Post on 11-Apr-2016
description
FASE 3:
CREACIÓN DE USUARIOS, PERMISOS
I. GESTIÓN DE USUARIOS DE SAMBA
La gestión de usuarios de samba se realiza con el comando
smbpasswd. Con dicho comando, entre otras cosas podremos crear
y eliminar usuarios, cambiar su contraseña, etc.
I.1. CREACIÓN DE UN USUARIO DE SAMBA
a) Para crear un usuario de samba en el sistema operativo cents
debemos utilizar el comando inicial # useradd, una vez que
hemos creado el usuario en Unix procedemos con el password de
autentificación.
Ejemplo, supongamos que queremos crear en Unix al usuario
AlvaroBarrientos:
Nota:
Así que la intención real de nologin es sólo para que cuando un
usuario intenta iniciar sesión con una cuenta que hace uso de la
misma en el / etc / passwd es para que estén presentados con
un mensaje fácil de usar, y que cualquier scripts / comandos que
tratar de hacer uso de esta información de acceso recibe el código
de salida de 1.
El código de salida devuelto por nologin es siempre 1.
Con respecto a la seguridad, se le suele ver ya sea / sbin / nologin o a veces / bin / false, entre otras cosas en ese
campo. Ambos tienen el mismo propósito, pero / sbin / nologin es probablemente el método preferido. En cualquier
caso, que están limitando el acceso directo a una Shell como esta
cuenta de usuario en particular.Si deseamos que AlvaroBarrientos
pueda disfrutar de los servicios samba, debemos crear a
AlvaroBarrientos como usuario de samba ejecutando el siguiente
comando:
b) Con la opción -a indicamos que se añade al usuario.
c) Nos pedirá poner la nueva contraseña y volver a verificar la
misma clave.
d) Nos muestra que el usuario AlvaroBarrientos ha sido agregado o
adicionado.
e) Ahora comprobaremos si se añadió el usuario creado. Para esto
usaremos el comando: # pdbedit -L
f) Pero como podemos saber cuántos usuarios hemos agregado y
quienes son, muy fácil solo bastara que ejecutemos como root:
g) Primero entramos al usuario para poder crear la carpeta
ArchivoSMB.
h) Crear una carpeta dentro de la carpeta de usuario
AlvaroBarrientos.
i) Listamos para ver el total.
j) Creamos un texto dentro del usuario AlvaroBarrientos.
Nota: El primer campo representa los permisos del archivo. El tercer
campo es el propietario del mismo (root), el cuarto es el grupo al cual
pertenece el archivo (users = root) y el último campo es el nombre
del archivo (AlvaroBarrientosSMB).
La cadena “drwxr--r-” nos informa, por orden, los permisos para el
propietario, los usuarios del grupo y el resto de los usuarios.
El primer carácter de la cadena de permisos (“d”) representa el tipo
de archivo. El “-” o puede ser “d” significa que es un archivo regular,
“d” indicaría que se trata de un directorio. Los siguientes tres
caracteres (“rwx”) representan los permisos para el propietario del
archivo, root. Éste tiene permisos para leer (r), escribir (w) y ejecutar
(x) en el archivo “AlvaroBarrientosSMB”.
Como ya mencionamos, además de los permisos de lectura,
escritura y ejecución. Si hay un “-” en lugar de la “x”, significa
que AlvaroBarrientosSMB no debería tener permiso para ejecutar
ese archivo. Esto es correcto, puesto que AlvaroBarrientosSMB no
es un programa. Ni tampoco el ejemplo.txt.
Los siguientes tres caracteres, “r-x”, representan los permisos para
los miembros del grupo al que pertenece el archivo (en este
caso, root). Como sólo aparece una “r y x” cualquier usuario que
pertenezca al grupo root puede leer este archivo, pero no modificarlo
pero si ejecutarlo.
Los últimos tres caracteres, “r-x”, representan los permisos para
cualquier otro usuario del sistema (que no sea root ni pertenezca al
grupo grupo = root). Nuevamente, como sólo está presente la “r y x”,
los demás usuarios pueden leer el archivo, pero no escribir en él pero
si ejecutarlo, en ejemplo.txt sucede que tiene más de restricciones.
k) En resumen se podía ver la creación de otros usuarios. Podemos
ver que en el texto plano no recibe la letra “ñ” es por eso que se le
tiene que cambiar por el reemplazo de “nio”, como es caso del
usuario JoseMunioz.
l) Luego tenemos que verificar los usuarios creados.
m) Nos muestra lo siguiente: ya ingresado todos los usuarios del
curso de TIIS.
n) Esto nos devolverá una lista con los usuarios, si necesitamos más
información de los usuarios podemos usar el modo verbose:
I.2. ELIMINAR UN USUARIO DE SAMBA
a) Para eliminar un usuario crearemos un usuario más llamado usuario
prueba:
b) Creamos su password (passwd), luego nos pedirá la nueva contraseña
si en caso escribimos mal nos volverá a pedir.
c) Integrando al usuario a samba
d) Eliminar el usuario prueba en SAMBA debemos ejecutar smbpasswd
con la opción –x
e) Se eliminó el usuario prueba exitosamente de samba.
f) Otras opciones de smbpasswd:
-d: Deshabilitar un usuario.
-e: Habilitar un usuario.
-n: Usuario sin password. Necesita parámetro null passwords = yes
en sección 'global' del archivo de configuración de samba.
-m: Indica que es una cuenta de máquina (equipo).
g) Restauramos o reiniciamos los servicios en samba. Para que puede
hacer caso a los archivos eliminados.
h) Podemos haber borrado el usuario ya existente, luego crearlo con el
mismo nombre al anterior. Pero se debe borrar todo sus complementos
con “-r” seguidamente el usuario. El “-a” agrega a un usuario y “-e”
habilita al usuario en la cual no nos permite en CentOS.
I.3. PERMISOS DE USUARIOS
a) Antes de configurar samba vamos a ver que permisos que tienen los
usuarios.
b) Todos los de usuario se guarda en el directorio /home. Luego listamos
con ls - l para verlo al detalle.
I.4. POLÍTICAS DE CONTRASEÑA
Una política de contraseñas fuerte es uno de los aspectos más
importantes en cuanto a seguridad se trata. La mayoría de los
ataques exitosos involucran simples ataques de fuerza bruta o
ataques de diccionario contra contraseñas débiles. Si planeas ofrecer
algún tipo de acceso remoto a tu sistema que involucre el uso de tu
sistema local de contraseñas, asegúrate de contar con requerimiento
para la complejidad de las contraseñas, vida útil máxima de las
contraseñas, y auditorías frecuentes de tus sistemas de
autenticación.
Longitud mínima de la contraseña De forma predeterminada, Ubuntu
y CentOS requiere un mínimo de 6 caracteres para la creación de
una contraseña, además de algunas verificaciones de entropía.
Valores son controlados por el archivo /etc/pam.d/system-auth que
se describe a continuación:
Nota:
El comando grep nos permite buscar, dentro de los archivos, las
líneas que concuerdan con un patrón.
a) Usa criptografía de md5
Si por ejemplo quieres cambiar el mínimo de caracteres para la
contraseña de 6 a 8, entonces cambia el valor de la variable
correspondiente a min=8 como se muestra en el siguiente ejemplo:
b) Esc y “: wq”, para guardar los cambios.
Las verificaciones básicas de entropía y las reglas de longitud
mínima no aplican al administrador que esté usando sudo para la
creación de un nuevo usuario.
I.4.1. Caducidad de las contraseñasa) Cuando creas nuevos usuarios, deberías establecer una política
que indique un mínimo y un máximo de tiempo para la duración
de las contraseñas, obligando al usuario a cambiarla una vez este
tiempo se haya agotado.
Para conocer fácilmente el estado actual de una cuenta de
usuario, utiliza la siguiente sintaxis:
b) La salida obtenida presenta interesantes datos acerca de la
cuenta de usuario, observando que no existen políticas aplicadas:
c) Para establecer cualquiera de estos valores, utiliza la siguiente
sintaxis.
d) Y sigue cada uno de los mensajes interactivos:
e) Consultando los cambios realizados.
f) El siguiente es un ejemplo de cómo puedes cambiar
manualmente la fecha de expiración (-E) a 07/31/2016, una
duración mínima de la contraseña (-m) de 5 días, una duración
máxima de la contraseña (-M) de 90 días, un periodo de
inactividad (-I) de 5 días después de la fecha de expiración de la
contraseña, y una advertencia con (-W) 14 días de anticipación
antes de la expiración de la contraseña:
g) Ver los cambios realizados con “-l”.
I.4.2. Seguridad de perfil de usuario
Cuando se crea un nuevo usuario, la utilidad adduser crea un nuevo
directorio nombrado /home/usuario. El perfil predeterminado es
modelado a partir del contenido del directorio /etc/skel, el cual incluye
las características básicas del perfil.
Si tu servidor va a albergar varios usuarios, debes poner especial
atención a los permisos de los directorios personales con la intención
de mantener la confidencialidad. Por defecto, los directorios
personales en Ubuntu son creados con permisos de lectura y
ejecución globales. Esto significa que a los usuarios se les permite
navegar y acceder a los directorios y archivos almacenados en los
directorios personales de cada uno de los usuarios en el servidor, lo
cual puede llegar a ser contraproducente para tus necesidades
específicas.
a) Para verificar los permisos de los directorios personales de cada
uno de los usuarios utiliza la siguiente sintaxis:
b) La siguiente salida muestra que el directorio /home/nomb-usuario
posee permisos de lectura globales.
I.5. INTALACION DE COTASSistemas Linux con gran cantidad de usuarios, como servidores de
correo, servidores samba, etc., tarde o temprano tienen el problema
de usuarios que almacenan demasiada información en sus
directorios de trabajo, pudiendo incluso en casos extremos llenar
completamente discos duros haciendo el sistema inservible. Con el
uso de cuotas de disco (disk quotas) es posible limitar la cantidad de
espacio disponible para cada usuario o de manera global para todos.
También se podría restringir algunos formatos como videos y
músicas, para que no sea almacenable en nuestro espacio de
almacenamiento. Se puede también restringir extensiones de
posibles virus que podría propagarse en nuestro sistema operativo.
Tipos de cuota:
Por Bloques (blocks): Un bloque corresponde a 1 kb y una
cuota por bloques correspondería al total de bloques que un
usuario puede utilizar en el sistema. Recuerda que los
archivos se guardan en bloques de disco. Así un archivo de
100 bytes, ocupará un bloque de 1kb en el disco duro.
Por Inodos (inodes): Un inodo o inode en inglés (Index Node)
es un número que actúa como apuntador para el sistema de
archivos de Linux y le indica en que bloques específicos del
disco duro se encuentran los datos de un archivo. También el
inodo en su referencia guarda información sobre permisos,
propietario, atributos, etc. Se podría ver en una analogía
simple que un inodo es como un número de serie único para
cada archivo del sistema y a través de este número el sistema
recupera sus datos (bloques) y sus atributos (permisos,
propietario, fechas, etc.).
En el caso de las cotas, una cota por inodos indicaría el total de
indos a los que el usuario tiene derecho, casi representaría el total de
archivos que el usuario puede crear y digo "casi" porque los usuarios
podemos crear enlaces simbólicos (ln -s) sobre archivos ya
existentes que no aumentan las cantidad de inodos. Pero por
simplicidad puedes verlo como un 1 inodo = 1 archivo.
Límites
Tanto las cuotas por bloques o por inodos, tienen límites de uso y
son de dos tipos:
HARD: (Duro) Cuando se establece (para bloques o inodos),
es el límite absoluto. El usuario no podrá exceder este límite.
SOFT: (Suave) Este límite (para bloques o inodos) que es
siempre menor al HARD, puede ser excedido por el usuario,
pero será constantemente advertido que el límite de uso para
bloques o inodos ya ha sido excedido. Podría verse como un
límite de advertencia que le estará indicando al usuario que su
límite ya se excedió y tome medidas.
Cuando se usa el límite SOFT, dos situaciones pueden ocurrir. La
primera es que NO se tenga establecido un tiempo de gracia, y
entonces el usuario podrá seguir usando bloques o inodos hasta
llegar al límite HARD que será su límite absoluto de uso.
La segunda situación es que SI se tenga establecido el tiempo de
gracia, que puede ser en días, horas, minutos o segundos. En este
caso, el usuario podrá seguir usando bloques o inodos hasta que
termine el tiempo de gracia o llegue al límite HARD, cualquiera que
ocurra primero.
El tiempo de gracias se puede establecer por usuario o globalmente
y más adelante veremos cómo establecerlo.
a) Instalamos el paquete.
b) Proceso de instalación va descargando los paquetesn de rpm.
c) La instalación quedo listo para su posterior configuración.
Generar y gestionar:
d) Puntos de montaje que inicia las cuotas para usuarios y así también como grupos.
e) Para ver los espacios de aprisionamiento en CentOS/Linux.
f) El comando que nos proporciona esta información es “df“, df nos
proporciona la cantidad de espacio usado en disco y la cantidad de
espacio disponible, para usarlo es sencillo, sólo escribimos en la consola
“df” y presionamos la tecla Enter, dado que no se le paso ningún
parámetro nos mostrara la información de todos los sistemas de
archivos que se encuentren montados actualmente y nos arrojará la
información en bloques. Podemos hacer uso del parámetro “-h” éste lo
que hará es que nos mostrará la información de manera más legible, es
decir en Mb y Gb, así está mejor, y de hecho si sólo queremos saber la
capacidad de una partición podemos hacer que se muestre sólo esa
agregando su ruta después del “–h”.
I.6. CONFIGURACIÓN DE SAMBA
Para configurar SELinux en Centos de Linux: Editando manualmente
el archivo de configuración (/ etc / sysconfig / selinux).
a) El archivo / etc / sysconfig / selinux es el archivo de configuración
principal para habilitar o deshabilitar SELinux, así como para el
establecimiento de que la política para hacer cumplir en el
sistema y la forma de aplicarla.
b) A continuación se explica el subconjunto completo de opciones
disponibles para la configuración:
SELINUX=enforcing/permissive/disabled- Define el estado de
nivel superior de SELinux en un sistema.
Enforcing - La política de seguridad de SELinux se hace cumplir.
permissive - Los SELinux sistema imprime advertencias pero no
hacer cumplir la política.
Esto es útil para propósitos de depuración y solución de
problemas. En modo permisivo, más negativas se registran
porque los sujetos pueden continuar con acciones que de otro
modo se les niega en modo obligatorio. Por ejemplo, atravesar un
árbol de directorios en modo permisivo produce avc: negado
mensajes para cada nivel de directorio leer. En modo impositivo,
SELinux se habría detenido el recorrido inicial y mantenido más
mensajes de negación que se produzcan.
disabled - SELinux está desactivado por completo. Ganchos de
SELinux se desacoplan del núcleo y el sistema de pseudo-archivo
es registrado.
c) Para aplicar los cambios, reinicie el servicio “smb” y “nmb”:
d) Configurando: /etc/samba/smb.conf
e) Cambiamos el grupo de trabajo según del grupo en que estamos
trabajando
f) Agregando en el archivo el usuario que tendrá acceso con ciertos
permisos:
g) Para verificar si esta todo correcto en el archivo configurado
utilizamos: testparm
h) Restauramos todos los cambios en samba:
i) “smbclient -U nombreusuario -L localhost” para listar los
recursos compartidos disponibles, donde nombreusuario es la
cuenta Samba agregada.
j) ¿Cómo deshabilitar el firewall en CENTOS de Linux?
En el caso que nosotros no tengamos el muro de fuego o firewall
activado porque estamos ejecutando solamente el servicio http
(puerto 80).
Y desea deshabilitar el firewall de Linux de forma permanente en
CentOS, y luego debemos seguir el siguiente procedimiento.
Iptables; es una herramienta de administración / comando para el
filtrado de los paquetes IPV4 y NAT.
Service; es un comando de ejecución script init V. Este se usa
para detener / iniciar/ el servicio del firewall.
Chkconfig; es un comando usado para actualizar y consultar los
niveles d ejecución para los servicios del sistema. Se trata de una
herramienta del sistema para mantener la jerarquía de
/etc/rc*.d .Utilice esta herramienta para deshabilitar el servicio de
cortafuegos (firewall) en el arranque del sistema.
k) Una forma de verificar los paquetes de samba:
I.7. CONFIGURACIÓN
a) Todo debe hacerse como root, y lo primero que haremos es editar el
archivo "/etc/fstab" y añadiremos "usrquota" o "grpquota", dependiendo
si se desea cuotas por usuario o grupos, o incluso ambas.
b) ¿Dónde se implementan?
Las cuotas se establecen por filesystem o sistema de archivos, es decir,
debes de decidir en donde es más conveniente instalar un sistema de
cuotas, pero no hay ningún problema si se instala en todos. Las cuotas
pueden establecerse por usuario, por grupos o ambos. En el siguiente
ejemplo:
c) Algo similar a lo anterior deberá tener tu archivo de configuración, y como ya se indicó solo agregamos el soporte para
cuotas en el sistema de archivos que nos interese. Lo anterior por sí solo, es obvio que no hace nada, habría que reiniciar el
sistema para que se apliquen los cambios pero realmente no es necesario, lo siguiente re-monta el sistema de archivos
"/home":
d) El sistema de archivos "/home" está listo ahora para soportar cuotas de disco. El siguiente paso es verificar con el
comando “quotacheck” por sistemas de archivos que soporten cuotas. Este comando crea, verifica o repara el control de
cuotas en los sistemas que lo soporten, en este caso creara el soporte:
e) Los errores que envía es precisamente porque no existía un sistema de
cuotas previo, es normal que los envíe. Cuando las cuotas estén en
pleno uso, es conveniente ejecutar quotacheck periódicamente para
que verifique inconsistencias y se corrijan a tiempo. En cuanto a las
opciones estas indican lo siguiente:
a - all, es decir verifica todos los sistemas de archivos por cuotas.
u - user, verifica por soporte de cuotas para usuarios.
g - group, verifica por soporte de cuotas para grupos.
m - no-remount, evita que el sistema se remonte como de solo
lectura.
v - verboso, reporta lo que hace conforme progresa, son los
mensajes que salen a la terminal.
f) Como ves, la opción -a en este caso no era necesario puesto que solo
tenemos "/home" con cuotas, así que el comando anterior también
pudiera ser invocado de esta manera:
g) Pues el sistema está listo para manipular cuotas de usuario, esto lo
podemos comprobar porque en la raíz del sistema de archivos soportado
con cuotas deben existir los archivos "aquota.user" y "aquota.group" que
son binarios, no trates de modificarlos o manipularlos:
h) Si se tuvieran más sistemas de archivos con soporte para cuotas en la
raíz de cada uno estarían estos archivos, o solo uno dependiendo lo que
se pidió, usuarios, grupos o ambos. Por cierto, en sistemas con kernel
2.2 o anterior se usaba la versión 1 de cuotas y sus archivos de control
se nombraban "quota.user" y "quota.group", del kernel 2.4 y
posteriores con la versión 2 y 3, se utiliza los mostrados anteriormente.
i) Ahora bien, lo anterior deja listo el sistema para el soporte de cuotas
pero estás siguen sin ser activadas se requiere activar el soporte de
cuotas, para lo cual invocamos el comando quotaon:
j) Activamos para "/home" cuotas de usuario y grupos. Cuando por alguna
razón sea necesario desactivar las cuotas, entonces utiliza la
contraparte, que es el comando quotaoff:
k) Muy bien, hasta aquí ya tienes el sistema de archivos "/home" o el que
hayas elegido (o todos) para trabajar con soporte de cuotas para los
usuarios y grupos, ahora veremos cómo aplicar estas cuotas con los
usuarios.
I.8. APLICANDO LA CUOTA A USUARIOS
l) Ahora hay que aplicar la cuota por usuario, aunque el sistema de
archivos ya soporta cuotas y están habilitadas, por defecto ningún
usuario tiene establecidas cuotas. así que para iniciar habrá que
administrar cada usuario a través del comando “edquota”, que abrirá el
editor de texto que se tenga por defecto y mostrará lo siguiente:
m) Las columnas "blocks" e "inodes" son informativas, es decir nos indican
la cantidad de bloques o inodos utilizados actualmente por el usuario, y
las que podemos editar son las columnas "soft" y "hard" de cada caso.
Como ya se explicó en la primera parte de este artículo, se puede indicar
libremente cualquiera de los cuatro valores, es perfectamente posible
establecer valores por bloques, por inodos o ambos, solo recuerda que
el límite soft debe ser menor al hard. Si se establece solo el hard, no
habrá advertencias previas y el usuario ya no podrá guardar archivos
cuando se llegue al valor. Si se establece soft y hard, avisará cuando se
rebase el límite soft y entrará en juego el periodo de gracia. Si se acaba
el tiempo de gracias o se llega al har (lo que sea primero) ya no se
podrán crear más archivos hasta que no se eliminen algunos de los que
se tengan actualmente.
n) Para modificar cuotas a nivel grupo, se usa el mismo comando pero con
la opción –g (edquota -g ventas).
o) En el ejemplo previo se modifica la cuota del usuario "user1" en el
sistema de archivos "/home" que es el que se ha usado de ejemplo en
este artículo de LinuxTotal.com.mx, el comportamiento por default es
modificar cuotas para ese usuario en todos los sistemas de archivos que
tengan activo el control de cuotas (quotaon). Si se desea control de
cuotas para un filesystem en específico entonces se agrega la opción -f:
I.9. VERIFICANDO EL USO DE LAS CUOTAS
p) Como usuario administrador 'root' puedes ver el uso de cuotas de
cualquier usuario, ya sea individualmente o por medio de un reporte
global.
q) Por usuario o individualmente se usa el comando edquota, estando
como "root":
r) Con usuarios que manejan cantidades muy grandes de cuota, es un
poco difícil calcular en términos de megas o gigas el espacio usado y los
límites de cuotas, la cantidad máxima asignada por usuario es un 1GB:
s) Como usuario individual del sistema, puedes observar tus cuotas con el
mismo comando quota, sin argumentos.
t) Ahora bien, si se desea un reporte global de las cuotas de todos los
usuarios o por grupos, siendo "root" utiliza el comando repquota:
u) Luego de agregar todos los usuario con sus respectivas políticas de
almacenamiento por cada usuario.
v) Con repquota es también posible utilizar la opción -s para observar los
tamaños en formato legible. Si se usa la opción -a (all) en vez del
sistema de archivos "/home", el reporte será para todos los sistemas de
archivos en el equipo que soporten cuotas. Así mismo este reporte por
defecto es por usuarios, si se requiere que repquota reporte por grupos,
añade entonces la opción -g.
II. PASO FINAL
Compartición de archivos de samba en Centos con Windows 8.1
a) Entrando a configuración de /etc/samba/smb.conf agregando el
directorio /home/publico
b) Para tener acceso hacia el servidor samba ejecutamos el siguiente
comando:
c) Reiniciamos samba:
d) Entrado al Windows 8.1
\\192.168.1.205
e) Entramos a público: No tenemos acceso aun.
f) Hemos realizado permiso con el siguiente comando:
g) Entramos de nuevo a Windows 8.1
Como podemos observar ya tenemos permisos de entrar
Pruebas con samba y Windows 8.1 pro
h) Agregando a RamirezYovi en el grupo alumnos
i) Configurando a los usuario.
j) Al final del archivo añada el siguiente contenido. Para los directorios o
volúmenes que se irán a compartir:
k) Procure que los nombres de los recursos a compartir tengan un
máximo de 12 caracteres, utilizando sólo caracteres alfanuméricos de
la tabla de caracteres ASCII.
El volumen puede utilizar cualquiera de las siguientes opciones:
Ejemplo.
En el siguiente ejemplo se compartirá a través de Samba el recurso
denominado ejemplo, el cual está localizado en el
directorio /srv/samba/ejemplo de la unidad de almacenamiento. Se
permitirá el acceso a cualquiera, pero será un recurso de sólo lectura
excepto para los usuarios administrador y fulano, quienes tendrán
privilegios de lectura y escritura. Todo nuevo directorio que sea creado
en su interior tendrá permiso 755 (drwxr-xr-x) y todo archivo que sea
puesto en su interior tendrá permisos 644 (-rw-r--r--).
l) Luego se define en SELinux que dicho directorio debe ser considerado
como contenido SAMBA. Guarde los cambios y salga del editor de
texto.
m) Permitiendo el acceso a samba por cada directorio usuario en este
caso tomamos como ejemplo:
n) En Windows
o) Para ver el espacio de almacenamiento
p) El archivo demostración es de solo lectura y no poder ser modificado
ni eliminado pro cualquier usuario.
q) Aplicando políticas de almacenamiento, donde el límite máximo es de
1GB por usuario.
r) Actualizamos. Una vez ido a la red para conectarnos de forma segura,
y nos aparecerá el disco de almacenamiento por usuario con sistema
de archivo NTFS.
s) Cuando intentamos entrar con una cuenta con otro usuario quiere
decir que está restringido bien.
III. TRABAJO DE INVESTIGACION (DESAFIO)III.1. NO permitir ciertos archivos en un directorio Samba
Con el uso del parámetro Veto Files, podemos restringir que ciertos archivos en gravados en nuestro servidor SMB,
como por ejemplos archivos (.mp3,.mp4 .exe, .bat, mpeg, etc). De esta forma nos ayudará a controlar el uso de lo
copiado de archivos y evitar el desperdicio de espacio.
Dentro de /etc/samba/smb.conf Solo utilizar el siguiente código.
Con esto al momento que los usuarios intente guardar en nuestro servidor de respaldos algún archivo por ejemplo *.mp3
les mostrará el error siguiente:
Error al intentar guardar un archivo .mp3 en el directorio compartido
III.2. Compartiendo Archivos
a) Supongamos que vamos a crear una carpeta en el servidor Linux
llamada "global", y en ella todos los usuarios de nuestra red local
compartirán sus archivos de forma pública, pero solo accesible desde
dentro de la red local. Como sabemos de antemano es una
organización mediana, calculamos entonces que es más viable
destinar un disco duro o una partición para alojar estos archivos, ya
que con el tiempo los "gigas irán creciendo". Como no queremos que
la llenen rápidamente con videos y música (que es lo que más
consume), vamos a establecer sobre ella un 'veto' y finalmente le
daremos permisos para que los usuarios puedan crear, eliminar y
modificar los archivos de esta carpeta a su antojo.
Nota: Es bueno advertirles a nuestros lectores que este tipo de
carpetas no es para manejar información sensible, ya que es
pública, así sea interna de la organización y que deben siempre
hacer copia de respaldo de los archivos que en ésta coloquen, ya
que cualquier usuario puede acceder a un archivo o carpeta y
eliminarla.
b) Lo anterior quiere decir que tenemos una carpeta llamada " global", en la ruta /home/NombreArchivo, que se puede navegar por ella
(browseable = yes), y que no se pueden almacenar una serie de
archivos con determinadas extensiones (veto files), tales
como música (.mp3, wma, etc) y videos (mpeg, 3gp, etc). Pueden
extender el veto a las extensiones que quieran (.inf, .msi, .cab, exe, etc), o eliminar el veto y permitir de todo.
Ahora creamos la carpeta en nuestro servidor, (previamente
establecida en el smb.conf) y le damos los permisos.
c) Conectamos el disco duro al servidor, nos aseguramos que este
desmontado, abrimos el terminal y ejecutamos blkid para determinar
el UUID del disco.
d) En este ejemplo tenemos conectado a nuestro servidor un disco duro
(xvda1) en formato ext4 (que es un formato nativo de Linux), con la
UUID y vamos a agregarlo al fstab del servidor, para que en el
arranque el disco duro siempre se monte en la carpeta compartida.
La ventaja de dedicar un disco a las carpetas compartidas
empresariales es la misma de dedicar un disco duro para almacenar
los discos virtuales, explicada anteriormente.
e) Editamos el “fstab” y agregamos el UUID. En la parte de UUID nos
muestra un cierto código:
f) Y ahora montamos el disco rígido en la carpeta pública.
III.3. Resultados de la restricción de las extensiones
Como podemos observar que las restricciones hace efecto después
de editar en el “smb.conf” en la carpeta “general”. Si deseamos
copiar algún formato a cualquiera de los archivos de los usuarios y
además del archivo Público algún formato con extensiones de audio
o videos no nos permitirá pegar estos tipos de formatos ya que esto
esta restringido.
Todo esto es debido a la política de usuarios y almacenamiento en el
disco duro ya que no permite guardar cosas superficiales sino
primordiales.