Configurando SAMBA - Servidor arquivos

cornbugs
(usa Debian)

Enviado em 10/10/2013 - 10:45h

Bom dia,

Estou a mais de 10 anos sem usar o linux, portanto estou tento uma dificuldade em fazer uma tarefa que a 10 anos atrás seria simples para mim. Vamos lá.

Preciso criar as divisões na minha empresa (juridico,financeiro,mkt etc) ou seja vou criar uma pasta [EMPRESA], e uma pasta [TRABALHO], onde estarão os projetos desta empresa. Minha dúvida é como fazer o SAMBA não listar por exemplo a pasta [EMPRESA] para usuários que só terão acesso a pasta [TRABALHO]. Ou até mesmo um usuário que realize UM trabalho especifico não enxergue os outros trabalhos... fiz um SMB aqui, digam o que pode ser melhorado.

No pequeno exemplo abaixo, não gostaria que o usuário pedrojosé enxergasse as pastas empresa e trabalho, mesmo ele tendo acesso a uma pasta dentro de empresa.

Qualquer outro erro me corrijam por favor, estou a muito tempo afastado dessa área de redes.

[global]

  workgroup = Empresa

  server string = Samba Server

  netbios name = Minha empresa 

  security = user

  keepalive = 300

  hosts allow = 196.165.42.100/10 

  encrypt password = yes

  smb passwd file = /etc/samba/smbpasswd

  socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192

  



[empresa]

 comment = empresa

 path = /home/administrador/minhaempresa/empresa

 writable = no

 valid users = @administrador



[trabalho]

 comment = trabalho

 path = /home/administrador/minhaemrpesa/trabalho

 writable = no

 valid users = @administrador



[saudevida]

 comment = saudevida

 path = /home/administrador/minhaempresa/trabalho/s/saudevida

 writable = yes

 valid users = @pedrojose

 

 

AGRADEÇO QUALQUER FORMA DE AJUDA! ABRAÇO!

ricardo cardoso
(usa Debian)

Enviado em 10/10/2013 - 11:14h

Explica isso melhor ae. Porque listar o usuário vai conseguir, porém não vai conseguir acessar se tiver restrito por senha.

Esse script aí em baixo é rum resumo do que eu uso na empresa onde trabalho.

[global]



#Abaixo vai o nome do grupo de trabalho

        workgroup = nome da minha empresa



#Nome de netbios

        netbios name = linux-3puc



#Libera o compartilhamento [off=user] [on=share]

        security = share

        hosts allow = ALL

        encrypt passwords = yes



#Nome do servidor

        server string = Servidor Samba



#Gerar log de acessos

       log file = /var/log/samba/%m.log

       max log size = 50



#Habilitar ou nΓ£o senha para acesso [sem senha=yes] [com senha=no]

        guest ok = yes



#Permitindo que mΓ΅quinas Linux enxerguem compartilhamentos em mΓ΅quinas Windows

        name resolve order = lmhosts wins bcast host

        #wins support = yes

        domain master = no

        domain logon = no

        preferred master = no



# Bloqueia a gravaηγo de arquivos por extensγo

     #veto files = /*.mp3/*.com/*.scr/*.pif/*.bat/*.wma/*.avi/   *.mpg/*.flv /*.{*}



####### Compartilhamento de diretΓ³rios #######



[administração]



#Nome do compartilhamento

	comment = diretorio para teste

#Caminho do compartilhamento

	path = /media/Departamentos/Administração

#Disponibilidade

	available = yes

	browseable = yes

#Habilitar ou nΓ£o senha para acesso [sem senha=yes] [com senha=no]

	guest ok = no

#Tipo de acesso

	public = no

#Metodos de acesso

	read only = no

	writeable = yes

 #Setar permissΓµes

	create mask = 0777

     valid users = adm ti



##############################################################



[almoxarifado]



#Nome do compartilhamento

	comment = diretorio para teste

#Caminho do compartilhamento

	path = /media/Departamentos/Almoxarifado

#Disponibilidade

	available = yes

	browseable = yes

#Habilitar ou nΓ£o senha para acesso [sem senha=yes] [com senha=no]

	guest ok = no

#Tipo de acesso

	public = no

#Metodos de acesso

	read only = no

	writeable = yes

 #Setar permissΓµes

	create mask = 0777

     valid users = almox ti



##############################################################

 

Então como falei acima, os diretórios estão restritos aos funcionários de cada departamento e protegidos por senha que a pessoa tem que digitar para acessar.

Agora o usuário do departamento X consegue por exemplo ver toda a estrutura de diretórios raiz do servidor, tipo:

o usuário da Administração, consegue mapear o endereço do servidor pelo IP e listar os ver os diretórios raiz almoxarifado, financeiro... se ele der um clique no diretório financeiro para abrir e ver o conteúdo vai pedir a senha e como a senha dele não tem permissão para acessar ele não consegue. Não sei se consegui explicar para vc ter uma idéia.

cornbugs
(usa Debian)

Enviado em 10/10/2013 - 11:22h

Poisé ricardo, ele não terá acesso, mas vai saber que existem estas pastas, e como eu sempre trabalho pensando em segurança, e melhor não dar nenhuma brecha, um usuário mal intencionado ao saber que existe um diretório X de seu interesse, vai acabar ficando "curioso" pelo que tem ali. Na minha opinião, não deixar que esse usuário saiba da existência desse diretório é mais seguro, mesmo que esse diretório possua senha. Mesmo porque qualquer senha é vulnerável.

Obrigado.

danniel-lara
(usa Fedora)

Enviado em 10/10/2013 - 11:23h

tu poderia dividir por grupos

ricardo cardoso
(usa Debian)

Enviado em 10/10/2013 - 11:24h

Explica isso melhor ae. Porque listar o usuário vai conseguir, porém não vai conseguir acessar se tiver restrito por senha.

Esse script aí em baixo é rum resumo do que eu uso na empresa onde trabalho.

[global]



#Abaixo vai o nome do grupo de trabalho

        workgroup = nome da minha empresa



#Nome de netbios

        netbios name = linux-3puc



#Libera o compartilhamento [off=user] [on=share]

        security = share

        hosts allow = ALL

        encrypt passwords = yes



#Nome do servidor

        server string = Servidor Samba



#Gerar log de acessos

       log file = /var/log/samba/%m.log

       max log size = 50



#Habilitar ou nΓ£o senha para acesso [sem senha=yes] [com senha=no]

        guest ok = yes



#Permitindo que mΓ΅quinas Linux enxerguem compartilhamentos em mΓ΅quinas Windows

        name resolve order = lmhosts wins bcast host

        #wins support = yes

        domain master = no

        domain logon = no

        preferred master = no



# Bloqueia a gravaηγo de arquivos por extensγo

     #veto files = /*.mp3/*.com/*.scr/*.pif/*.bat/*.wma/*.avi/   *.mpg/*.flv /*.{*}



####### Compartilhamento de diretΓ³rios #######



[administração]



#Nome do compartilhamento

	comment = diretorio para teste

#Caminho do compartilhamento

	path = /media/Departamentos/Administração

#Disponibilidade

	available = yes

	browseable = yes

#Habilitar ou nΓ£o senha para acesso [sem senha=yes] [com senha=no]

	guest ok = no

#Tipo de acesso

	public = no

#Metodos de acesso

	read only = no

	writeable = yes

 #Setar permissΓµes

	create mask = 0777

     valid users = adm ti



##############################################################



[almoxarifado]



#Nome do compartilhamento

	comment = diretorio para teste

#Caminho do compartilhamento

	path = /media/Departamentos/Almoxarifado

#Disponibilidade

	available = yes

	browseable = yes

#Habilitar ou nΓ£o senha para acesso [sem senha=yes] [com senha=no]

	guest ok = no

#Tipo de acesso

	public = no

#Metodos de acesso

	read only = no

	writeable = yes

 #Setar permissΓµes

	create mask = 0777

     valid users = almox ti



##############################################################

 

Então como falei acima, os diretórios estão restritos aos funcionários de cada departamento e protegidos por senha que a pessoa tem que digitar para acessar.

Agora o usuário do departamento X consegue por exemplo ver toda a estrutura de diretórios raiz do servidor, tipo:

o usuário da Administração, consegue mapear o endereço do servidor pelo IP e listar os ver os diretórios raiz almoxarifado, financeiro... se ele der um clique no diretório financeiro para abrir e ver o conteúdo vai pedir a senha e como a senha dele não tem permissão para acessar ele não consegue. Não sei se consegui explicar para vc ter uma idéia.

ricardo cardoso
(usa Debian)

Enviado em 10/10/2013 - 11:30h

Tipo assim; nas máquinas cliente fica mapeado o diretório do respectivo departamento e não todos. Agora se o cara mapear o IP do servidor consegue ver o primeiro diretório de cada departamento, mas não tem acesso.

Agora uma forma que vc pode fazer mas no nosso caso não foi possível, é mudar o hosts allow e indicar o ip de cada máquina para cada um dos diretórios.

Igual nosso amigo aqui falou você pode separar por grupos e indicar os hosts que pode ter acesso a cada diretório colando um hosts allow em cada compartilhamento.

ricardo cardoso
(usa Debian)

Enviado em 10/10/2013 - 11:37h

Ví isso aqui na net: valid users = +master, +grupox, +grupoy EXCEPT pc1, 192.68.0.2

Nunca fiz assim, testa aí.

ricardo cardoso
(usa Debian)

Enviado em 10/10/2013 - 11:45h

Mais esse http://pt.wikibooks.org/wiki/Guia_do_Linux/Avan%C3%A7ado/SAMBA/Compartilhamento_de_arquivos_e_diret%...

cornbugs
(usa Debian)

Enviado em 10/10/2013 - 12:22h

Ricardo, vou dar uma analisada no SMB que postou, mas já adianto minha gratidão por sua ajuda.
Sobre colocar permissões em grupos, eu já fiz o teste e mesmo assim fica visível as pastas. Sobre os hosts, acho que também não iria ocultar as pastas que eles não tivessem acesso... ou não... bom vou testar, qualquer novidade eu posto. Novamente agradeço a ajuda e atenção de todos aqui.

PS: esqueci de um detalhe, as máquinas aqui da minha rede são todas Windows 7... e esta havendo uma demora considerável para conseguir logar no samba... já procurei bastante na net e dizem que é um problema do Windows 7, acho que vou abrir um tópico sobre isso, para não disvirtualisar este.

ricardo cardoso
(usa Debian)

Enviado em 10/10/2013 - 12:28h

Isso é verdade. Aqui temos nas estações uma mistura dos 3 windows (8,7 e XP). Apenas máquinas com XP respondem bem ao SAMBA, as com 8 e 7 são muito estranhas. Lembrando que as regras que funcionam no XP não funcionam com o 7 e 8, tem que fazer vários testes até achar a ideal.