RSS Feed

Samba i security – czyli jak nie robić fileservera w firmie

Listopad 10, 2011 by 0verlord

Przejęliśmy zarządzanie w jednej kopalni. Stała tam samba, która robiła za system plików. Wydawało by się, że jest ok, bo pocięta uprawnieniami. Trochę topornie, bo np. tak:
valid users = user1, user2, user3 ... user 16

listy tam były na prawdę długie, po kilkanaście wpisów. Trochę mało zen było w tym rozwiązaniu, ale ogólnie było skuteczne. Jak się okazało, była to masakra kra kra kra.

Jak to w sambie się robi, jeden katalog był przeznaczony na udziały, nazwijmy go /home/samba.
W katalogu głównym jak to w katalogu – są podkatalogi 😉 Np.
/home/samba/blah, /home/samba/plumk itp.

No i pojawił się problem, że jak pani zapisała do podkatalogu, to nikt inny już nie mógł tego ani skasować, ani nic w ogóle i trzeba było pana administratora, żeby naprawił. Pan administrator, jak się dowiedziałem, logował się po VNC, i klikał z Gnoma tamtejszy managier plików i naprawiał. Skoro przyszła taka prośba od pana klienta – siadłem do naprawy i przejrzałem ten konfig dokładniej, żeby dodać wpis załatwiający sprawę, tj.:
force group = mrocznagrupa

Ale przeglądam konfig dalej, dochodzę do share’ów i widzę tam takie coś:

[samba]
path = /home/samba
writeable = yes
browseable = no
guest ok = yes

HĘ?! No to klikam dalej:

host# smbclient -U guest \\\\fileserwer\\samba
Enter guest's password:
Anonymous login successful
Domain=[BLAH] OS=[Unix] Server=[Samba 3.0.xxx]
smb: \> ls
(tu lista katalogów z dalszej części konfiga)

Bez komentarza.

Niniejszym przyznaję temu panu 15 bajtów z /dev/urandom. Tam wielkie hasła, trutututut, a tutaj schowany share, wpuszczający do głównego katalogu każdego jak leci, już bez haseł.


Brak komentarzy »

No comments yet.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

4 + cztery =