Базовая настройка Samba: общая папка и первая защита

Настроить общую папку на Samba — это полдела. Вторая половина — сразу же ограничить к ней доступ. Разберем, как создать шару и с первого шага закрыть основные векторы атак.

Развертывание файлового сервера на Linux требует не только правильной настройки функциональности, но и обеспечения безопасности в соответствии с современными стандартами. В этом руководстве разберем полный цикл — от установки Samba до реализации продвинутых мер защиты.

Установка Samba

Перед началом настройки необходимо установить пакеты. Для ОС на базе Debian/Ubuntu:

sudo apt update
sudo apt install samba samba-client smbclient

Для систем на базе RHEL/CentOS/Rocky Linux:

sudo dnf install samba samba-client samba-common-tools

Проверяем корректность установки:

sudo systemctl enable smb
sudo systemctl start smb
sudo systemctl status smb

Базовая настройка общего ресурса

Создаем директорию и назначаем права:

sudo mkdir -p /srv/samba/share
sudo chmod -R 0755 /srv/samba/share

Основная конфигурация осуществляется в файле /etc/samba/smb.conf. Добавляем секцию общего доступа:

[share]
comment = Общий доступ
path = /srv/samba/share
browseable = yes
read only = no
guest ok = no
valid users = @samba-users

После изменения конфигурации обязательно перезапустите службу:

sudo systemctl restart smb

Расширенные настройки безопасности

1. Ограничение доступа по сетям
В секцию [global] добавьте:

[global]
hosts allow = 192.168.0.0/24 10.0.0.0/8
hosts deny = 0.0.0.0/0
interfaces = lo eth0
bind interfaces only = yes

2. Отключение устаревших протоколов

[global]
server min protocol = SMB2
server max protocol = SMB3
disable netbios = yes
smb ports = 445

3. Настройка прав доступа к файлам

[share]
create mask = 0640
directory mask = 0750
force create mode = 0640
force directory mode = 0750
force user = samba-user
force group = samba-users

Настройка системы аудита

Для детального мониторинга всех операций с файлами добавьте в [global]:

[global]
log level = 1 vfs:3
vfs objects = full_audit
full_audit:prefix = %u|%I|%m|%S
full_audit:success = connect mkdir rmdir unlink write rename
full_audit:failure = connect open mkdir write
full_audit:facility = local5
full_audit:priority = notice

Для просмотра логов в реальном времени используйте:

sudo tail -f /var/log/samba/log.smbd

Пример записи в логе:

user1|192.168.0.15|WIN-PC|share|open|report.pdf| OK
unknown|192.168.0.99|share|open|secret.doc| FAIL

Защита доменных служб (для контроллеров домена)

Настройка парольной политики:

samba-tool domain passwordsettings set --min-pwd-length=15
samba-tool domain passwordsettings set --complexity=on
samba-tool domain passwordsettings set --history-length=10
samba-tool domain passwordsettings set --max-pwd-age=90

Регулярный мониторинг:

# Проверка состава администраторов
samba-tool group listmembers "Domain Admins"

# Аудит групповых политик
samba-tool gpo listall

# Проверка прав доступа к SYSVOL
sudo ls -ld /var/lib/samba/sysvol/
getfacl /var/lib/samba/sysvol/

Резервное копирование и восстановление

Для резервного копирования базы данных Active Directory:

sudo systemctl stop samba-ad-dc
sudo samba-tool domain backup offline --target-dir=/srv/ad-backup/
sudo chmod -R 0600 /srv/ad-backup/
sudo systemctl start samba-ad-dc

Практические рекомендации

1. Регулярное обновление: поддерживайте актуальную версию Samba
2. Мониторинг логов: настройте автоматический анализ логов для выявления подозрительной активности
3. Сетевые ограничения: используйте iptables/nftables для дополнительной фильтрации трафика
4. Периодический аудит: проводите проверки конфигурации не реже раза в квартал

Пример настройки базового firewall правила:

sudo iptables -A INPUT -p tcp --dport 445 -s 192.168.0.0/24 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 445 -j DROP

Данная конфигурация обеспечивает соответствие современным требованиям безопасности и может быть адаптирована под конкретные условия эксплуатации. Регулярное выполнение рекомендаций по мониторингу и обслуживанию позволит поддерживать файловый сервер в защищенном состоянии.