|
||||||||||||||
|
||||||||||||||
|
Новости
20 бoлeзнeй oт кoта
Опасность вейпинга
Вpeднa ли coя жeнщинaм
Вcя пpавда o яйцаx
Вpaчи нaпoмнили o pискe зapaзиться гeпaтитoм в сaлoнaх кpaсoты
В кaкoе время сyтoк лyчше не лечиться
Tиxий чаc дважды в нeдeлю cнижаeт pиcк инфаpкта и инcульта в два pаза
Слaдкaя гaзиpoвкa вoздействyет нa opгaнизм
Почeмy витaминныe добaвки нe пpиноcят пользы
|
Хорошо бы еще позаботиться о защите своего сервера и убрать возможность вызова шелла пользователям фтп. Для этого – просто добавим в /etc/shells строку: /dev/null. Ничего оригинального. Да, и еще - замени в файле /etc/passwd строку для пользователя “ftpadmin”:
ftpadmin:x:502:502::/home/ftp/ftpadmin/:/dev/null
на:
ftpadmin:x:502:502::/home/ftp/./ftpadmin/:/dev/null
Следующим шагом мы организуем файл /etc/ftphosts и добавим в него хосты своей локалки:
allow ftpadmin 192.168.0 ; разрешаем
deny ftpadmin 192.168.5 ; запрещаем
И выставим ему необходимые права:
chmod 600 /etc/ftphosts
Следующий конфигурационный файл: /etc/ftpusers, в нем прописаны пользователи, которым запрещено использовать FTP-сервер. Создаем этот файл (touch /etc/ftpusers) и пропишем в него системных пользователей, например этих:
Root bin daemon adm lp sync shutdown halt mail news uucp operator games nobody
Каждый из пользователей должен быть прописан с новой строки. Опять установим права:
# chmod 600 /etc/ftpusers
Можно также удалить анонимный доступ к фтп, для этого достаточно снести юзера:
# userdel ftp
Чтобы запретить закачку пользовательских файлов в потенциально опасные каталоги, мы малость поправим файл ftpaccess (/etc/ftpaccess), вписав в него следующие строки:
upload /home/ftp/* /dev no
upload /home/ftp/* /etc no
upload /home/ftp/* / no
Все. Теперь необходимо добавить пользователя для гостевого доступа и дать ему пароль, естественно, забрав у него возможность вызова удаленной консоли. Затем следует просто перезапустить сервис и пробовать зайти на фтп-сервер. Только не забудь поправить правила файрвола, разрешив 21 порт для локальной сети.
Файлопомойка aka Samba
Я советую пока взять 2 версию, а не 3. По одной причине – она стабильней, а в 3 заложено много идей “близкого будущего” ;). По безопасности же 2 ни в чем не уступает 3. Все, что нам надо – это привести ее главный конфиг примерно в такой вид:
/etc/samba/smb.conf:
[global]
workgroup = MSHome # Рабочая группа. Должна быть у всех пользователей одинаковая!
Netbios name = Server # NetBIOS имя сервера
hosts allow = 192.168.0. 127. # Разрешенные хосты. Здесь локальная сеть 192.168.0.* и локальный хост
load printers = no # На сервере не должно быть общедоступных принтеров. Ведь сервак локальной, а не корпоративной сети!
Guest account = nobody # Имя Linux пользователя с правами гостя.
invalid users = root # обязательная строка, повышающая защищенность сервера
max log size = 500 # Столько Кб для лог-файла
security = user # Каждый пользователь авторизируется сам по себе.
ecrypt passwords = yes # шифрованные пароли необходимы для работы Windows машин.
Wins support = yes # Samba выполняет функции Wins сервера.
character set = KOI8-R # Эти две строки позволяют правильно
client code page = 866 # использовать кириллицу на сервере
interfaces = eth0 # Локальный интерфейс. С него принимаем запросы на Samb’y
admin users = smb_admin # Администраторы.
#Все основные настройки закончены.
#Сейчас начинается блок, отвечающий за расшаренные ресурсы.
[File_From_All] # Имя ресурса
Comment = FileObmennik # Комментарии к имени, которое будут видеть пользователи ресурса
Path = /var/samba/Fileobmennik # Путь к папке с ресурсом
guest ok = yes # Гость может писать в этот каталог по сети.
Public = yes # ресурс будет доступен всем
writable = yes # Писать тоже можно
printable = no # Печатать нельзя. Это не принт-сервер!
create mask = 0666 # Права на закачиваемые файлы (rw-rw-rw-)
directory mask = 0777 # На каталоги, созданные юзерами (rwxrwxrwx)
После этого, в сети стал доступен каталог с именем “File_From_All”. И прочитать его содержимое может любой, даже неавторизованный пользователь, так же как и удалить его содержимое. Такая политика - самая приемлемая для “файловой помойки”. Именно для этого добавлена учетка гостя. А ограничения на разрешенные сети, введенные глобально, не позволяют инет-общественности загаживать сервак файлами. Но файлопомойка - это далеко не все. Еще необходимо создать шару, куда будет выложен софт и инфа от администратора, куда писать может, соответственно, только он. Чтобы организовать такой ресурс, необходимо добавить в главный конфиг вот эти строки:
[File_From_Admin] # Имя
Comment = Local_Resorce # Соответствующие комментарии
Path = /var/samba/File_From_Admin # папка с ресурсом
browseable = Yes # Отображение ресурса в локальной сети
Printable = no # Печатать нельзя.
Сохраните изменения. Теперь проверьте правильность изменений с помощью:
#testparm
Далее необходимо запустить сервис Самбы: #/samba/sbin/nmbd –D.
Сразу после этого пользователи твоей локалки увидят сервер в сетевом окружении. Но зайти на него они не смогут. Чтобы сервер превратился в полнофункциональный файлообменник, необходимо добавить как минимум двух пользователей: Админа и обычного пользователя. Делается это так:
#/samba/bin/smbpasswd –a user #Это обычный пользователь. Его логин user.
#/samba/bin/smbpasswd –a smb_admin #Логин администратора.
После каждой команды необходимо дважды ввести пароль для учетки. Создав пользователей, надо активировать их для того, чтобы они смогли заходить на сервер:
#/samba/bin/smbpasswd –e user # Активация user’a.
#/samba/bin/smbpasswd –e smb_admin # Позволяем админу подключаться к серверу.
Файлопомойка готова. Для работы надо будет дать каждому пользователю логин User и пароль, какой ты назначишь на учетку. Запретить 139, 137, 138 порты для инета надо однозначно. Иначе твой сервер будут постоянно атаковать свежими эксплойтами злобные хацкеры.
Сервер точного времени
В локальной сети крайне желательно иметь на сервере демон точного времени. Этим ты избавишь себя от необходимости следить за временем, да и пользователи, наконец, смогут отходить ко сну точно по расписанию, не просиживая в ирке лишние часы :). Для подъема сервера точного времени необходимо скачать последнюю его версию вот отсюда: www.ntp.org (у меня это была 4.2.0 от 2003.10.15). После чего следует стандартная процедура сборки и установки, в которой очень помогает инструкция (на английском брать тут: www.eecis.udel.edu/~mills/ntp/html/build.html). Необходимо настроить скомпилированный сервис, что достигается редактированием главного файла /etc/ntp.conf. Вот простой пример такой настройки:
Server time.nist.gov prefer # главный Time-сервер (имеет поле prefer)
server timeserver.example.org # как вариант
server ntp2a.example.net # опрашивать время на них.
driftfile /var/db/ntp.drift # Служебный файл, который не должен модифицироваться другими процессами!
При выборе предпочтительного сервера точного времени (он будет иметь атрибут prefer в конфиг-файле) сначала попингуй каждый и выбери тот, до которого время прохождения пинга минимально, поскольку это повысит точность сервиса. Попробуй запустить сервис и синхронизировать время. Получилось? Тогда разрешай и пользователям использовать локальную синхронизацию. Для инет-общественности можешь этот сервис оставить открытым. Про использование файрвола, думаю, напоминать смысла нет.
На главную | Cookie policy | Sitemap