Forum Debian Users Gang

hagridt · 2017-04-25 18:53:42

Witam

Mam serwer samby na debianie Jessie. Udostępnia on kilka katalogów. Dostęp do katalogów ma być bez haseł jedynie na podstawie adresu ip komputera który się łączy. Na podstawie opisów znalezionych w google dostęp ustawiłem przez opcje "hosts allow" i "hosts deny". W przypadku większości komputerów działa jak powinno i tu właśnie pojawia się problem. Jest kilka komputerów które otwierają katalogi których nie powinny. Na komputerach są windowsy w wersjach 7, 8, 8.1, 10. Nie znalazłem żadnej prawidłowości że problem występuje tylko na jednej wersji systemu itp. Bardzo proszę o pomoc, gdyż próbuję to rozgryźć od dłuższego czasu i nadal nie wiem w czym problem.

Pozdrawiam

arecki · 2017-04-25 19:33:35

Może te komputery mają inne adresy niż Ci się zdaje, jak DHCP przydziela adresy to mogą się zmieniać.
Możesz też na firewallu wyciąć ruch do Samby dla konkretnych IP.

hagridt · 2017-04-25 19:46:42

Adresy są pobierane z dhcp i mam statyczne wpisy i komputery pobierają odpowiednie adresy. Na firewallu mogę wyciąć cały ruch do samby z danego ip, a konkretny komputer ma mieć dostęp do kilku katalogów do reszty nie, kolejny ma mieć dostęp do innych katalogów a do reszty nie itd.

arecki · 2017-04-25 21:36:41

To pokaż smb.conf.

hagridt · 2017-04-25 21:46:41

Kod:

[global]
printing = bsd
printcap name = /dev/null
## Browsing/Identification ###

   workgroup = GRUPA
    server string = SMB
    netbios name = SMB
   wins support = yes
   local master = yes
   preferred master = yes
    domain master = yes
   dns proxy = no

#### Networking ####

   interfaces = 127.0.0.0/8 eth0 eth1 eth2
   bind interfaces only = yes

#### Debugging/Accounting ####

   log file = /var/log/samba/log.%m
   max log size = 1000
   syslog = 0
   panic action = /usr/share/samba/panic-action %d

####### Authentication #######

   server role = standalone server
   passdb backend = tdbsam
   obey pam restrictions = yes
   unix password sync = yes
   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
   pam password change = yes
   map to guest = bad user
   usershare allow guests = yes

#======================= Share Definitions =======================


[Magazyn]
    path = /smb/share/magazyn
    comment = Magazyn
    writable = yes
    public = yes
#    hosts allow = 192.168.21.208 192.168.21.210 192.168.21.216 192.168.21.221
    hosts deny = 192.168.23. 192.168.22. 192.168.21. EXCEPT 192.168.21.208 192.168.21.210 192.168.21.216 192.168.21.221

[Wymiana]
    path = /smb/share/wymiana
    comment = Wymiana
    writable = yes
    public = yes
    hosts allow = 192.168.21. 192.168.22.
    hosts deny = 192.168.23.

[Biuro]
    path = /smb/share/biuro
    comment = biuro
    writable = yes
    public = yes
    hosts allow = 192.168.21. 192.168.22.
    hosts deny = 192.168.23.

[Sala konferencyjna]
    path = /smb/share/sala
    comment = Sala konferencyjna
    public = yes
    guest ok = yes
    writable = yes
    hosts allow = 192.168.21. 192.168.22. 192.168.23.

[Zarzadzanie i ksiegowosc]
    path = /smb/share/zarzadzanie
    comment = Magazyn
    browsable = yes
    public = yes
    writable = yes
    hosts allow = 192.168.22.
    hosts deny = 192.168.23. 192.168.21.

[FTP ukryte]
    path = /smb/share/ftpukryte
    comment = ftp bez listowania
    writable = yes
    public = yes
    hosts allow = 192.168.21. 192.168.22.
    hosts deny = 192.168.23.

[FTP jawne]
    path = /smb/share/ftpjawne
    comment = ftp z listowaniem
    writable = yes
    public = yes
    hosts allow = 192.168.21. 192.168.22.
    hosts deny = 192.168.23.

[SkanowanieBiuro]
    path = /smb/share/skanbiuro
    comment = skonowanie dla biura
    public = yes
    writable = yes
    hosts allow = 192.168.22.0/24
    hosts deny = 192.168.21.0/24 192.168.23.0/24 EXCEPT 192.168.21.252

[Skanowanie]
    path = /smb/share/skanprac
    comment = skanowanie dla pracowni
    writable = yes
    public = yes
    hosts allow = 192.168.21. 192.168.22.
    hosts deny = 192.168.23.

arecki · 2017-04-25 22:00:04

Próbowałeś zamiast host deny użyć host allow z wykluczeniem EXCEPT?
Przykładowo w [Magazyn] użyć:
hosts allow = 192.168.21.208 192.168.21.210 192.168.21.216 192.168.21.221 EXCEPT 192.168.23. 192.168.22. 192.168.21.
No i pytanie do jakich zasobów występują nieuprawnione dostępy?

Ostatnio edytowany przez arecki (2017-04-25 22:01:35)

hagridt · 2017-04-25 22:39:49

Głównie chodzi o magazyn i o zarządzanie i księgowość. Komputer który ma mieć dostęp do magazynu wchodzi też w inne katalogi, zarezerwowane dla podsieci 22.
Czy ten zapis sam się nie wyklucza? Zezwolić adresom, ale zabronić całej podsieci w której się one zawierają?

Ostatnio edytowany przez hagridt (2017-04-25 22:40:53)

arecki · 2017-04-26 08:36:03

A no tak nie zauważyłem tego wykluczenia na sieć 21.
Z tego co widzę sieć 21 ma zablokowany dostęp tylko do [Zarzadzanie i ksiegowosc] [SkanowanieBiuro]
Spróbuj używać tylko host allow, bo to powinno być wystarczające, czyli kolejno dla zasobów:
hosts allow = 192.168.22.
#hosts deny = 192.168.23. 192.168.21.
oraz
hosts allow = 192.168.22.0/24 192.168.21.252/32
#hosts deny = 192.168.21.0/24 192.168.23.0/24 EXCEPT 192.168.21.252

hagridt · 2017-04-26 10:35:52

Ok, popołudniu to zmienię. Obecnie nie mogę gdyż pracują na plikach a restart usługi zerwałby połączenia.
Dostęp do [Zarzadzanie i ksiegowosc] [SkanowanieBiuro] ma być całkowicie zablokowany z podsieci 21, ale do [Magazyn] ma mieć dostęp tylko kilka komputerów i nikt inny.
Właśnie kolega dał mi znać że wchodzi do wszystkich katalogów. A jeszcze wczoraj miał zablokowany dostęp do części. Nic nie zmieniałem w międzyczasie.

arecki · 2017-04-26 12:35:04

A co tam w logach?

hagridt · 2017-04-26 12:59:38

No właśnie zaczęło mi się pojawiać coś dziwnego w logach:

Kod:

[2017/04/26 06:53:53.445720,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory
[2017/04/26 06:53:53.445866,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory
[2017/04/26 06:53:53.469560,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. Permission denied
[2017/04/26 06:53:53.469790,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory
[2017/04/26 06:53:53.470021,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory
[2017/04/26 06:53:53.471291,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. Permission denied
[2017/04/26 06:53:53.471445,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory
[2017/04/26 06:53:53.471606,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory

i z innego pliku

Kod:

 process_usershare_file: stat of /var/lib/samba/usershares/skanowani failed. Permission denied
[2017/04/26 06:52:38.220359,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/skanowani failed. No such file or directory
[2017/04/26 06:52:38.220504,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/skanowani failed. No such file or directory
[2017/04/26 06:52:38.221080,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. Permission denied
[2017/04/26 06:52:38.221242,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory
[2017/04/26 06:52:38.221383,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory
[2017/04/26 06:53:53.443935,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. Permission denied
[2017/04/26 06:53:53.444167,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory
[2017/04/26 06:53:53.444323,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory
[2017/04/26 06:53:53.444736,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/skanowani failed. Permission denied
[2017/04/26 06:53:53.444885,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/skanowani failed. No such file or directory
[2017/04/26 06:53:53.445029,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/skanowani failed. No such file or directory
[2017/04/26 06:53:53.445577,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. Permission denied
[2017/04/26 06:53:53.445720,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory
[2017/04/26 06:53:53.445866,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory
[2017/04/26 06:53:53.469560,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. Permission denied
[2017/04/26 06:53:53.469790,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory
[2017/04/26 06:53:53.470021,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory
[2017/04/26 06:53:53.471291,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. Permission denied
[2017/04/26 06:53:53.471445,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory
[2017/04/26 06:53:53.471606,  0] ../source3/param/loadparm.c:3157(process_usershare_file)
  process_usershare_file: stat of /var/lib/samba/usershares/ftp failed. No such file or directory

arecki · 2017-04-26 13:19:50

Kolego uzupełnij z jakich plików te logi.

hagridt · 2017-04-26 19:45:05

sorki. logi tworzą mi się jako osobny plik dla każdego ip jakie połączy się do udostępnionych zasobów. Każdy z wklejonych fragmentów jest z innego pliku czyli dla innego komputera.

arecki · 2017-04-26 21:02:41

Można jeszcze spróbować w sekcji global ustawić deny na wszystkich a potem w zasobach używać allow do uprawnionych (takie podejście jak w budowaniu firewalla).

pasqdnik · 2017-04-26 23:40:12

Z tego co jest napisane w dokumentacji można wywnioskować że zasada jest jedna - za to bardzo prosta.
hosts allow ma określić jakim hostom udzielasz dostępu
hosts deny - zabroń pozostałym ;-)

Więc wg mnie (no i dokumentacji) wpis powinien wyglądać tak:

Kod:

[nazwa_udziału]
....
hosts allow = 192.168.21.0/24 192.168.22.0/24
hosts deny = 0.0.0.0/0

No i teoretycznie powinno wystaczyć samo allow lub deny ;-)

Więcej [url=https://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/securing-samba.html]tu[/url]

Ostatnio edytowany przez pasqdnik (2017-04-26 23:50:07)

hagridt · 2017-04-27 09:36:46

wczoraj przerobiłem by było tylko "hosts allow" tak jak sugerował kolega arecki. W wyniku tego z samego rana odebrałem telefon że nie można wejść w żaden katalog z żadnego komputera. Szybko przywróciłem poprzedni plik konfiguracyjny, kolega potwierdził że ma dostęp do katalogów na których wcześniej pracował ale nie może wejść w [sala konferencyjna] do którego jeszcze wczoraj miał dostęp i wogóle wszyscy powinni mieć dostęp.

użyłem równocześnie hosts allow i deny, ponieważ tak było we wszystkich przykładach jakie znalazłem.
Testparm pokazuje że wszystko jest ok, jak mu podaje nazwę hosta i ip to prawidłowo pokazuje do czego jest dostęp a do czego niema.

Ciekawa sprawa gdy się łączę vpn'em do sieci to prawidłowo daje dostęp i blokuje odpowiednie katalogi.

Ostatnio edytowany przez hagridt (2017-04-27 11:06:43)

Time (s)	Query
0.00009	SET CHARSET latin2
0.00004	SET NAMES latin2
0.00125	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.226.226.158' WHERE u.id=1
0.00083	UPDATE punbb_online SET logged=1732244852 WHERE ident='18.226.226.158'
0.00022	SELECT * FROM punbb_online WHERE logged<1732244552
0.00087	SELECT topic_id FROM punbb_posts WHERE id=310321
0.00005	SELECT id FROM punbb_posts WHERE topic_id=29529 ORDER BY posted
0.00062	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=29529 AND t.moved_to IS NULL
0.00005	SELECT search_for, replace_with FROM punbb_censoring
0.00180	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=29529 ORDER BY p.id LIMIT 0,25
0.00072	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=29529
Total query time: 0.00654 s

Forum Debian Users Gang

Ogłoszenie

#1 2017-04-25 18:53:42

hagridt - Użytkownik

Samba i dostęp zależny od ip

#2 2017-04-25 19:33:35

arecki - Użytkownik

Re: Samba i dostęp zależny od ip

#3 2017-04-25 19:46:42

hagridt - Użytkownik

Re: Samba i dostęp zależny od ip

#4 2017-04-25 21:36:41

arecki - Użytkownik

Re: Samba i dostęp zależny od ip

#5 2017-04-25 21:46:41

hagridt - Użytkownik

Re: Samba i dostęp zależny od ip

Kod:

#6 2017-04-25 22:00:04

arecki - Użytkownik

Re: Samba i dostęp zależny od ip

#7 2017-04-25 22:39:49

hagridt - Użytkownik

Re: Samba i dostęp zależny od ip

#8 2017-04-26 08:36:03

arecki - Użytkownik

Re: Samba i dostęp zależny od ip

#9 2017-04-26 10:35:52

hagridt - Użytkownik

Re: Samba i dostęp zależny od ip

#10 2017-04-26 12:35:04

arecki - Użytkownik

Re: Samba i dostęp zależny od ip

#11 2017-04-26 12:59:38

hagridt - Użytkownik

Re: Samba i dostęp zależny od ip

Kod:

Kod:

#12 2017-04-26 13:19:50

arecki - Użytkownik

Re: Samba i dostęp zależny od ip

#13 2017-04-26 19:45:05

hagridt - Użytkownik

Re: Samba i dostęp zależny od ip

#14 2017-04-26 21:02:41

arecki - Użytkownik

Re: Samba i dostęp zależny od ip

#15 2017-04-26 23:40:12

pasqdnik - Pijak ;-P

Re: Samba i dostęp zależny od ip

Kod:

#16 2017-04-27 09:36:46

hagridt - Użytkownik

Re: Samba i dostęp zależny od ip

Stopka forum

Informacje debugowania