RSS Feed

Posts Tagged ‘share’

  1. Samba i security – czyli jak nie robić fileservera w firmie

    Listopad 10, 2011 by 0verlord

    Przejęliśmy zarządzanie w jednej kopalni. Stała tam samba, która robiła za system plików. Wydawało by się, że jest ok, bo pocięta uprawnieniami. Trochę topornie, bo np. tak:
    valid users = user1, user2, user3 ... user 16

    listy tam były na prawdę długie, po kilkanaście wpisów. Trochę mało zen było w tym rozwiązaniu, ale ogólnie było skuteczne. Jak się okazało, była to masakra kra kra kra.

    Jak to w sambie się robi, jeden katalog był przeznaczony na udziały, nazwijmy go /home/samba.
    W katalogu głównym jak to w katalogu – są podkatalogi 😉 Np.
    /home/samba/blah, /home/samba/plumk itp.

    No i pojawił się problem, że jak pani zapisała do podkatalogu, to nikt inny już nie mógł tego ani skasować, ani nic w ogóle i trzeba było pana administratora, żeby naprawił. Pan administrator, jak się dowiedziałem, logował się po VNC, i klikał z Gnoma tamtejszy managier plików i naprawiał. Skoro przyszła taka prośba od pana klienta – siadłem do naprawy i przejrzałem ten konfig dokładniej, żeby dodać wpis załatwiający sprawę, tj.:
    force group = mrocznagrupa

    Ale przeglądam konfig dalej, dochodzę do share’ów i widzę tam takie coś:

    [samba]
    path = /home/samba
    writeable = yes
    browseable = no
    guest ok = yes

    HĘ?! No to klikam dalej:

    host# smbclient -U guest \\\\fileserwer\\samba
    Enter guest's password:
    Anonymous login successful
    Domain=[BLAH] OS=[Unix] Server=[Samba 3.0.xxx]
    smb: \> ls
    (tu lista katalogów z dalszej części konfiga)

    Bez komentarza.

    Niniejszym przyznaję temu panu 15 bajtów z /dev/urandom. Tam wielkie hasła, trutututut, a tutaj schowany share, wpuszczający do głównego katalogu każdego jak leci, już bez haseł.