יום שישי, אוגוסט 20, 2010

שיתוף לכתיבה בסמבה למשמש אנונימי


זה רע , זה טעות זה יהרוס את האבטחה של המכונה שלך !
תגדיר את סמבה בצורה מאובטחת ולא דרך SWAT או

לעולם על תעבדו עם security = SHARE ,
זה יאפשר לכל ילד לקבל גישת קריאה (ולפעמים כתיבה ) לקבצים שלכם.
כלומר עם יש guest ok = yes ביחד עם security = share ו writable = yes עם הרשאות מתאימות לקבצים הנזק הוא קבלת גישה מלאה לכל דבר (בקומבינציה מסויימת גם השתלטות על משתמשים מקומיים).

בדיוק בצורה הזאת פרצו מספר נתבים , ואני מכיר מכונת SAN שחדרו לתוכה בצורה כזאת (האק מאוד יפה ... ).

כאשר אתה מריץ את סמבה הוא רץ במשתמש שלו, לכן כל גישה לקבצים היא לפי הגדרת המשתמש לכן אין שום טעם לשתף
/home/user/Xyz ולצפות שהוא יוכל לכתוב לשם :
כי לתיקייה יש הגדרת ברירת מחדל של 755 או 760 בחלק מהמכונות שימנעו כתיבה.

לכן :

  1. Numbered Listיש לתהשתמש ב force user + guest ok
  2. להגדיר סיפריה רק עבור המשתמש הזה
  3. ואם אתה מרגיש גיבור גדול אז הרשאות כתיבה לכל העולם על התיקייה המשותפת.

אבל תמיד בבקשה תקרוא את מה שרשום ב http://www.samba.org/

נקודה נוספת היא להזהר שלא להשתמש ב usershare ביחד עם זה (ככה הוא מקבל גם גישת הוספה והסרה של אלמנטי שיתוף).


אין תגובות:

הוסף רשומת תגובה