ការ​ធានា​នូវ​សុវត្ថិភាព​ឯកសារ​ Samba និង​ម៉ាស៊ីន​បម្រើ​ការបោះ​ពុម្ព

របៀប​សុវត្ថិភាព​របស់​ Samba

មាន​កម្រិត​សុវត្ថិភាព​ពីរយ៉ាង​​ដែល​អាច​ប្រើ​បាន​សម្រាប់​ពិធីការ​បណ្តាញ​ Common Internet Filesystem (CIFS) កម្រិត​អ្នក​ប្រើ​ និង​ កម្រិត​ចែក​រំលែក ។ ការ​អនុវត្ត​ របៀប​សុវត្ថិភាព​ របស់ Samba នឹង​អនុញ្ញាត​ឲ្យ​មាន​ភាព​បត់​បែន​កាន់​តែ​ច្រើនដោយ​ផ្តល់​នូវវិធីសាស្ត្រ​បួន​យ៉ាង​ក្នុង​ការអនុវត្ត​សុវត្ថិភាព​កម្រិត​អ្នក​ប្រើ​ និង​វិធីសាស្ត្រ​មួយ​ទៀត​ សម្រាប់​អនុវត្ត​កម្រិត​ចែក​រំលែក ៖

  • សុវត្ថិភាព = អ្នក​ប្រើ​ ៖ ទាម​ទារ​ឲ្យ​កម្មវិធី​ផ្តល់​ឈ្មោះ​អ្នកប្រើ និង​ពាក្យ​សម្ងាត់​ សម្រាប់​ភ្ជាប់​ទៅ​ការ​ចែក​រំលែក​ ។ គណនី​អ្នក​ប្រើ Samba បំបែក​ចេញ​​ពី​គណនី​ប្រព័ន្ធ​ ប៉ុន្តែ​កញ្ចប់​ libpam-smbpass នឹង​ធ្វើ​សមកាល​កម្មពាក្យ​សម្ងាត់ និង​អ្នក​ប្រើ​​ប្រព័ន្ធ​ជា​មួយ​នឹង​មូលដ្ឋាន​ទិន្នន័យ​អ្នក​ប្រើ​ Samba ។

  • សុវត្ថិភាព​ = ដែន​ ៖ របៀប​នេះ​នឹង​អនុញ្ញាត​ឲ្យ​ម៉ាស៊ីន​បម្រើ​ Samba បង្ហាញ​នូវ​កម្មវិធីវីនដូ​ជា​ Primary Domain Controller (PDC), Backup Domain Controller (BDC) ឬ​ Domain Member Server (DMS) ។ ចំពោះ​ព័ត៌មាន​បន្ថែម សូម​មើល​ the section called “Samba ជា​កម្មវិធី​គ្រប់​គ្រង​ដែន”

  • សុវត្ថិភាព = ADS ៖ អនុញ្ញាត​ឲ្យ​ម៉ាស៊ីន​បម្រើ​ Samba ភ្ជាប់​ដែន​ Active Directory ​ជា​សមាជិក​ដើម​ ។ ចំពោះ​ព័ត៌មាន​លម្អិត សូម​មើល​ the section called “ការបញ្ចូលថត​សកម្ម​របស់​ Samba”

  • សុវត្ថិភាព​ = ម៉ាស៊ីន​បម្រើ​ ៖ របៀប​នេះ​សេស​សល់​ពីមុន មុន​ដែល​ Samba ក្លាយ​ជាម៉ាស៊ីន​បម្រើ​របស់​​សមាជិក​ ហើយ​ដោយ​សារ​តែ​មាន​បញ្ហា​សុវត្ថិភាព​ខ្លះ​ៗ​ វា​នឹង​មិន​ត្រូវ​បានគេ​ប្រើ​ទេ​ ។ ចំពោះ​ព័ត៌មាន​លម្អិត​ សូម​មើលផ្នែក​​ សុវត្ថិភាព​ម៉ាស៊ីន​បម្រើ​ របស់​មគ្គុទ្ទេសក៍​ Samba ។

  • សុវត្ថិភាព​ = ចែក​រំលែក​ ៖ អនុញ្ញាត​ឲ្យ​កម្មវិធី​តភ្ជាប់​ទៅ​ការ​ចែក​រំលែក​ ដោយ​មិនចាំបាច់​ផ្តល់​ឈ្មោះ​អ្នក​ប្រើ​ និង​ពាក្យ​សម្ងាត់ ។

របៀប​សុវត្ថិភាព​ដែល​ពេញចិត្តគឺ​​អាស្រ័យ​លើ​បរិស្ថាន​ និង​អ្វី​ដែល​ម៉ាស៊ីន​បម្រើ​ Samba ត្រូវការ​ប្រតិបត្តិ​ ។

សុវត្ថិភាព​ = អ្នក​ប្រើ

ផ្នែក​នេះ​នឹង​កំណត់​រចនាសម្ព័ន្ធ​ឯកសារ​ Samba និង​ម៉ាស៊ីន​បម្រើ​ក្នុង​ការ​បោះ​ពុម្ព​ ដើម្បី​ទាម​ទារ​ការ​ផ្ទៀត​ផ្ទាត់​ភាព​ត្រឹម​ត្រូវ​ ពី the section called “ម៉ាស៊ីន​បម្រើ​ឯកសារ​ Samba” និង​ ម៉ាស៊ីន​បម្រើ​ការបោះ​ពុម្ព

ដំបូង​ដំឡើង​កញ្ចប់​ libpam-smbpass ដែល​នឹង​ធ្វើ​សមកាល​កម្ម​ជា​មួយ​នឹង​អ្នកប្រើ​ប្រព័ន្ធ​ទៅ​កាន់​មូលដ្ឋាន​អ្នក​ប្រើ​ Samba ៖

sudo apt-get install libpam-smbpass

Note

បើ​ភារកិច្ច​របស់​ ម៉ាស៊ីន​បម្រើ​ Samba ត្រូវ​បាន​ជ្រើស​ក្នុង​អំឡុង​ពេល​ដំឡើង អញ្ចឹង​ libpam-smbpass ក៏​ត្រូវ​បាន​ដំឡើង​រួច​ដែរ ។

កែ​សម្រួល​ /etc/samba/smb.conf និង​នៅ​ក្នុង​ការ​ផ្លាស់​ប្តូរ​ផ្នែក​ [share]

guest ok = no

ចុង​បញ្ចប់ ចាប់​ផ្តើម​ Samba ឡើង​វិញ​ ដើម្បី​ឲ្យ​ការកំណត់​ថ្មី​មាន​ប្រសិទ្ធភាព ៖

sudo /etc/init.d/samba restart

ឥឡូវ​នេះ​ នៅ​ពេល​ដែល​តភ្ជាប់​ទៅ​ថត​ដែល​បាន​ចែក​រំលែក​ ឬ​ម៉ាស៊ីន​បោះ​ពុម្ព​ នឹង​មាន​ការស្នើ​សុំ​ឈ្មោះ​អ្នក​ប្រើ និង​ពាក្យ​សម្ងាត់ ។

Note

ដើម្បី​ផ្គូផ្គងដ្រាយ​បណ្តាញ​ជា​មួយ​ការ​ចែក​រំលែក​ ត្រូវ​គូស​ធីក“តភ្ជាប់​ឡើង​វិញ​ នៅ​ពេល​ចូល​” ដែល​នឹង​ទាម​ទារ​ឲ្យ​បញ្ចូល​ឈ្មោះ​អ្នកប្រើ និង​ពាក្យ​សម្ងាត់​តែ​ម្តងគត់ លើក​លែង​តែ​មាន​ការ​ផ្លាស់​ប្តូរ​ពាក្យ​សម្ងាត់​ ។

សុវត្ថិភាព​ចែក​រំលែក

មាន​ជម្រើស​បី​បួន​ដែល​អាច​ប្រើ​បាន​ក្នុង​ការ​បង្កើន​សុវត្ថិភាព​សម្រាប់​ថត​ដែល​បាន​ចែក​រំលែក​នីមួយ​ៗ ។ ដោយ​ការ​ប្រើ​ឧទាហរណ៍ [share] ផ្នែក​នេះ​នឹង​គ្របដណ្តប់​ជម្រើស​ទូទៅ​មួយ​ចំនួន ។

ក្រុម

ក្រុម​កំណត់​នូវ​សម្រាំង​របស់​កុំព្យូទ័រ ឬ​អ្នក​ប្រើ​ដែល​មាន​កម្រិត​ចូល​ប្រើ​ទូទៅ​ទៅ​កាន់​ធន​ធាន​បណ្តាញ​ជាក់​លាក់​ និង​ផ្តល់​នូវ​កម្រិតតូចៗនៅ​ក្នុង​ការគ្រប់​គ្រង​ការ​ចូលដំណើរ​ការ​ទៅ​ធន​ធាន​ទាំង​នេះ ។ ឧទាហរណ៍​ បើ​ក្រុម​ qa ​ត្រូវ​បាន​កំណត់ ​និង​មាន​អ្នក​ប្រើ​ freda danika និង​ rob ហើយ​​​​ក្រុម​ទីពីរ​ support ត្រូវ​បាន​កំណត់ និង​មាន​អ្នក​ប្រើ​ danika jeremy និង​ vincent ពេល​នោះ​ ធន​ធាន​បណ្តាញ​ជាក់​លាក់​នឹង​ត្រូវ​កំណត់​រចនាសម្ព័ន្ធ​ ដើម្បី​អនុញ្ញាត​ឲ្យ​ចូល​ដំណើរ​ការ​តាម​ qa ចំនែក​ក្រុម​នឹងអនុញ្ញាត​ឲ្យ​ចូល​ដំណើរ​ការ​ជា​បន្ត​បន្ទាប់​តាម​ freda, danika, និង​ rob ប៉ុន្តែ​មិន​ចូល​ដំណើរ​ការ​តាម​ jeremy ឬ​ vincent ទេ ។ ដោយ​សារ​អ្នក​ប្រើ​ danika ស្ថិត​នៅ​​ក្នុង​ក្រុម​qa និង​ក្រុម​ support គាត់​អាច​នឹង​ចូល​ដំណើរ​ការ​ធន​ធាន​ដែល​បាន​កំណត់​រចនាសម្ព័ន្ធ​ សម្រាប់​ឲ្យ​ចូល​ដំណើរ​ការ​តាម​ក្រុម​ទាំង​ពីរ​បាន ចំនែក​អ្នក​ប្រើ​ផ្សេង​ទៀតនឹង​មាន​​​សិទ្ធិ​ចូលដំណើរ​ការ​បាន​ត្រឹម​តែ​ធន​ធាន ដែល​នឹង​អនុញ្ញាត​សម្រាប់​តែ​​ក្រុម​ដែល​ជា​ផ្នែក​របស់​វា​តែ​ប៉ុណ្ណោះ ។

តាម​លំនាំ​ដើម Samba នឹង​រក​មើល​ក្រុម​ប្រព័ន្ធ​មូលដ្ឋាន​ ដែល​បាន​កំណត់​នៅ​ក្នុង​ /etc/group ដើម្បី​កំណត់​ថា​ អ្នក​ប្រើ​​​ណា​ ត្រូវ​ស្ថិត​នៅ​ក្នុង​ក្រុម​ណា​ ។ ចំពោះ​ព័ត៌មាន​បន្ថែម​អំពី​​ការ​បន្ថែម និង​យក​អ្នក​ប្រើ​ចេញ​ពី​ក្រុម សូម​មើល​​ Basics

នៅ​ពេល​កំណត់​ក្រុម​ នៅ​ក្នុង​ឯកសារ​កំណត់​រចនាសម្ព័ន្ធ​ Samba /etc/samba/smb.conf វាក្យ​សម្ព័ន្ធ​ដែល​ស្គាល់​នឹង​ត្រូវ​ដាក់​បុព្វបទ​ឈ្មោះ​ក្រុម​ ដោយ​ប្រើ​និមិត្ត​សញ្ញា​ "@" ។ ឧទាហរណ៍ ដើម្បី​កំណត់​ក្រុម​ដែល​មាន​ឈ្មោះ​ sysadmin នៅ​ក្នុង​ផ្នែក​មួយ​ចំនួន​របស់​ /etc/samba/smb.conf ឈ្មោះ​ក្រុម​នឹង​ត្រូវ​វាយ​បញ្ចូល​ជា​ @sysadmin

សិទ្ធិ​ឯកសារ

សិទ្ធិ​ឯកសារ​កំណត់​នូវ​សិទ្ធិជាក់​លាក់​សម្រាប់​កុំព្យូទ័រ ឬ​អ្នក​ប្រើ​ត្រូវ​តែ​មាន​ថត​ ឯកសារ ឬ​សំណុំ​ឯកសារ​ពិសេស​ណា​មួយ​ ។ សិទ្ធិ​ទាំង​នេះ​អាច​ត្រូវ​បាន​កំណត់​ ដោយ​ការ​កែ​សម្រួល​ឯកសារ​ /etc/samba/smb.conf និង​បញ្ជាក់​នូវ​សិទ្ធិ​ជាក់​លាក់នៃ​ការ​ចែក​រំលែក​ឯកសារ​ដែល​បាន​កំណត់​ ។

ឧទាហរណ៍ សម្រាប់​ការ​ចែក​រំលែក​ Samba ដែល​បាន​កំណត់​ ហៅ​ថា share ចំនែក​ការ​តម្រូវ​ឲ្យ​ផ្តល់​សិទ្ធិ​ បាន​តែ​អាន​ ដល់​ក្រុម​អ្នក​ប្រើ​ ស្គាល់​ជា​ qa ចំពោះ​ការ​អនុញ្ញាត​ឲ្យ​មាន​សិទ្ធិ​សរសេរ​ ទៅ​កាន់​ការ​ចែក​រំលែក​តាម​ក្រុម​ហៅ​ថា​ sysadmin និង​ចំពោះ​អ្នក​ប្រើ​មាន​ឈ្មោះ​ថា​ vincent បន្ទាប់​មកឯកសារ​​/etc/samba/smb.conf អាច​នឹង​ត្រូវ​កែ​សម្រួល​ ដើម្បី​បន្ថែម​ធាតុ​ដូច​ខាង​ក្រោម​នៅ​ពី​ក្រោម​ធាតុ​ [share]

read list = @qa
write list = @sysadmin, vincent

សិទ្ធិ​ផ្សេង​ទៀត​ដែល​ Samba អាច​ធ្វើ​បាន​ គឺ​ត្រូវអះអាង​សិទ្ធិ គ្រប់​គ្រង​ ចំពោះ​​ធន​ធាន​ដែល​បាន​ចែក​រំលែកពិសេស​​​ណា​មួយ​ ។ អ្នក​ប្រើ​ ដែល​មាន​សិទ្ធិ​គ្រប់​គ្រង​អាច​អាន សរសេរ ឬ​កែ​ប្រែ​ព័ត៌មាន​ណា​មួយ​ ដែល​មាន​នៅ​ក្នុង​ធន​ធាន​ដែល​ជាកន្លែង ដែល​អ្នក​ប្រើ​ត្រូវ​បាន​​ផ្តល់សិទ្ធិ​គ្រប់​គ្រង​ជាក់​លាក់​ ។

ឧទាហរណ៍ ដើម្បី​ផ្តល់​សិទ្ធិ​គ្រប់​គ្រង​ melissa ដល់​អ្នក​ប្រើ​ ទៅ​កាន់​គំរូ​ share ឯកសារ​ /etc/samba/smb.conf នឹង​ត្រូវ​កែ​សម្រួល​ ដើម្បី​បន្ថែម​បន្ទាត់​ដូច​ខាង​ក្រោម​ពី​ក្រោម​ធាតុ​ [share]

admin users = melissa

បន្ទាប់​ពី​កែ​សម្រួល​ /etc/samba/smb.conf ចាប់​ផ្តើម Samba ឡើង​វិញ ដើម្បី​ឲ្យ​ការ​ផ្លាស់​ប្តូរ​​មាន​ប្រសិទ្ធិភាព ៖

sudo /etc/init.d/samba restart

Note

ចំពោះ​ បញ្ជី​អាន​ និង​ បញ្ជី​សរសេរ​ ដើម្បីឲ្យ​ដំណើរ​ការ​បាន ​ ដាច់​ខាត​ មិន​ ត្រូវ​កំណត់​​របៀប​សុវត្ថិភាព​ Samba ទៅ​ជា​security = share

ឥឡូវ​ Samba នោះ​ត្រូវ​បាន​កំណត់​រចនាសម្ព័ន្ធ​​​ ដើម្បី​ដាក់​កម្រិត​ក្រុម​ណា​មួយ​ដែល​មាន​សិទ្ធិ​ចូល​ដំណើរ​ការដល់​ថត​ដែលបាន​ចែក​រំលែក​ សិទ្ធិ​ប្រព័ន្ធ​ឯកសារ​ទាម​ទារ​ឲ្យ​ធ្វើ​បច្ចុប្បន្ន​ភាព ។

សិទ្ធិ​ឯកសាររបស់​​លីនុច​ចាស់​ផ្គូផ្គង​មិន​សូវ​បាន​ប្រសើរ​ជា​មួយ​នឹង​ Windows NT Access Control Lists (ACLs) ទេ ។ សំណាង​ល្អ POSIX ACLs អាច​មាន​នៅ​លើ​ម៉ាស៊ីន​បម្រើ​ គូប៊ុនទូ ដោយ​ផ្តល់​នូវ​ការគ្រប់​គ្រង​ដែល​កាន់​តែ​ប្រសើរ​ថែម​ទៀត ។ ឧទាហរណ៍ ដើម្បី​បើក​ ACLs នៅ​លើ​ /srv និង​ប្រព័ន្ធ​ឯកសារ​ EXT3 កែ​សម្រួល​ /etc/fstab ដោយ​បន្ថែម​ជម្រើស​acl

UUID=66bcdd2e-8861-4fb0-b7e4-e61c569fe17d /srv  ext3    noatime,relatime,acl 0 
    1

បន្ទាប់​មក​ម៉ោនភាគ​ថាស​ឡើង​វិញ ៖

sudo mount -v -o remount /srv

Note

ឧទាហរណ៍​ខាង​លើ​សន្មត​ /srv នៅ​លើ​ភាគ​ថាស​ផ្សេង​គ្នា ។ បើ​ /srv ឬ​កំណត់​រចនា​សម្ព័ន្ធ​ផ្លូវ​ចែក​រំលែក​នៅ​ត្រង់​ណា​មួយ ជា​ផ្នែក​របស់​ភាគ​ថាស​ / ​អាច​នឹង​ទាម​ទារ​ឲ្យ​ចាប់​ផ្តើម​ឡើង​វិញ ។

ដើម្បី​ផ្គូផ្គង​ការកំណត់​រចនា​សម្ព័ន្ធ​ Samba ខាង​លើ​ ក្រុម​sysadmin នឹង​ត្រូវ​បាន​ផ្តល់​សិទ្ធិ​អាន សរសេរ និង​ប្រតិបត្តិ​ទៅ​កាន់​ /srv/samba/share ក្រុម​ qa នឹង​ត្រូវ​បាន​ផ្តល់​សិទ្ធិ​អាន និង​ប្រតិបត្តិ​ ចំនែក​ឯកសារ​ទាំង​នេះ​នឹង​ត្រូវ​គ្រប់​គ្រង​ដោយ​ឈ្មោះ​អ្នក​ប្រើ​ melissa ។ វាយ​បញ្ចូល​​​ដូច​ខាង​ក្រោម​ក្នុង​ស្ថានីយ ៖

sudo chown -R melissa /srv/samba/share/
sudo chgrp -R sysadmin /srv/samba/share/
sudo setfacl -R -m g:qa:rx /srv/samba/share/

Note

ពាក្យ​បញ្ជា​ setfacl ​ខាង​លើ​ផ្តល់​នូវ​សិទ្ធិ​ ប្រតិបត្តិ​ ទៅ​កាន់​ឯកសារ​ទាំង​អស់នៅ​ក្នុង​ថត​ /srv/samba/share ដែល​អាច​នឹង​ត្រូវ​ការ ឬ​មិន​ត្រូវ​ការ​ ។

កម្មវិធី​វីនដូ​នឹង​បង្ហាញ​ថា​សិទ្ធិ​ឯកសារ​ថ្មី​ត្រូវបាន​ប្រតិបត្តិ ។ ចំពោះ​ព័ត៌មាន​បន្ថែមអំពី​ POSIX ACLs សូម​មើលទំព័រ​មេ​​ acl និង​ setfacl

ទម្រង់ Samba AppArmor

គូប៊ុនទូ​ ភ្ជាប់​មក​ជា​មួយ​នូវ​ម៉ូឌុល​សុវត្ថិភាព​ AppArmor ដែល​ផ្តល់​នូវ​ការ​គ្រប់​គ្រង​ក្នុង​ការ​ចូលដំណើរដែល​ចាំបាច់​ ។ ទម្រង់​ AppArmor លំនាំ​ដើម​ សម្រាប់​ Samba នឹង​ទាម​ទារ​ឲ្យ​កែ​សម្រួល​ឲ្យ​ត្រូវ​នឹង​ការ​កំណត់​រចនាសម្ព័ន្ធ​ត្រឹម​ត្រូវ​ ។ សម្រាប់​ព័ត៌​មាន​លម្អិត​អំពី​ការប្រើ​ AppArmor សូម​យោង​ទៅ​កាន់​ វីគី

មាន​ទម្រង់​ AppArmor លំនាំ​ដើមសម្រាប់​ /usr/sbin/smbd និង​ /usr/sbin/nmbd ព្រម​ទាំង​​គោល​ពីរ​ដេមិន​សម្រាប់​ Samba ដែល​ជា​ផ្នែក​របស់​កញ្ចប់​ apparmor-profiles ។ ដើម្បី​ដំឡើង​កញ្ចប់ ពី​ប្រអប់​បញ្ចូល​របស់​ស្ថានីយ វាយ​បញ្ចូល ៖

sudo apt-get install apparmor-profiles

Note

កញ្ចប់​នេះ​មាន​ទម្រង់​ សម្រាប់​​​គោល​ពីរ​ផ្សេង​ទៀត​បីបួន ។

តាម​លំនាំ​ដើម ទម្រង់​សម្រាប់​ smbd និង​ nmbd ស្ថិត​នៅ​ក្នុង​របៀប​ ត្អូញ​ត្អែរ ដែល​អនុញ្ញាត​ឲ្យ​ Samba ដំណើរ​ការ​ ដោយ​គ្មាន​ធ្វើ​ការ​កែប្រែ​ទម្រង់​ និង​ចូល​តែ​កំហុស ។ ដើម្បី​ដាក់​​ទម្រង់​ smbd ទៅ​ក្នុង​របៀប​ បង្ខំ និង​ឲ្យ​ Samba ដំណើរ​ការ​ដូច​ដែល​បាន​រំពឹង ទម្រង់​នឹង​ទាម​ទារ​ឲ្យ​កែប្រែ​ ដើម្បី​បង្ហាញ​ថត​ណា​មួយ​ដែល​នឹង​ត្រូវ​ចែក​រំលែក​ ។

កែ​សម្រួល​ /etc/apparmor.d/usr.sbin.smbd ដោយ​បន្ថែម​ព័ត៌មាន​សម្រាប់​ [share] ​ពី​គំរូ​ម៉ាស៊ីន​បម្រើ​ឯកសារ​ ៖

/srv/samba/share/ r,
/srv/samba/share/** rwkix,

ឥឡូវ​ដាក់​ទម្រង់​ទៅ​ក្នុង​របៀប​ បង្ខំ និង​ផ្ទុក​វា​ឡើង​វិញ ៖

sudo aa-enforce /usr/sbin/smbd
cat /etc/apparmor.d/usr.sbin.smbd | sudo apparmor_parser -r

ឥឡូវ​នេះ​អាច​អាន សរសេរ និង​ប្រតិបត្តិ​ឯកសារ​នៅ​ក្នុង​ថត​ដែល​បាន​ចែក​រំលែក​តាម​ធម្មតា​បាន​ ហើយ​គោល​ពីរ​ smbd អាច​នឹង​មាន​សិទ្ធិ​ចូល​ដំណើរ​ការ​បាន​ត្រឹម​តែ​ថត និង​ឯកសារ​ដែល​បាន​កំណត់​រចនាសម្ព័ន្ធ​ប៉ុណ្ណោះ ។ សូម​ប្រាកដ​ថា​ បាន​បន្ថែម​ធាតុ​សម្រាប់​ថត​នីមួយ​ៗ​ ដែល​នឹង​ត្រូវ​កំណត់​រចនាសម្ព័ន្ធ​ Samba ​ជា​មួយ​ការចែក​រំលែក ។ កំហុស​មួយ​ចំនួន​នឹង​ត្រូវ​ចូល​ទៅ​ក្នុង​ /var/log/syslog

ធនធាន