Главная » Форум » Gentoo Linux » Системное администрирование

Контроль доступа к IPC$ шаре в samba

Anarchist 6 июня, 2017 - 16:41

В виндовом файловом сервере есть объект IPC$. К которому изначально разрешался доступ всем и вся.
Потом, по имеющимся у меня данным где-то в 2008 сервере, т.е. не прошло и четверти века с момента запиливания поддержки сети, разработчики смогли осознать небезопасность реализованного подхода и реализовали опцию запрета анонимного доступа к шаре.

Network access: Do not allow anonymous enumeration of SAM accounts and shares

Виндовый сервер — чур меня! В наличии samba следующей версии/конфигурации:

$ equery u net-fs/samba
…
 * Found these USE flags for net-fs/samba-4.2.14:
 U I
 - - abi_x86_32               : 32-bit (x86) libraries
 + + acl                      : Add support for Access Control Lists
 - - addc                     : Enable Active Directory Domain Controller support
 - - addns                    : Enable AD DNS integration
 - - ads                      : Enable Active Directory support
 - - aio                      : Enable asynchronous IO support
 - - avahi                    : Add avahi/Zeroconf support
 + + client                   : Enables the client part
 - - cluster                  : Enable support for clustering
 - - cups                     : Add support for CUPS (Common Unix Printing System)
 - - dmapi                    : Enable support for DMAPI. This currently works only in combination with XFS.
 - - fam                      : Enable FAM (File Alteration Monitor) support
 - - gnutls                   : Add support for net-libs/gnutls (TLS 1.0 and SSL 3.0 support)
 - - iprint                   : Enabling iPrint technology by Novell
 + + ldap                     : Add LDAP support (Lightweight Directory Access Protocol)
 + + pam                      : Add support for PAM (Pluggable Authentication Modules) - DANGEROUS to arbitrarily flip
 + + python_targets_python2_7 : Build with Python 2.7
 - - quota                    : Enables support for user quotas
 + + syslog                   : Enable support for syslog
 + + system-mitkrb5           : Use app-crypt/mit-krb5 instead of app-crypt/heimdal.
 - - systemd                  : Enable use of systemd-specific libraries and features like socket activation or session tracking
 - - test                     : Workaround to pull in packages needed to run with FEATURES=test. Portage-2.1.2 handles this
                                internally, so don't set it in make.conf/package.use anymore
 + + winbind                  : Enables support for the winbind auth daemon

Согласно man 8 pdbedit реализованы следующие политики:

Valid policies are: minimum password age, reset count minutes, disconnect time, user must logon to change password, password history, lockout duration, min password length, maximum password age and bad lockout attempt.

В официальных доках самбы встречал только примеры ограничения доступа к IPC$ по IP-адресам.
To do this you could use:

[IPC$]
hosts allow = 192.168.115.0/24 127.0.0.1
hosts deny = 0.0.0.0/0

При попытке настроить доступ аналогично обычному каталогу, с требованием авторизованного доступа — ошибка конфигурации.

Кто-нибудь проходил этот квест?

‹ Как получать hostname от провайдера? Политики samba: idle disconnect ›
»

Полагаю, что это не лечится

Автор SysA, дата создания 27 июня, 2017 - 00:34.

Полагаю, что это "не лечится" (пока?), ибо by-design: "...the IPC$ share is the only share that is always accessible anonymously".

Кстати, для предыдущей версии Самбы этому есть объяснение (возможно в текущей что-нибудь поменялось, хотя вряд ли): "Every 'share' has to have a path associated with it; IPC$, a built in share, it's path is to whatever the environment variable TMPDIR is set to. If TMPDIR env variable is NOT set, then it defaults to /tmp. Whatever directory this is, needs to be accessible to world. Тypically the system /tmp dir is rwxrwxrwx, so this would be appropriate.", что так же подсказывает вполне очевидный ответ на твой вопрос! ;)

Вопрос только в том, насколько правомочен твой вопрос!... :) Поскольку это шара предназначена для межмашинного обмена, а не для пользователей, то ограничение по адресам как бы логичнее... Другое дело, что в АДе сейчас все делается через Kerberos/GSSAPI (M$ судорожно пытается создать безопасную среду, чтобы соответствовать реалиям жизни, а декларированные когда-то простота и удобство для простого пользователя уже стоят на втором плане).

P.S. Не забудь включить все нужные компы виндовой сети в соответствующий список пользователей, если все-таки пойдешь своим путем.

P.P.S. pdbedit тут вообще не в тему, т.к. управляет характеристиками пользователей, а IPC$ - это ресурс межмашинного обмена.

»

.

Автор Anarchist, дата создания 27 июня, 2017 - 17:32.
SysA написал(а):
P.P.S. pdbedit тут вообще не в тему, т.к. управляет характеристиками пользователей, а IPC$ - это ресурс межмашинного обмена.

Спасибо, мне уже доложили ☺

Если знаешь где зачитать полный список политик самбы и универсального интерфейса к ним — не томи, назови имя.

ЗЫ: Не в тему тут ужимки разработчика на тему совмещения требований безопасности сетевого обмена с хотя бы сохранением совместимости с проданными решениями.

:wq
--
Live free or die

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".