Pgina 1 de 14
Conceitos SEGURANA DE REDES (FIREWALL)
Filtro de pacotes (Firewall)
Filosofia do filtro de pacotes
Conceito de fluxo de dados
IPChains
Filtro de pacotes built-in X externo ao kernel
Chains
Input, output
Forward
Habilitao do forward de pacotes IPv4
Aes - Accept, reject, deny, masq
Polticas de regras
Filtrar portas
Mscara de endereos
Routing e rotas
Pgina 2 de 14
1 Configurao definitiva do Samba
Introduo
Para o compartilhamento de diretrios via rede, com a possibilidade de configurar
permisses de controle de acesso, o Samba sobressai-se sobre os concorrentes.
Alm de que, o mesmo tambm capaz de compartilhar diretrios de um sistema de
arquivos Linux (ext, JFS...) atravs da rede, possibilitando o acesso ao mesmo, utilizando o
protocolo cliente smb, para distribuies GNU/Linux, e o prprio Windows Explorer
(explorador de diretrios), para sistemas operacionais Microsoft Windows.
Vantagens
Em relao ao seu concorrente proprietrio ($$), o sistema operacional Microsoft Windows
Server, o Samba muitssimo mais completo, apresenta menos erros (conhecidos tambm
como bugs), alm do que, como o software Samba deve ser instalado em um servidor
GNU/Linux, a possibilidade de ter o servidor infectado por malware (vrus, cavalos de troia,
worms, etc), MNIMA.
E, por fim, a configurao de permisso de acesso de diretrios feita INTEIRAMENTE
utilizando ferramentas da distribuio GNU/Linux, o que torna muitas das tcnicas hacking
ineficazes.
Desvantagem
Pgina 3 de 14
Ento, qual o principal motivo de o mercado utilizar, principalmente, Windows Server para
tal servio, voc se pergunta?
Simples: em sistemas Windows, configurar o sistema para compartilhar diretrios
brincadeira de criana, j em sistemas Linux, o arquivo de configuraes do Samba
assustador para quem nasceu no mundo do "mas onde que clica?".
Porm, ao trmino da configurao, o sistema durar por muitos anos (se no, eternamente),
se tudo depender do sistema operacional, pois no h agentes "feitos para destruir o
sistema", como em outros sistemas operacionais proprietrios.
Concluso
No mundo Windows, a configurao simples e rpida, porm, a mesma precisar ser
refeita de tempos em tempos, pois, todo tipo de Malware est preparado para destruir o
sistema, alm disso, erros de sistema sero frequentes, confundindo o usurio e o setor de
TI da empresa.
Utilizando um servidor GNU/Linux, por vias normais, a configurao mais lenta, porm,
uma vez terminada a configurao do mesmo, a equipe de TI apenas necessitar pensar em
"como agregar funes a mais".
Chega de enxaquecas e gastos desnecessrios com manuteno!
Pgina 4 de 14
Etapa 1
Instalando o Samba e criando os diretrios
a serem compartilhados
Vamos botar a mo na massa!
A configurao ser feita em um servidor Debian 7 (Wheezy), porm, pode ser adaptada
facilmente para CentOS, Red Hat e outras distribuies GNU/Linux.
Utilizaremos um terminal modo texto.
Instalao
Instale o pacote samba em seu servidor Debian:
# aptitude install samba Ou:
# apt-get install samba
Aps a instalao, ser criado o arquivo de configuraes do servidor Samba.
Localizao do arquivo: /etc/samba/smb.conf
Configurao: Parte 1 - Criando os
diretrios
Antes de comear a criar os diretrios que, posteriormente, estaro disponveis via rede,
planeje no papel quantos departamentos (grupos de pessoas/usurios) sua empresa possui.
Crie um diretrio no caminho de sua preferncia, em seu sistema de arquivos:
# mkdir /samba
Em seguida, crie um subdiretrio para cada departamento de sua empresa:
# mkdir /samba/marketing
# mkdir /samba/"departamento pessoal"
# mkdir /samba/direo
Obs.: a forma mais simples de criar um diretrio que contm nome espaado em GNU/Linux,
digitando-se apenas o nome espaado entre aspas (ex.: "diretrio com nome espaado").
http://www.vivaolinux.com.br/linux/Pgina 5 de 14
Depois de criado os subdiretrios, a etapa 1 estar terminada.
Etapa 2
Configurao: Parte 2 - Arquivo de
configurao do Samba
O Samba, assim como muitos outros servidores GNU/Linux, deve ser configurado alterando-
se os parmetros presentes em um arquivo de configurao, e estes parmetros alterados,
sero ento, futuramente, carregados nas variveis do software servidor, durante sua
inicializao.
O arquivo de configurao do Samba encontra-se em: /etc/samba/smb.conf
recomendvel renomear o arquivo, pois, iniciaremos a configurao de nosso servidor a
partir do zero!
# mv /etc/samba/smb.conf /etc/samba/smb.conf.original
Aqui, utilizaremos o editor de textos Nano, por ser o editor de textos padro do GNU/Linux,
isto , o mesmo encontra-se por padro, em qualquer distribuio GNU/Linux, ao contrrio do
Vim/Vi, entre outros:
# nano /etc/samba/smb.conf
Em seu terminal, neste momento, voc deve estar visualizando um arquivo novo, recm-
criado por voc, utilizando o editor de textos Nano.
O arquivo de configuraes Samba est dividido em sees, e cada seo representada da
seguinte forma: "[nome da seo 1]" "[nome da seo 2]"...
Para configurar o Samba, iniciaremos pela seo global.
# A seo global contm parmetros de configuraes globais, os quais sero aplicados a todo
o
#servidor, e a todo compartilhamento.
[global]
server string = nomedoserver #Nome DNS
http://www.vivaolinux.com.br/linux/Pgina 6 de 14
netbios name = nomedoserver #Nome NetBIOS
workgroup = WORKGROUP #Grupo de trabalho das mquinas Windows
#Opes para security:
# none - Nada de senhas!
# user - Requer uma senha Unix, mesmo antes mesmo de escolher o compartilhamento ao
qual
#pretende acessar.
# share - Requere uma senha Unix, apenas se ao acessar o compartilhamento voc no tiver
#permisses para acess-lo.
security = share
#No arquivo de log, sero armazenadas informaes sobre cada conexo realizada ao
servidor.
#'%m' uma varivel que corresponde ao nome da mquina que acessar o servidor Samba.
log file = /var/logs/samba/samba.log #para um log centralizado
#log file = /var/logs/samba/%m.log #para um log por mquina conectada
Depois de terminada a configurao global, deve-se configurar os compartilhamentos:
#Compartilhando
#[nome do compartilhamento]
[Publicidade e Marketing]
comment = Acesso Restrito ao setor de Marketing
path = /samba/marketing
public = yes #Acesso sem senha, pblico (yes ou no)
writable = yes #Permitir alteraes no diretrio? (yes ou no)
#valid users = deixe para mais tarde #Mais tarde!
J possvel testar nossas configuraes.
Vamos, para isso reiniciar o servio do Samba:
# /etc/init.d/samba restart
Ou:
# /etc/init.d/samba stop
# /etc/init.d/samba start
Ou:
# service samba restart
Ou ainda:
# service samba stop
# service samba start
Pgina 7 de 14
Vamos testar nossa configurao!
Em um computador Windows, presente na mesma rede e configurado no mesmo grupo de
trabalho do Samba, chame o dilogo Executar, e ento, digite:
\\[server string]
E aperte: OK
Caso tenha escolhido o valor none ou share para o parmetro security, nenhum prompt de
senha ser apresentado.
Caso tenha escolhido o valor user para security, terminaremos a configurao na seo
"Configurao - Parte 3 (Configurando Permisses)".
Voc, provavelmente, ter acesso com permisses de somente leitura ao diretrio
"Publicidade e Marketing". Configuraremos isso mais tarde.
Curiosidade
Sabe por que no se deve convidar usurios ao servidor, com frases do gnero: "Bem-Vindo
ao compartilhamento..."?
Certa vez, um hacker invadiu um dos servidores de uma certa empresa, e ao ter acesso ao
shell da empresa, recebeu a seguinte mensagem "Bem-Vindo empresa y".
Mais tarde, o mesmo foi descoberto, e julgado em tribunal. Porm, o mesmo alegou ter sido
"bem recebido" na empresa, e ganhou a causa, sem sofrer penalidades.
Agora, lhe pergunto: Voc convidaria um hacker ao seu servidor?
Etapa 3
Pgina 8 de 14
Configurando permisses - Usurios e
Grupos
Agora, vamos sair um pouco do arquivo de configuraes do Samba e criarmos os usurios
que realizaro login via rede atravs do Samba.
Os usurios do Samba, assim como citado anteriormente, so usurios comuns do
GNU/Linux.
Vamos cri-los.
# useradd joana_dark
# useradd diego_hipolito
# useradd maradonna
Os trs usurios acima, sero usurios do Samba, pertencentes ao grupo marketing. Porm,
para cada um deles, foi criado um diretrio /home.
Abaixo, segue os mesmos comandos, porm, com parmetros que impossibilitaro o uso do
login e senha para login local no servidor, e negaro a criao de uma pasta pessoal
(/home/[usurio]):
# useradd --no-create-home -s /bin/false joana_dark
# useradd --no-create-home -s /bin/false diego_hipolito
# useradd --no-create-home -s /bin/false maradonna
O parmetro "-s" especifica um shell de comandos para ser atribudo ao usurio criado. O
shell /bin/false, como o nome sugere, um shell falso, e qualquer usurio que utiliza este shell
no ser capaz de logar-se corretamente no sistema GNU/Linux. Ainda bem que para o
usurio acessar os compartilhamentos, ele no precisa de um shell vlido, no mesmo?
Caso voc tenha criado um usurio sem especificar o shell, o usurio configurado com o
shell padro de sua distro. Para alter-lo, edite diretamente o arquivo de texto /etc/passwd, ou
execute o comando usermod -s /bin/false [nomeDoUsurioExistente].
# nano /etc/passwd Ou:
# usermod -s /bin/false [nomeDoUsurioExistente]
Os usurios acima, foram criados sem qualquer tipo de senha, pois, os usurios do Samba no
necessitam de uma senha de logon no GNU/Linux, portanto, configurar uma senha opcional.
Vamos adicionar estes usurios para serem utilizados no Samba:
# smbpasswd -a joana_dark
# smbpasswd -a diego_hipolito
http://www.vivaolinux.com.br/linux/Pgina 9 de 14
# smbpasswd -a maradonna
J se pode testar o login destes usurios em seu servidor Samba, utilizando um cliente
Microsoft Windows.
* Aviso: logar no quer dizer "acesso garantido aos diretrios", isso ainda estamos ao passo
de configurar.
Para facilitar a administrao e ter compartilhamentos Samba extremamente seguros,
devemos organizar os usurios em grupos. Em uma empresa, muito simples: o nome dos
grupos de usurios devero ser os mesmos de cada departamento da empresa.
Vamos criar o(s) grupo(s):
# addgroup marketing
# addgroup departamento_pessoal
# addgroup direcao
Neste exemplo, apesar de criarmos trs grupos, apenas o grupo marketing ser configurado.
Agora, vamos agrupar os funcionrios da empresa nos grupos correspondentes, de acordo
com o seu departamento.
Em nosso caso, os trs funcionrios pertencero ao mesmo grupo (departamento) marketing:
# adduser joana_dark marketing
# adduser diego_hipolito marketing
# adduser maradonna marketing
Etapa 4
Configurao: Parte 3 - Configurando
Permisses (Permisses de acesso e
segurana)
Primeiramente, vamos criar um diretrio pessoal para cada um dos trs membros do grupo
marketing:
# mkdir /samba/marketing/maradonna
# mkdir /samba/marketing/diego_hipolito
# mkdir /samba/marketing/joana_dark
Pgina 10 de 14
* Aviso: os nomes dos diretrios no necessitam ser os mesmos que o do usurio.
Primeiramente, ao diretrio raiz do departamento, iremos configurar quem o "comandar", e o
grupo de usurios que o comandar:
# chown root.marketing /samba/marketing
O comando chown (change owner), segue a seguinte sintaxe:
chown [usurio_dono].[grupo_dono] [diretrio]
Voc deve estar perguntando-se: mas, por que devemos ter o usurio root de dono, uma vez
que o mesmo sempre possui acesso irrestrito a todos os diretrios?
E a resposta simples: o usurio dono, neste momento no ser importante. O mais
importante que o grupo marketing agora, dono de seu prprio diretrio. timo!
Agora, vamos a uma das partes mais divertidas, a configurao das permisses.
A partir deste momento, o diretrio /samba/marketing pertence ao usurio root, tambm ao
grupo marketing e a todos os membros deste grupo.
extremamente recomendvel conhecer permisses (chmod) a partir deste ponto.
# chmod 000 /samba/marketing
Sintaxe do comando:
chmod
[permisso_usurio_dono][permisso_grupo_dono][permisso_para_qualquer_outro_u
surio] [diretrio]
Para cada permisso (dono, grupo, ou outros usurios), pode-se atribuir um nmero entre 0 e
7, para permitir o nvel de acesso ao diretrio especificado.
Abaixo, ser explicado cada nvel de acesso, sem maiores detalhes:
Permisso Binrio Decimal
--- 000 0
--x 001 1
-w- 010 2
-wx 011 3
r-- 100 4
r-x 101 5
rw- 110 6
rwx 111 7
Pgina 11 de 14
Fonte: www.infowester.com
Onde:
R - Read (Leitura) :: Permisso de "olhar" o contedo.
W - Write (Escrita) :: Permisso de gravar novos arquivos e alterar os j existentes.
X - Execution (Execuo) :: Permisso de abrir o diretrio e abrir arquivos que esto
no mesmo.
Se no compreendeu permisses GNU/Linux, voc deve estudar sobre a mesma, e o link
acima, o auxiliar muito em seu aprendizado.
Vamos analisar novamente o comando digitado anteriormente:
# chmod 000 /samba/marketing
Usurio Grupo Outros usurios (no donos)
0 0 0
Leitura=negada, Leitura=negada, Leitura=negada,
Escrita=negada, Escrita=negada, Escrita=negada,
Execuo=negada. Execuo=negada. Execuo=negada.
Sendo assim, ningum ter acesso ao diretrio, correto?
Vamos ser bonzinhos, e liberar o acesso ao usurio e ao grupo? Planejando...
- O usurio (root) poder receber qualquer permisso.
- O grupo receber acesso de leitura e execuo (r-x - 5).
- Qualquer outro usurio ter seu acesso completamente negado!
# chmod 750 /samba/marketing
Usurio Grupo Outros usurios (no donos)
7 5 0
Leitura=concedida, Leitura=negada, Leitura=negada,
Escrita=concedida, Escrita=negada, Escrita=negada,
Execuo=concedida. Execuo=concedida. Execuo=negada.
Reinicie os daemons do Samba:
# /etc/init.d/samba restart
Pronto, agora experimente acessar o servidor Samba de um cliente Windows, acesse o
diretrio compartilhado Marketing e uma senha lhe ser pedida.
Voc deve, apenas, poder ver o contedo do diretrio, mas no poder alter-lo.
Ainda no pode acessar o diretrio? Isso comum e ser resolvido assim que alterarmos
http://www.infowester.com/linuxpermissoes.phphttp://www.vivaolinux.com.br/linux/Pgina 12 de 14
algumas configuraes do arquivo de configuraes do Samba, ok? No se desespere.
Iremos agora, tornar os usurios pertencentes ao grupo marketing donos de seus prprios
subdiretrios:
# chown maradonna.marketing /samba/marketing/maradonna
# chown diego_hipolito.marketing /samba/marketing/diego_hipolito
# chown joana_dark.marketing /samba/marketing/joana_dark
Agora, cada usurio dono de um diretrio diferente, e, alm disso, o grupo tambm dono
de cada diretrio dos usurios do grupo marketing.
Vamos configurar o nvel de acesso de cada usurio, para cada um dos trs diretrios:
# chmod 750 /samba/marketing/maradonna
# chmod 750 /samba/marketing/diego_hipolito
# chmod 750 /samba/marketing/joana_dark
Vamos analisar o comando.
# chmod 750 /samba/marketing/joana_dark
O usurio dono (joana_dark) recebeu a permisso 7 (acesso total), os membros do grupo
marketing receberam a permisso 5 (r-x - Read & Execution - Leitura + Execuo),
permitindo a estes, acessarem o diretrio livremente, porm, no podero alterar ou salvar
quaisquer dados.
Etapa 5
Configurao: Parte 3 - Configurando
Permisses (Realizando alteraes no
arquivo de configurao do Samba)
# nano /etc/samba/smb.conf
Oba! Estamos novamente configurando o smb.conf.
Faremos agora, os ajustes finais.
#Compartilhando
#[nome do compartilhamento]
[Publicidade e Marketing]
Pgina 13 de 14
comment = Acesso Restrito ao setor de Marketing
path = /samba/marketing
public = no #Acesso sem senha, pblico (yes ou no)
writable = yes #Permitir alteraes no diretrio? (yes ou no)
valid users = @marketing #Apenas os membros do grupo marketing acessaro o
compartilhamento.
force group = marketing #Fora o acesso do grupo marketing somente.
Salve o documento e, em seguida, reinicie os daemons do Samba:
# /etc/init.d/samba restart
H ainda um parmetro chamado veto files, para voc acrescentar um compartilhamento. O
mesmo til para vetar nomes de arquivos e/ou extenses, facilitando para o administrador
impedir a disseminao de arquivos perigosos que sejam alojados no servidor, e desencorajar
os usurios guardarem arquivos pessoais nos diretrios compartilhados. Veja abaixo um
exemplo de uso do parmetro:
veto files = *.exe/*.com/*. scr/*.rar/*.zip/*.ace*.cab/*.bat/*.inf/
O parmetro veto files pode ser aplicado um compartilhamento, ou diretamente na seo
global.
Quer mais? Que tal gerenciar o seu servidor com o WEB Admin para o Samba, o SWAT?
# aptitude install swat
Aps a instalao, abra seu navegador de Internet preferido e digite o seguinte endereo na
barra de endereos de seu navegador:
http://localhost:901
http://img.vivaolinux.com.br/imagens/artigos/comunidade/configuracao_samba_2.pngPgina 14 de 14
Quer baixar este tutorial em PDF para consult-lo sempre que precisar? Clique aqui, para
fazer o download.
Fonte: http://www.vivaolinux.com.br/artigo/Configuracao-
definitiva-do-Samba?pagina=6
http://img.vivaolinux.com.br/imagens/artigos/comunidade/Configuracao_Definitiva_do_Samba_v2.pdfhttp://www.vivaolinux.com.br/artigo/Configuracao-definitiva-do-Samba?pagina=6http://www.vivaolinux.com.br/artigo/Configuracao-definitiva-do-Samba?pagina=6Top Related