Pgina 1 de 14

Conceitos SEGURANA DE REDES (FIREWALL)

Filtro de pacotes (Firewall)

Filosofia do filtro de pacotes

Conceito de fluxo de dados

IPChains

Filtro de pacotes built-in X externo ao kernel

Chains

Input, output

Forward

Habilitao do forward de pacotes IPv4

Aes - Accept, reject, deny, masq

Polticas de regras

Filtrar portas

Mscara de endereos

Routing e rotas

Pgina 2 de 14

1 Configurao definitiva do Samba

Introduo

Para o compartilhamento de diretrios via rede, com a possibilidade de configurar

permisses de controle de acesso, o Samba sobressai-se sobre os concorrentes.

Alm de que, o mesmo tambm capaz de compartilhar diretrios de um sistema de

arquivos Linux (ext, JFS...) atravs da rede, possibilitando o acesso ao mesmo, utilizando o

protocolo cliente smb, para distribuies GNU/Linux, e o prprio Windows Explorer

(explorador de diretrios), para sistemas operacionais Microsoft Windows.

Vantagens

Em relao ao seu concorrente proprietrio ($$), o sistema operacional Microsoft Windows

Server, o Samba muitssimo mais completo, apresenta menos erros (conhecidos tambm

como bugs), alm do que, como o software Samba deve ser instalado em um servidor

GNU/Linux, a possibilidade de ter o servidor infectado por malware (vrus, cavalos de troia,

worms, etc), MNIMA.

E, por fim, a configurao de permisso de acesso de diretrios feita INTEIRAMENTE

utilizando ferramentas da distribuio GNU/Linux, o que torna muitas das tcnicas hacking

ineficazes.

Desvantagem

Pgina 3 de 14

Ento, qual o principal motivo de o mercado utilizar, principalmente, Windows Server para

tal servio, voc se pergunta?

Simples: em sistemas Windows, configurar o sistema para compartilhar diretrios

brincadeira de criana, j em sistemas Linux, o arquivo de configuraes do Samba

assustador para quem nasceu no mundo do "mas onde que clica?".

Porm, ao trmino da configurao, o sistema durar por muitos anos (se no, eternamente),

se tudo depender do sistema operacional, pois no h agentes "feitos para destruir o

sistema", como em outros sistemas operacionais proprietrios.

Concluso

No mundo Windows, a configurao simples e rpida, porm, a mesma precisar ser

refeita de tempos em tempos, pois, todo tipo de Malware est preparado para destruir o

sistema, alm disso, erros de sistema sero frequentes, confundindo o usurio e o setor de

TI da empresa.

Utilizando um servidor GNU/Linux, por vias normais, a configurao mais lenta, porm,

uma vez terminada a configurao do mesmo, a equipe de TI apenas necessitar pensar em

"como agregar funes a mais".

Chega de enxaquecas e gastos desnecessrios com manuteno!

Pgina 4 de 14

Etapa 1

Instalando o Samba e criando os diretrios

a serem compartilhados

Vamos botar a mo na massa!

A configurao ser feita em um servidor Debian 7 (Wheezy), porm, pode ser adaptada

facilmente para CentOS, Red Hat e outras distribuies GNU/Linux.

Utilizaremos um terminal modo texto.

Instalao

Instale o pacote samba em seu servidor Debian:

# aptitude install samba Ou:

# apt-get install samba

Aps a instalao, ser criado o arquivo de configuraes do servidor Samba.

Localizao do arquivo: /etc/samba/smb.conf

Configurao: Parte 1 - Criando os

diretrios

Antes de comear a criar os diretrios que, posteriormente, estaro disponveis via rede,

planeje no papel quantos departamentos (grupos de pessoas/usurios) sua empresa possui.

Crie um diretrio no caminho de sua preferncia, em seu sistema de arquivos:

# mkdir /samba

Em seguida, crie um subdiretrio para cada departamento de sua empresa:

# mkdir /samba/marketing

# mkdir /samba/"departamento pessoal"

# mkdir /samba/direo

Obs.: a forma mais simples de criar um diretrio que contm nome espaado em GNU/Linux,

digitando-se apenas o nome espaado entre aspas (ex.: "diretrio com nome espaado").

http://www.vivaolinux.com.br/linux/

Pgina 5 de 14

Depois de criado os subdiretrios, a etapa 1 estar terminada.

Etapa 2

Configurao: Parte 2 - Arquivo de

configurao do Samba

O Samba, assim como muitos outros servidores GNU/Linux, deve ser configurado alterando-

se os parmetros presentes em um arquivo de configurao, e estes parmetros alterados,

sero ento, futuramente, carregados nas variveis do software servidor, durante sua

inicializao.

O arquivo de configurao do Samba encontra-se em: /etc/samba/smb.conf

recomendvel renomear o arquivo, pois, iniciaremos a configurao de nosso servidor a

partir do zero!

# mv /etc/samba/smb.conf /etc/samba/smb.conf.original

Aqui, utilizaremos o editor de textos Nano, por ser o editor de textos padro do GNU/Linux,

isto , o mesmo encontra-se por padro, em qualquer distribuio GNU/Linux, ao contrrio do

Vim/Vi, entre outros:

# nano /etc/samba/smb.conf

Em seu terminal, neste momento, voc deve estar visualizando um arquivo novo, recm-

criado por voc, utilizando o editor de textos Nano.

O arquivo de configuraes Samba est dividido em sees, e cada seo representada da

seguinte forma: "[nome da seo 1]" "[nome da seo 2]"...

Para configurar o Samba, iniciaremos pela seo global.

# A seo global contm parmetros de configuraes globais, os quais sero aplicados a todo

o

#servidor, e a todo compartilhamento.

[global]

server string = nomedoserver #Nome DNS

http://www.vivaolinux.com.br/linux/

Pgina 6 de 14

netbios name = nomedoserver #Nome NetBIOS

workgroup = WORKGROUP #Grupo de trabalho das mquinas Windows

#Opes para security:

# none - Nada de senhas!

# user - Requer uma senha Unix, mesmo antes mesmo de escolher o compartilhamento ao

qual

#pretende acessar.

# share - Requere uma senha Unix, apenas se ao acessar o compartilhamento voc no tiver

#permisses para acess-lo.

security = share

#No arquivo de log, sero armazenadas informaes sobre cada conexo realizada ao

servidor.

#'%m' uma varivel que corresponde ao nome da mquina que acessar o servidor Samba.

log file = /var/logs/samba/samba.log #para um log centralizado

#log file = /var/logs/samba/%m.log #para um log por mquina conectada

Depois de terminada a configurao global, deve-se configurar os compartilhamentos:

#Compartilhando

#[nome do compartilhamento]

[Publicidade e Marketing]

comment = Acesso Restrito ao setor de Marketing

path = /samba/marketing

public = yes #Acesso sem senha, pblico (yes ou no)

writable = yes #Permitir alteraes no diretrio? (yes ou no)

#valid users = deixe para mais tarde #Mais tarde!

J possvel testar nossas configuraes.

Vamos, para isso reiniciar o servio do Samba:

# /etc/init.d/samba restart

Ou:

# /etc/init.d/samba stop

# /etc/init.d/samba start

Ou:

# service samba restart

Ou ainda:

# service samba stop

# service samba start

Pgina 7 de 14

Vamos testar nossa configurao!

Em um computador Windows, presente na mesma rede e configurado no mesmo grupo de

trabalho do Samba, chame o dilogo Executar, e ento, digite:

\\[server string]

E aperte: OK

Caso tenha escolhido o valor none ou share para o parmetro security, nenhum prompt de

senha ser apresentado.

Caso tenha escolhido o valor user para security, terminaremos a configurao na seo

"Configurao - Parte 3 (Configurando Permisses)".

Voc, provavelmente, ter acesso com permisses de somente leitura ao diretrio

"Publicidade e Marketing". Configuraremos isso mais tarde.

Curiosidade

Sabe por que no se deve convidar usurios ao servidor, com frases do gnero: "Bem-Vindo

ao compartilhamento..."?

Certa vez, um hacker invadiu um dos servidores de uma certa empresa, e ao ter acesso ao

shell da empresa, recebeu a seguinte mensagem "Bem-Vindo empresa y".

Mais tarde, o mesmo foi descoberto, e julgado em tribunal. Porm, o mesmo alegou ter sido

"bem recebido" na empresa, e ganhou a causa, sem sofrer penalidades.

Agora, lhe pergunto: Voc convidaria um hacker ao seu servidor?

Etapa 3

Pgina 8 de 14

Configurando permisses - Usurios e

Grupos

Agora, vamos sair um pouco do arquivo de configuraes do Samba e criarmos os usurios

que realizaro login via rede atravs do Samba.

Os usurios do Samba, assim como citado anteriormente, so usurios comuns do

GNU/Linux.

Vamos cri-los.

# useradd joana_dark

# useradd diego_hipolito

# useradd maradonna

Os trs usurios acima, sero usurios do Samba, pertencentes ao grupo marketing. Porm,

para cada um deles, foi criado um diretrio /home.

Abaixo, segue os mesmos comandos, porm, com parmetros que impossibilitaro o uso do

login e senha para login local no servidor, e negaro a criao de uma pasta pessoal

(/home/[usurio]):

# useradd --no-create-home -s /bin/false joana_dark

# useradd --no-create-home -s /bin/false diego_hipolito

# useradd --no-create-home -s /bin/false maradonna

O parmetro "-s" especifica um shell de comandos para ser atribudo ao usurio criado. O

shell /bin/false, como o nome sugere, um shell falso, e qualquer usurio que utiliza este shell

no ser capaz de logar-se corretamente no sistema GNU/Linux. Ainda bem que para o

usurio acessar os compartilhamentos, ele no precisa de um shell vlido, no mesmo?

Caso voc tenha criado um usurio sem especificar o shell, o usurio configurado com o

shell padro de sua distro. Para alter-lo, edite diretamente o arquivo de texto /etc/passwd, ou

execute o comando usermod -s /bin/false [nomeDoUsurioExistente].

# nano /etc/passwd Ou:

# usermod -s /bin/false [nomeDoUsurioExistente]

Os usurios acima, foram criados sem qualquer tipo de senha, pois, os usurios do Samba no

necessitam de uma senha de logon no GNU/Linux, portanto, configurar uma senha opcional.

Vamos adicionar estes usurios para serem utilizados no Samba:

# smbpasswd -a joana_dark

# smbpasswd -a diego_hipolito

http://www.vivaolinux.com.br/linux/

Pgina 9 de 14

# smbpasswd -a maradonna

J se pode testar o login destes usurios em seu servidor Samba, utilizando um cliente

Microsoft Windows.

* Aviso: logar no quer dizer "acesso garantido aos diretrios", isso ainda estamos ao passo

de configurar.

Para facilitar a administrao e ter compartilhamentos Samba extremamente seguros,

devemos organizar os usurios em grupos. Em uma empresa, muito simples: o nome dos

grupos de usurios devero ser os mesmos de cada departamento da empresa.

Vamos criar o(s) grupo(s):

# addgroup marketing

# addgroup departamento_pessoal

# addgroup direcao

Neste exemplo, apesar de criarmos trs grupos, apenas o grupo marketing ser configurado.

Agora, vamos agrupar os funcionrios da empresa nos grupos correspondentes, de acordo

com o seu departamento.

Em nosso caso, os trs funcionrios pertencero ao mesmo grupo (departamento) marketing:

# adduser joana_dark marketing

# adduser diego_hipolito marketing

# adduser maradonna marketing

Etapa 4

Configurao: Parte 3 - Configurando

Permisses (Permisses de acesso e

segurana)

Primeiramente, vamos criar um diretrio pessoal para cada um dos trs membros do grupo

marketing:

# mkdir /samba/marketing/maradonna

# mkdir /samba/marketing/diego_hipolito

# mkdir /samba/marketing/joana_dark

Pgina 10 de 14

* Aviso: os nomes dos diretrios no necessitam ser os mesmos que o do usurio.

Primeiramente, ao diretrio raiz do departamento, iremos configurar quem o "comandar", e o

grupo de usurios que o comandar:

# chown root.marketing /samba/marketing

O comando chown (change owner), segue a seguinte sintaxe:

chown [usurio_dono].[grupo_dono] [diretrio]

Voc deve estar perguntando-se: mas, por que devemos ter o usurio root de dono, uma vez

que o mesmo sempre possui acesso irrestrito a todos os diretrios?

E a resposta simples: o usurio dono, neste momento no ser importante. O mais

importante que o grupo marketing agora, dono de seu prprio diretrio. timo!

Agora, vamos a uma das partes mais divertidas, a configurao das permisses.

A partir deste momento, o diretrio /samba/marketing pertence ao usurio root, tambm ao

grupo marketing e a todos os membros deste grupo.

extremamente recomendvel conhecer permisses (chmod) a partir deste ponto.

# chmod 000 /samba/marketing

Sintaxe do comando:

chmod

[permisso_usurio_dono][permisso_grupo_dono][permisso_para_qualquer_outro_u

surio] [diretrio]

Para cada permisso (dono, grupo, ou outros usurios), pode-se atribuir um nmero entre 0 e

7, para permitir o nvel de acesso ao diretrio especificado.

Abaixo, ser explicado cada nvel de acesso, sem maiores detalhes:

Permisso Binrio Decimal

--- 000 0

--x 001 1

-w- 010 2

-wx 011 3

r-- 100 4

r-x 101 5

rw- 110 6

rwx 111 7

Pgina 11 de 14

Fonte: www.infowester.com

Onde:

R - Read (Leitura) :: Permisso de "olhar" o contedo.

W - Write (Escrita) :: Permisso de gravar novos arquivos e alterar os j existentes.

X - Execution (Execuo) :: Permisso de abrir o diretrio e abrir arquivos que esto

no mesmo.

Se no compreendeu permisses GNU/Linux, voc deve estudar sobre a mesma, e o link

acima, o auxiliar muito em seu aprendizado.

Vamos analisar novamente o comando digitado anteriormente:

# chmod 000 /samba/marketing

Usurio Grupo Outros usurios (no donos)

0 0 0

Leitura=negada, Leitura=negada, Leitura=negada,

Escrita=negada, Escrita=negada, Escrita=negada,

Execuo=negada. Execuo=negada. Execuo=negada.

Sendo assim, ningum ter acesso ao diretrio, correto?

Vamos ser bonzinhos, e liberar o acesso ao usurio e ao grupo? Planejando...

- O usurio (root) poder receber qualquer permisso.

- O grupo receber acesso de leitura e execuo (r-x - 5).

- Qualquer outro usurio ter seu acesso completamente negado!

# chmod 750 /samba/marketing

Usurio Grupo Outros usurios (no donos)

7 5 0

Leitura=concedida, Leitura=negada, Leitura=negada,

Escrita=concedida, Escrita=negada, Escrita=negada,

Execuo=concedida. Execuo=concedida. Execuo=negada.

Reinicie os daemons do Samba:

# /etc/init.d/samba restart

Pronto, agora experimente acessar o servidor Samba de um cliente Windows, acesse o

diretrio compartilhado Marketing e uma senha lhe ser pedida.

Voc deve, apenas, poder ver o contedo do diretrio, mas no poder alter-lo.

Ainda no pode acessar o diretrio? Isso comum e ser resolvido assim que alterarmos

http://www.infowester.com/linuxpermissoes.phphttp://www.vivaolinux.com.br/linux/

Pgina 12 de 14

algumas configuraes do arquivo de configuraes do Samba, ok? No se desespere.

Iremos agora, tornar os usurios pertencentes ao grupo marketing donos de seus prprios

subdiretrios:

# chown maradonna.marketing /samba/marketing/maradonna

# chown diego_hipolito.marketing /samba/marketing/diego_hipolito

# chown joana_dark.marketing /samba/marketing/joana_dark

Agora, cada usurio dono de um diretrio diferente, e, alm disso, o grupo tambm dono

de cada diretrio dos usurios do grupo marketing.

Vamos configurar o nvel de acesso de cada usurio, para cada um dos trs diretrios:

# chmod 750 /samba/marketing/maradonna

# chmod 750 /samba/marketing/diego_hipolito

# chmod 750 /samba/marketing/joana_dark

Vamos analisar o comando.

# chmod 750 /samba/marketing/joana_dark

O usurio dono (joana_dark) recebeu a permisso 7 (acesso total), os membros do grupo

marketing receberam a permisso 5 (r-x - Read & Execution - Leitura + Execuo),

permitindo a estes, acessarem o diretrio livremente, porm, no podero alterar ou salvar

quaisquer dados.

Etapa 5

Configurao: Parte 3 - Configurando

Permisses (Realizando alteraes no

arquivo de configurao do Samba)

# nano /etc/samba/smb.conf

Oba! Estamos novamente configurando o smb.conf.

Faremos agora, os ajustes finais.

#Compartilhando

#[nome do compartilhamento]

[Publicidade e Marketing]

Pgina 13 de 14

comment = Acesso Restrito ao setor de Marketing

path = /samba/marketing

public = no #Acesso sem senha, pblico (yes ou no)

writable = yes #Permitir alteraes no diretrio? (yes ou no)

valid users = @marketing #Apenas os membros do grupo marketing acessaro o

compartilhamento.

force group = marketing #Fora o acesso do grupo marketing somente.

Salve o documento e, em seguida, reinicie os daemons do Samba:

# /etc/init.d/samba restart

H ainda um parmetro chamado veto files, para voc acrescentar um compartilhamento. O

mesmo til para vetar nomes de arquivos e/ou extenses, facilitando para o administrador

impedir a disseminao de arquivos perigosos que sejam alojados no servidor, e desencorajar

os usurios guardarem arquivos pessoais nos diretrios compartilhados. Veja abaixo um

exemplo de uso do parmetro:

veto files = *.exe/*.com/*. scr/*.rar/*.zip/*.ace*.cab/*.bat/*.inf/

O parmetro veto files pode ser aplicado um compartilhamento, ou diretamente na seo

global.

Quer mais? Que tal gerenciar o seu servidor com o WEB Admin para o Samba, o SWAT?

# aptitude install swat

Aps a instalao, abra seu navegador de Internet preferido e digite o seguinte endereo na

barra de endereos de seu navegador:

http://localhost:901

http://img.vivaolinux.com.br/imagens/artigos/comunidade/configuracao_samba_2.png

Pgina 14 de 14

Quer baixar este tutorial em PDF para consult-lo sempre que precisar? Clique aqui, para

fazer o download.

Fonte: http://www.vivaolinux.com.br/artigo/Configuracao-

definitiva-do-Samba?pagina=6

http://img.vivaolinux.com.br/imagens/artigos/comunidade/Configuracao_Definitiva_do_Samba_v2.pdfhttp://www.vivaolinux.com.br/artigo/Configuracao-definitiva-do-Samba?pagina=6http://www.vivaolinux.com.br/artigo/Configuracao-definitiva-do-Samba?pagina=6