviado por erison em 31/12/2013 - 10:05h
bom dia, sou programador web, e estou me obrigando a aprender linux, e vou montar um servidor debian para desenvolvimento.
aprendi bastante com suas dicas, mais neste ultimo script que você postou, para deletar arquivos , entre eles tem .exe e pensei, mais as vezes preciso deixar armazenados alguns programas para não ficar baixando sempre, mais de boa vou deixar todos os programas zipados(acho que essa e a melhor forma, se tiver uma outra me indica).
muito grato em estar compartilhando seu conhecimento, como outros membros do fórum.
[21] Comentário enviado por mcfmlt em 27/09/2014 - 15:55h
Pessoal agradeço o contato e agradecimentos de vocês, peço desculpa pela ausência.
Na correria do dia a dia nem sempre é possível atender à todos de maneira satisfatória.
Porém sempre que possível procuro ajudar!
Como alguns amigos citaram acima é possível sim utilizar a opção do veto files, nativa do próprio samba.
Segue as linhas à serem inseridas e ou comentadas:
#Define quais extensões vão ser vetadas, ou seja não poderão ser gravadas.
# veto files = /*.mp3/*.wav/*.tif/*.pif/*.mpg/*.mpeg/*.jpg/*.bmp
#
#Define se o usuario pode ou nao apagar os arquivos vetados.
# delete veto files = yes
#
Nas considerações finais do artigo, está descrito que existem várias maneiras de se fazer os mesmos procedimentos.
Porém em particular, optei pela utilização do script onde o mesmo através de funções bloqueia as pastas destinadas a cada departamento de acordo com a realidade e suas peculiaridades ao passo que o veto files por padrão bloqueia tudo sem restrições.
Usando e editando as funções do script conseguimos uma variedade de controle maior, levando em considerações a ambiente no qual o mesmo estava rodando. Porém para outros ambientes isso pode ser uma negativa, ai cabe o admin avaliar qual a melhor solução.