
មានកម្រិតសុវត្ថិភាពពីរយ៉ាងដែលអាចប្រើបានសម្រាប់ពិធីការបណ្តាញ Common Internet Filesystem (CIFS) កម្រិតអ្នកប្រើ និង កម្រិតចែករំលែក ។ ការអនុវត្ត របៀបសុវត្ថិភាព របស់ Samba នឹងអនុញ្ញាតឲ្យមានភាពបត់បែនកាន់តែច្រើនដោយផ្តល់នូវវិធីសាស្ត្របួនយ៉ាងក្នុងការអនុវត្តសុវត្ថិភាពកម្រិតអ្នកប្រើ និងវិធីសាស្ត្រមួយទៀត សម្រាប់អនុវត្តកម្រិតចែករំលែក ៖
សុវត្ថិភាព = អ្នកប្រើ ៖ ទាមទារឲ្យកម្មវិធីផ្តល់ឈ្មោះអ្នកប្រើ និងពាក្យសម្ងាត់ សម្រាប់ភ្ជាប់ទៅការចែករំលែក ។ គណនីអ្នកប្រើ Samba បំបែកចេញពីគណនីប្រព័ន្ធ ប៉ុន្តែកញ្ចប់ libpam-smbpass នឹងធ្វើសមកាលកម្មពាក្យសម្ងាត់ និងអ្នកប្រើប្រព័ន្ធជាមួយនឹងមូលដ្ឋានទិន្នន័យអ្នកប្រើ Samba ។
សុវត្ថិភាព = ដែន ៖ របៀបនេះនឹងអនុញ្ញាតឲ្យម៉ាស៊ីនបម្រើ Samba បង្ហាញនូវកម្មវិធីវីនដូជា Primary Domain Controller (PDC), Backup Domain Controller (BDC) ឬ Domain Member Server (DMS) ។ ចំពោះព័ត៌មានបន្ថែម សូមមើល the section called “Samba ជាកម្មវិធីគ្រប់គ្រងដែន” ។
សុវត្ថិភាព = ADS ៖ អនុញ្ញាតឲ្យម៉ាស៊ីនបម្រើ Samba ភ្ជាប់ដែន Active Directory ជាសមាជិកដើម ។ ចំពោះព័ត៌មានលម្អិត សូមមើល the section called “ការបញ្ចូលថតសកម្មរបស់ Samba” ។
សុវត្ថិភាព = ម៉ាស៊ីនបម្រើ ៖ របៀបនេះសេសសល់ពីមុន មុនដែល Samba ក្លាយជាម៉ាស៊ីនបម្រើរបស់សមាជិក ហើយដោយសារតែមានបញ្ហាសុវត្ថិភាពខ្លះៗ វានឹងមិនត្រូវបានគេប្រើទេ ។ ចំពោះព័ត៌មានលម្អិត សូមមើលផ្នែក សុវត្ថិភាពម៉ាស៊ីនបម្រើ របស់មគ្គុទ្ទេសក៍ Samba ។
សុវត្ថិភាព = ចែករំលែក ៖ អនុញ្ញាតឲ្យកម្មវិធីតភ្ជាប់ទៅការចែករំលែក ដោយមិនចាំបាច់ផ្តល់ឈ្មោះអ្នកប្រើ និងពាក្យសម្ងាត់ ។
របៀបសុវត្ថិភាពដែលពេញចិត្តគឺអាស្រ័យលើបរិស្ថាន និងអ្វីដែលម៉ាស៊ីនបម្រើ Samba ត្រូវការប្រតិបត្តិ ។
ផ្នែកនេះនឹងកំណត់រចនាសម្ព័ន្ធឯកសារ Samba និងម៉ាស៊ីនបម្រើក្នុងការបោះពុម្ព ដើម្បីទាមទារការផ្ទៀតផ្ទាត់ភាពត្រឹមត្រូវ ពី the section called “ម៉ាស៊ីនបម្រើឯកសារ Samba” និង ម៉ាស៊ីនបម្រើការបោះពុម្ព ។
ដំបូងដំឡើងកញ្ចប់ libpam-smbpass ដែលនឹងធ្វើសមកាលកម្មជាមួយនឹងអ្នកប្រើប្រព័ន្ធទៅកាន់មូលដ្ឋានអ្នកប្រើ Samba ៖
sudo apt-get install libpam-smbpass
Note
បើភារកិច្ចរបស់ ម៉ាស៊ីនបម្រើ Samba ត្រូវបានជ្រើសក្នុងអំឡុងពេលដំឡើង អញ្ចឹង libpam-smbpass ក៏ត្រូវបានដំឡើងរួចដែរ ។
កែសម្រួល /etc/samba/smb.conf
និងនៅក្នុងការផ្លាស់ប្តូរផ្នែក [share] ៖
guest ok = no
ចុងបញ្ចប់ ចាប់ផ្តើម Samba ឡើងវិញ ដើម្បីឲ្យការកំណត់ថ្មីមានប្រសិទ្ធភាព ៖
sudo /etc/init.d/samba restart
ឥឡូវនេះ នៅពេលដែលតភ្ជាប់ទៅថតដែលបានចែករំលែក ឬម៉ាស៊ីនបោះពុម្ព នឹងមានការស្នើសុំឈ្មោះអ្នកប្រើ និងពាក្យសម្ងាត់ ។
Note
ដើម្បីផ្គូផ្គងដ្រាយបណ្តាញជាមួយការចែករំលែក ត្រូវគូសធីក“តភ្ជាប់ឡើងវិញ នៅពេលចូល” ដែលនឹងទាមទារឲ្យបញ្ចូលឈ្មោះអ្នកប្រើ និងពាក្យសម្ងាត់តែម្តងគត់ លើកលែងតែមានការផ្លាស់ប្តូរពាក្យសម្ងាត់ ។
មានជម្រើសបីបួនដែលអាចប្រើបានក្នុងការបង្កើនសុវត្ថិភាពសម្រាប់ថតដែលបានចែករំលែកនីមួយៗ ។ ដោយការប្រើឧទាហរណ៍ [share] ផ្នែកនេះនឹងគ្របដណ្តប់ជម្រើសទូទៅមួយចំនួន ។
ក្រុមកំណត់នូវសម្រាំងរបស់កុំព្យូទ័រ ឬអ្នកប្រើដែលមានកម្រិតចូលប្រើទូទៅទៅកាន់ធនធានបណ្តាញជាក់លាក់ និងផ្តល់នូវកម្រិតតូចៗនៅក្នុងការគ្រប់គ្រងការចូលដំណើរការទៅធនធានទាំងនេះ ។ ឧទាហរណ៍ បើក្រុម qa ត្រូវបានកំណត់ និងមានអ្នកប្រើ freda danika និង rob ហើយក្រុមទីពីរ support ត្រូវបានកំណត់ និងមានអ្នកប្រើ danika jeremy និង vincent ពេលនោះ ធនធានបណ្តាញជាក់លាក់នឹងត្រូវកំណត់រចនាសម្ព័ន្ធ ដើម្បីអនុញ្ញាតឲ្យចូលដំណើរការតាម qa ចំនែកក្រុមនឹងអនុញ្ញាតឲ្យចូលដំណើរការជាបន្តបន្ទាប់តាម freda, danika, និង rob ប៉ុន្តែមិនចូលដំណើរការតាម jeremy ឬ vincent ទេ ។ ដោយសារអ្នកប្រើ danika ស្ថិតនៅក្នុងក្រុមqa និងក្រុម support គាត់អាចនឹងចូលដំណើរការធនធានដែលបានកំណត់រចនាសម្ព័ន្ធ សម្រាប់ឲ្យចូលដំណើរការតាមក្រុមទាំងពីរបាន ចំនែកអ្នកប្រើផ្សេងទៀតនឹងមានសិទ្ធិចូលដំណើរការបានត្រឹមតែធនធាន ដែលនឹងអនុញ្ញាតសម្រាប់តែក្រុមដែលជាផ្នែករបស់វាតែប៉ុណ្ណោះ ។
តាមលំនាំដើម Samba នឹងរកមើលក្រុមប្រព័ន្ធមូលដ្ឋាន ដែលបានកំណត់នៅក្នុង /etc/group
ដើម្បីកំណត់ថា អ្នកប្រើណា ត្រូវស្ថិតនៅក្នុងក្រុមណា ។ ចំពោះព័ត៌មានបន្ថែមអំពីការបន្ថែម និងយកអ្នកប្រើចេញពីក្រុម សូមមើល Basics ។
នៅពេលកំណត់ក្រុម នៅក្នុងឯកសារកំណត់រចនាសម្ព័ន្ធ Samba /etc/samba/smb.conf
វាក្យសម្ព័ន្ធដែលស្គាល់នឹងត្រូវដាក់បុព្វបទឈ្មោះក្រុម ដោយប្រើនិមិត្តសញ្ញា "@" ។ ឧទាហរណ៍ ដើម្បីកំណត់ក្រុមដែលមានឈ្មោះ sysadmin នៅក្នុងផ្នែកមួយចំនួនរបស់ /etc/samba/smb.conf
ឈ្មោះក្រុមនឹងត្រូវវាយបញ្ចូលជា @sysadmin ។
សិទ្ធិឯកសារកំណត់នូវសិទ្ធិជាក់លាក់សម្រាប់កុំព្យូទ័រ ឬអ្នកប្រើត្រូវតែមានថត ឯកសារ ឬសំណុំឯកសារពិសេសណាមួយ ។ សិទ្ធិទាំងនេះអាចត្រូវបានកំណត់ ដោយការកែសម្រួលឯកសារ /etc/samba/smb.conf
និងបញ្ជាក់នូវសិទ្ធិជាក់លាក់នៃការចែករំលែកឯកសារដែលបានកំណត់ ។
ឧទាហរណ៍ សម្រាប់ការចែករំលែក Samba ដែលបានកំណត់ ហៅថា share ចំនែកការតម្រូវឲ្យផ្តល់សិទ្ធិ បានតែអាន ដល់ក្រុមអ្នកប្រើ ស្គាល់ជា qa ចំពោះការអនុញ្ញាតឲ្យមានសិទ្ធិសរសេរ ទៅកាន់ការចែករំលែកតាមក្រុមហៅថា sysadmin និងចំពោះអ្នកប្រើមានឈ្មោះថា vincent បន្ទាប់មកឯកសារ/etc/samba/smb.conf
អាចនឹងត្រូវកែសម្រួល ដើម្បីបន្ថែមធាតុដូចខាងក្រោមនៅពីក្រោមធាតុ [share] ៖
read list = @qa write list = @sysadmin, vincent
សិទ្ធិផ្សេងទៀតដែល Samba អាចធ្វើបាន គឺត្រូវអះអាងសិទ្ធិ គ្រប់គ្រង ចំពោះធនធានដែលបានចែករំលែកពិសេសណាមួយ ។ អ្នកប្រើ ដែលមានសិទ្ធិគ្រប់គ្រងអាចអាន សរសេរ ឬកែប្រែព័ត៌មានណាមួយ ដែលមាននៅក្នុងធនធានដែលជាកន្លែង ដែលអ្នកប្រើត្រូវបានផ្តល់សិទ្ធិគ្រប់គ្រងជាក់លាក់ ។
ឧទាហរណ៍ ដើម្បីផ្តល់សិទ្ធិគ្រប់គ្រង melissa ដល់អ្នកប្រើ ទៅកាន់គំរូ share ឯកសារ /etc/samba/smb.conf
នឹងត្រូវកែសម្រួល ដើម្បីបន្ថែមបន្ទាត់ដូចខាងក្រោមពីក្រោមធាតុ [share] ៖
admin users = melissa
បន្ទាប់ពីកែសម្រួល /etc/samba/smb.conf
ចាប់ផ្តើម Samba ឡើងវិញ ដើម្បីឲ្យការផ្លាស់ប្តូរមានប្រសិទ្ធិភាព ៖
sudo /etc/init.d/samba restart
Note
ចំពោះ បញ្ជីអាន និង បញ្ជីសរសេរ ដើម្បីឲ្យដំណើរការបាន ដាច់ខាត មិន ត្រូវកំណត់របៀបសុវត្ថិភាព Samba ទៅជាsecurity = share
ឥឡូវ Samba នោះត្រូវបានកំណត់រចនាសម្ព័ន្ធ ដើម្បីដាក់កម្រិតក្រុមណាមួយដែលមានសិទ្ធិចូលដំណើរការដល់ថតដែលបានចែករំលែក សិទ្ធិប្រព័ន្ធឯកសារទាមទារឲ្យធ្វើបច្ចុប្បន្នភាព ។
សិទ្ធិឯកសាររបស់លីនុចចាស់ផ្គូផ្គងមិនសូវបានប្រសើរជាមួយនឹង Windows NT Access Control Lists (ACLs) ទេ ។ សំណាងល្អ POSIX ACLs អាចមាននៅលើម៉ាស៊ីនបម្រើ គូប៊ុនទូ ដោយផ្តល់នូវការគ្រប់គ្រងដែលកាន់តែប្រសើរថែមទៀត ។ ឧទាហរណ៍ ដើម្បីបើក ACLs នៅលើ /srv
និងប្រព័ន្ធឯកសារ EXT3 កែសម្រួល /etc/fstab
ដោយបន្ថែមជម្រើសacl ៖
UUID=66bcdd2e-8861-4fb0-b7e4-e61c569fe17d /srv ext3 noatime,relatime,acl 0 1
បន្ទាប់មកម៉ោនភាគថាសឡើងវិញ ៖
sudo mount -v -o remount /srv
Note
ឧទាហរណ៍ខាងលើសន្មត /srv
នៅលើភាគថាសផ្សេងគ្នា ។ បើ /srv
ឬកំណត់រចនាសម្ព័ន្ធផ្លូវចែករំលែកនៅត្រង់ណាមួយ ជាផ្នែករបស់ភាគថាស /
អាចនឹងទាមទារឲ្យចាប់ផ្តើមឡើងវិញ ។
ដើម្បីផ្គូផ្គងការកំណត់រចនាសម្ព័ន្ធ Samba ខាងលើ ក្រុមsysadmin នឹងត្រូវបានផ្តល់សិទ្ធិអាន សរសេរ និងប្រតិបត្តិទៅកាន់ /srv/samba/share
ក្រុម qa នឹងត្រូវបានផ្តល់សិទ្ធិអាន និងប្រតិបត្តិ ចំនែកឯកសារទាំងនេះនឹងត្រូវគ្រប់គ្រងដោយឈ្មោះអ្នកប្រើ melissa ។ វាយបញ្ចូលដូចខាងក្រោមក្នុងស្ថានីយ ៖
sudo chown -R melissa /srv/samba/share/ sudo chgrp -R sysadmin /srv/samba/share/ sudo setfacl -R -m g:qa:rx /srv/samba/share/
Note
ពាក្យបញ្ជា setfacl ខាងលើផ្តល់នូវសិទ្ធិ ប្រតិបត្តិ ទៅកាន់ឯកសារទាំងអស់នៅក្នុងថត /srv/samba/share
ដែលអាចនឹងត្រូវការ ឬមិនត្រូវការ ។
កម្មវិធីវីនដូនឹងបង្ហាញថាសិទ្ធិឯកសារថ្មីត្រូវបានប្រតិបត្តិ ។ ចំពោះព័ត៌មានបន្ថែមអំពី POSIX ACLs សូមមើលទំព័រមេ acl និង setfacl ។
គូប៊ុនទូ ភ្ជាប់មកជាមួយនូវម៉ូឌុលសុវត្ថិភាព AppArmor ដែលផ្តល់នូវការគ្រប់គ្រងក្នុងការចូលដំណើរដែលចាំបាច់ ។ ទម្រង់ AppArmor លំនាំដើម សម្រាប់ Samba នឹងទាមទារឲ្យកែសម្រួលឲ្យត្រូវនឹងការកំណត់រចនាសម្ព័ន្ធត្រឹមត្រូវ ។ សម្រាប់ព័ត៌មានលម្អិតអំពីការប្រើ AppArmor សូមយោងទៅកាន់ វីគី
មានទម្រង់ AppArmor លំនាំដើមសម្រាប់ /usr/sbin/smbd
និង /usr/sbin/nmbd
ព្រមទាំងគោលពីរដេមិនសម្រាប់ Samba ដែលជាផ្នែករបស់កញ្ចប់ apparmor-profiles ។ ដើម្បីដំឡើងកញ្ចប់ ពីប្រអប់បញ្ចូលរបស់ស្ថានីយ វាយបញ្ចូល ៖
sudo apt-get install apparmor-profiles
Note
កញ្ចប់នេះមានទម្រង់ សម្រាប់គោលពីរផ្សេងទៀតបីបួន ។
តាមលំនាំដើម ទម្រង់សម្រាប់ smbd និង nmbd ស្ថិតនៅក្នុងរបៀប ត្អូញត្អែរ ដែលអនុញ្ញាតឲ្យ Samba ដំណើរការ ដោយគ្មានធ្វើការកែប្រែទម្រង់ និងចូលតែកំហុស ។ ដើម្បីដាក់ទម្រង់ smbd ទៅក្នុងរបៀប បង្ខំ និងឲ្យ Samba ដំណើរការដូចដែលបានរំពឹង ទម្រង់នឹងទាមទារឲ្យកែប្រែ ដើម្បីបង្ហាញថតណាមួយដែលនឹងត្រូវចែករំលែក ។
កែសម្រួល /etc/apparmor.d/usr.sbin.smbd
ដោយបន្ថែមព័ត៌មានសម្រាប់ [share] ពីគំរូម៉ាស៊ីនបម្រើឯកសារ ៖
/srv/samba/share/ r, /srv/samba/share/** rwkix,
ឥឡូវដាក់ទម្រង់ទៅក្នុងរបៀប បង្ខំ និងផ្ទុកវាឡើងវិញ ៖
sudo aa-enforce /usr/sbin/smbd cat /etc/apparmor.d/usr.sbin.smbd | sudo apparmor_parser -r
ឥឡូវនេះអាចអាន សរសេរ និងប្រតិបត្តិឯកសារនៅក្នុងថតដែលបានចែករំលែកតាមធម្មតាបាន ហើយគោលពីរ smbd អាចនឹងមានសិទ្ធិចូលដំណើរការបានត្រឹមតែថត និងឯកសារដែលបានកំណត់រចនាសម្ព័ន្ធប៉ុណ្ណោះ ។ សូមប្រាកដថា បានបន្ថែមធាតុសម្រាប់ថតនីមួយៗ ដែលនឹងត្រូវកំណត់រចនាសម្ព័ន្ធ Samba ជាមួយការចែករំលែក ។ កំហុសមួយចំនួននឹងត្រូវចូលទៅក្នុង /var/log/syslog
។
ចំពោះការកំណត់រចនាសម្ព័ន្ធ Samba ឲ្យស៊ីជម្រៅ សូមមើល Samba HOWTO Collection
ក៏មានមគ្គុទ្ទេសក៍ផងដែរនៅក្នុង ទ្រង់ទ្រាយដែលបានបោះពុម្ព ។
O'Reilly's ការប្រើ Samba ក៏ជាសេចក្តីយោងដ៏ប្រសើរផងដែរ ។
ជំពូកទី ១៨ របស់ Samba HOWTO Collection គឺពាក់ព័ន្ធនឹងសុវត្ថិភាព ។
ចំពោះព័ត៌មានបន្ថែមអំពី Samba និង ACLs សូមមើល ទំព័រ Samba ACLs ។