Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam
Mam serwer samby na debianie Jessie. Udostępnia on kilka katalogów. Dostęp do katalogów ma być bez haseł jedynie na podstawie adresu ip komputera który się łączy. Na podstawie opisów znalezionych w google dostęp ustawiłem przez opcje "hosts allow" i "hosts deny". W przypadku większości komputerów działa jak powinno i tu właśnie pojawia się problem. Jest kilka komputerów które otwierają katalogi których nie powinny. Na komputerach są windowsy w wersjach 7, 8, 8.1, 10. Nie znalazłem żadnej prawidłowości że problem występuje tylko na jednej wersji systemu itp. Bardzo proszę o pomoc, gdyż próbuję to rozgryźć od dłuższego czasu i nadal nie wiem w czym problem.
Pozdrawiam
Offline
Może te komputery mają inne adresy niż Ci się zdaje, jak DHCP przydziela adresy to mogą się zmieniać.
Możesz też na firewallu wyciąć ruch do Samby dla konkretnych IP.
Offline
Adresy są pobierane z dhcp i mam statyczne wpisy i komputery pobierają odpowiednie adresy. Na firewallu mogę wyciąć cały ruch do samby z danego ip, a konkretny komputer ma mieć dostęp do kilku katalogów do reszty nie, kolejny ma mieć dostęp do innych katalogów a do reszty nie itd.
Offline
To pokaż smb.conf.
Offline
[global] printing = bsd printcap name = /dev/null ## Browsing/Identification ### workgroup = GRUPA server string = SMB netbios name = SMB wins support = yes local master = yes preferred master = yes domain master = yes dns proxy = no #### Networking #### interfaces = 127.0.0.0/8 eth0 eth1 eth2 bind interfaces only = yes #### Debugging/Accounting #### log file = /var/log/samba/log.%m max log size = 1000 syslog = 0 panic action = /usr/share/samba/panic-action %d ####### Authentication ####### server role = standalone server passdb backend = tdbsam obey pam restrictions = yes unix password sync = yes passwd program = /usr/bin/passwd %u passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* . pam password change = yes map to guest = bad user usershare allow guests = yes #======================= Share Definitions ======================= [Magazyn] path = /smb/share/magazyn comment = Magazyn writable = yes public = yes # hosts allow = 192.168.21.208 192.168.21.210 192.168.21.216 192.168.21.221 hosts deny = 192.168.23. 192.168.22. 192.168.21. EXCEPT 192.168.21.208 192.168.21.210 192.168.21.216 192.168.21.221 [Wymiana] path = /smb/share/wymiana comment = Wymiana writable = yes public = yes hosts allow = 192.168.21. 192.168.22. hosts deny = 192.168.23. [Biuro] path = /smb/share/biuro comment = biuro writable = yes public = yes hosts allow = 192.168.21. 192.168.22. hosts deny = 192.168.23. [Sala konferencyjna] path = /smb/share/sala comment = Sala konferencyjna public = yes guest ok = yes writable = yes hosts allow = 192.168.21. 192.168.22. 192.168.23. [Zarzadzanie i ksiegowosc] path = /smb/share/zarzadzanie comment = Magazyn browsable = yes public = yes writable = yes hosts allow = 192.168.22. hosts deny = 192.168.23. 192.168.21. [FTP ukryte] path = /smb/share/ftpukryte comment = ftp bez listowania writable = yes public = yes hosts allow = 192.168.21. 192.168.22. hosts deny = 192.168.23. [FTP jawne] path = /smb/share/ftpjawne comment = ftp z listowaniem writable = yes public = yes hosts allow = 192.168.21. 192.168.22. hosts deny = 192.168.23. [SkanowanieBiuro] path = /smb/share/skanbiuro comment = skonowanie dla biura public = yes writable = yes hosts allow = 192.168.22.0/24 hosts deny = 192.168.21.0/24 192.168.23.0/24 EXCEPT 192.168.21.252 [Skanowanie] path = /smb/share/skanprac comment = skanowanie dla pracowni writable = yes public = yes hosts allow = 192.168.21. 192.168.22. hosts deny = 192.168.23.
Offline
Próbowałeś zamiast host deny użyć host allow z wykluczeniem EXCEPT?
Przykładowo w [Magazyn] użyć:
hosts allow = 192.168.21.208 192.168.21.210 192.168.21.216 192.168.21.221 EXCEPT 192.168.23. 192.168.22. 192.168.21.
No i pytanie do jakich zasobów występują nieuprawnione dostępy?
Ostatnio edytowany przez arecki (2017-04-25 22:01:35)
Offline
Głównie chodzi o magazyn i o zarządzanie i księgowość. Komputer który ma mieć dostęp do magazynu wchodzi też w inne katalogi, zarezerwowane dla podsieci 22.
Czy ten zapis sam się nie wyklucza? Zezwolić adresom, ale zabronić całej podsieci w której się one zawierają?
Ostatnio edytowany przez hagridt (2017-04-25 22:40:53)
Offline
A no tak nie zauważyłem tego wykluczenia na sieć 21.
Z tego co widzę sieć 21 ma zablokowany dostęp tylko do [Zarzadzanie i ksiegowosc] [SkanowanieBiuro]
Spróbuj używać tylko host allow, bo to powinno być wystarczające, czyli kolejno dla zasobów:
hosts allow = 192.168.22.
#hosts deny = 192.168.23. 192.168.21.
oraz
hosts allow = 192.168.22.0/24 192.168.21.252/32
#hosts deny = 192.168.21.0/24 192.168.23.0/24 EXCEPT 192.168.21.252
Offline
Ok, popołudniu to zmienię. Obecnie nie mogę gdyż pracują na plikach a restart usługi zerwałby połączenia.
Dostęp do [Zarzadzanie i ksiegowosc] [SkanowanieBiuro] ma być całkowicie zablokowany z podsieci 21, ale do [Magazyn] ma mieć dostęp tylko kilka komputerów i nikt inny.
Właśnie kolega dał mi znać że wchodzi do wszystkich katalogów. A jeszcze wczoraj miał zablokowany dostęp do części. Nic nie zmieniałem w międzyczasie.
Offline
A co tam w logach?
Offline
No właśnie zaczęło mi się pojawiać coś dziwnego w logach:
[2017/04/26 06:53:53.445720, 0] ../source3/param/loadparm.c:3157(process_usershare_file) process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory [2017/04/26 06:53:53.445866, 0] ../source3/param/loadparm.c:3157(process_usershare_file) process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory [2017/04/26 06:53:53.469560, 0] ../source3/param/loadparm.c:3157(process_usershare_file) process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. Permission denied [2017/04/26 06:53:53.469790, 0] ../source3/param/loadparm.c:3157(process_usershare_file) process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory [2017/04/26 06:53:53.470021, 0] ../source3/param/loadparm.c:3157(process_usershare_file) process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory [2017/04/26 06:53:53.471291, 0] ../source3/param/loadparm.c:3157(process_usershare_file) process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. Permission denied [2017/04/26 06:53:53.471445, 0] ../source3/param/loadparm.c:3157(process_usershare_file) process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory [2017/04/26 06:53:53.471606, 0] ../source3/param/loadparm.c:3157(process_usershare_file) process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory
i z innego pliku
process_usershare_file: stat of /var/lib/samba/usershares/skanowani failed. Permission denied [2017/04/26 06:52:38.220359, 0] ../source3/param/loadparm.c:3157(process_usershare_file) process_usershare_file: stat of /var/lib/samba/usershares/skanowani failed. No such file or directory [2017/04/26 06:52:38.220504, 0] ../source3/param/loadparm.c:3157(process_usershare_file) process_usershare_file: stat of /var/lib/samba/usershares/skanowani failed. No such file or directory [2017/04/26 06:52:38.221080, 0] ../source3/param/loadparm.c:3157(process_usershare_file) process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. Permission denied [2017/04/26 06:52:38.221242, 0] ../source3/param/loadparm.c:3157(process_usershare_file) process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory [2017/04/26 06:52:38.221383, 0] ../source3/param/loadparm.c:3157(process_usershare_file) process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory [2017/04/26 06:53:53.443935, 0] ../source3/param/loadparm.c:3157(process_usershare_file) process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. Permission denied [2017/04/26 06:53:53.444167, 0] ../source3/param/loadparm.c:3157(process_usershare_file) process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory [2017/04/26 06:53:53.444323, 0] ../source3/param/loadparm.c:3157(process_usershare_file) process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory [2017/04/26 06:53:53.444736, 0] ../source3/param/loadparm.c:3157(process_usershare_file) process_usershare_file: stat of /var/lib/samba/usershares/skanowani failed. Permission denied [2017/04/26 06:53:53.444885, 0] ../source3/param/loadparm.c:3157(process_usershare_file) process_usershare_file: stat of /var/lib/samba/usershares/skanowani failed. No such file or directory [2017/04/26 06:53:53.445029, 0] ../source3/param/loadparm.c:3157(process_usershare_file) process_usershare_file: stat of /var/lib/samba/usershares/skanowani failed. No such file or directory [2017/04/26 06:53:53.445577, 0] ../source3/param/loadparm.c:3157(process_usershare_file) process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. Permission denied [2017/04/26 06:53:53.445720, 0] ../source3/param/loadparm.c:3157(process_usershare_file) process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory [2017/04/26 06:53:53.445866, 0] ../source3/param/loadparm.c:3157(process_usershare_file) process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory [2017/04/26 06:53:53.469560, 0] ../source3/param/loadparm.c:3157(process_usershare_file) process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. Permission denied [2017/04/26 06:53:53.469790, 0] ../source3/param/loadparm.c:3157(process_usershare_file) process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory [2017/04/26 06:53:53.470021, 0] ../source3/param/loadparm.c:3157(process_usershare_file) process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory [2017/04/26 06:53:53.471291, 0] ../source3/param/loadparm.c:3157(process_usershare_file) process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. Permission denied [2017/04/26 06:53:53.471445, 0] ../source3/param/loadparm.c:3157(process_usershare_file) process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory [2017/04/26 06:53:53.471606, 0] ../source3/param/loadparm.c:3157(process_usershare_file) process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory
Offline
Kolego uzupełnij z jakich plików te logi.
Offline
sorki. logi tworzą mi się jako osobny plik dla każdego ip jakie połączy się do udostępnionych zasobów. Każdy z wklejonych fragmentów jest z innego pliku czyli dla innego komputera.
Offline
Można jeszcze spróbować w sekcji global ustawić deny na wszystkich a potem w zasobach używać allow do uprawnionych (takie podejście jak w budowaniu firewalla).
Offline
Z tego co jest napisane w dokumentacji można wywnioskować że zasada jest jedna - za to bardzo prosta.
hosts allow ma określić jakim hostom udzielasz dostępu
hosts deny - zabroń pozostałym ;-)
Więc wg mnie (no i dokumentacji) wpis powinien wyglądać tak:
[nazwa_udziału] .... hosts allow = 192.168.21.0/24 192.168.22.0/24 hosts deny = 0.0.0.0/0
No i teoretycznie powinno wystaczyć samo allow lub deny ;-)
Więcej [url=https://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/securing-samba.html]tu[/url]
Ostatnio edytowany przez pasqdnik (2017-04-26 23:50:07)
Offline
wczoraj przerobiłem by było tylko "hosts allow" tak jak sugerował kolega arecki. W wyniku tego z samego rana odebrałem telefon że nie można wejść w żaden katalog z żadnego komputera. Szybko przywróciłem poprzedni plik konfiguracyjny, kolega potwierdził że ma dostęp do katalogów na których wcześniej pracował ale nie może wejść w [sala konferencyjna] do którego jeszcze wczoraj miał dostęp i wogóle wszyscy powinni mieć dostęp.
użyłem równocześnie hosts allow i deny, ponieważ tak było we wszystkich przykładach jakie znalazłem.
Testparm pokazuje że wszystko jest ok, jak mu podaje nazwę hosta i ip to prawidłowo pokazuje do czego jest dostęp a do czego niema.
Ciekawa sprawa gdy się łączę vpn'em do sieci to prawidłowo daje dostęp i blokuje odpowiednie katalogi.
Ostatnio edytowany przez hagridt (2017-04-27 11:06:43)
Offline
Time (s) | Query |
---|---|
0.00010 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00097 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.218.11.211' WHERE u.id=1 |
0.00068 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.218.11.211', 1730423267) |
0.00053 | SELECT * FROM punbb_online WHERE logged<1730422967 |
0.00061 | SELECT topic_id FROM punbb_posts WHERE id=310321 |
0.00006 | SELECT id FROM punbb_posts WHERE topic_id=29529 ORDER BY posted |
0.00059 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=29529 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.00099 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=29529 ORDER BY p.id LIMIT 0,25 |
0.00088 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=29529 |
Total query time: 0.0055 s |