{"id":732,"date":"2014-04-06T02:44:19","date_gmt":"2014-04-06T05:44:19","guid":{"rendered":"http:\/\/www.viazap.com.br\/?p=732"},"modified":"2014-04-06T02:44:19","modified_gmt":"2014-04-06T05:44:19","slug":"configuracao-definitiva-do-samba","status":"publish","type":"post","link":"https:\/\/blog.clusterweb.com.br\/?p=732","title":{"rendered":"Configura\u00e7\u00e3o definitiva do Samba"},"content":{"rendered":"\n\n\n\n\n\n\n\n
Introdu\u00e7\u00e3o<\/b><\/p>\n
Para o compartilhamento de diret\u00f3rios via rede, com a possibilidade de configurar permiss\u00f5es de controle de acesso, o\u00a0Samba<\/em>\u00a0sobressai-se sobre os concorrentes.<\/p>\n

Al\u00e9m de que, o mesmo tamb\u00e9m \u00e9 capaz de compartilhar diret\u00f3rios de um sistema de arquivos\u00a0Linux<\/a>\u00a0(ext<\/span>,\u00a0JFS<\/span>…) atrav\u00e9s da rede, possibilitando o acesso ao mesmo, utilizando o protocolo cliente\u00a0smb<\/span>, para distribui\u00e7\u00f5es\u00a0GNU\/Linux<\/a>, e o pr\u00f3prio Windows Explorer (explorador de diret\u00f3rios), para sistemas operacionais Microsoft Windows.<\/p>\n

Vantagens<\/h1>\n

Em rela\u00e7\u00e3o ao seu concorrente propriet\u00e1rio ($$), o sistema operacional Microsoft Windows Server, o Samba \u00e9 muit\u00edssimo mais completo, apresenta menos erros (conhecidos tamb\u00e9m como bugs), al\u00e9m do que, como o software Samba deve ser instalado em um servidor GNU\/Linux, a possibilidade de ter o servidor infectado por malware (v\u00edrus, cavalos de troia, worms, etc), \u00e9 M\u00cdNIMA.<\/p>\n

E, por fim, a configura\u00e7\u00e3o de permiss\u00e3o de acesso de diret\u00f3rios \u00e9 feita INTEIRAMENTE utilizando ferramentas da distribui\u00e7\u00e3o GNU\/Linux, o que torna muitas das t\u00e9cnicas hacking ineficazes.\u00a0<\/p>\n

Desvantagem<\/h1>\n

Ent\u00e3o, qual o principal motivo de o mercado utilizar, principalmente, Windows Server para tal servi\u00e7o, voc\u00ea se pergunta?<\/p>\n

Simples: em sistemas Windows, configurar o sistema para compartilhar diret\u00f3rios \u00e9 brincadeira de crian\u00e7a, j\u00e1 em sistemas Linux, o arquivo de configura\u00e7\u00f5es do Samba \u00e9 assustador para quem nasceu no mundo do “mas onde \u00e9 que clica?”.<\/p>\n

Por\u00e9m, ao t\u00e9rmino da configura\u00e7\u00e3o, o sistema durar\u00e1 por muitos anos (se n\u00e3o, eternamente), se tudo depender do sistema operacional, pois n\u00e3o h\u00e1 agentes “feitos para destruir o sistema”, como em outros sistemas operacionais propriet\u00e1rios.<\/p>\n

Conclus\u00e3o<\/h1>\n

No mundo Windows, a configura\u00e7\u00e3o \u00e9 simples e r\u00e1pida, por\u00e9m, a mesma precisar\u00e1 ser refeita de tempos em tempos, pois, todo tipo de Malware est\u00e1 preparado para destruir o sistema, al\u00e9m disso, erros de sistema ser\u00e3o frequentes, confundindo o usu\u00e1rio e o setor de TI da empresa.<\/p>\n

Utilizando um servidor GNU\/Linux, por vias normais, a configura\u00e7\u00e3o \u00e9 mais lenta, por\u00e9m, uma vez terminada a configura\u00e7\u00e3o do mesmo, a equipe de TI apenas necessitar\u00e1 pensar em “como agregar fun\u00e7\u00f5es a mais”.<\/p>\n

Chega de enxaquecas e gastos desnecess\u00e1rios com manuten\u00e7\u00e3o!<\/p>\n<\/div>\n<\/td>\n<\/tr>\n

Etapa 1<\/b><\/p>\n
\n

Instalando o Samba e criando os diret\u00f3rios a serem compartilhados<\/h1>\n

Vamos botar a m\u00e3o na massa!<\/p>\n

A configura\u00e7\u00e3o ser\u00e1 feita em um servidor\u00a0Debian 7<\/em>\u00a0(Wheezy), por\u00e9m, pode ser adaptada facilmente para CentOS, Red Hat e outras distribui\u00e7\u00f5es\u00a0GNU\/Linux<\/a>.<\/p>\n

Utilizaremos um terminal modo texto.<\/p>\n

Instala\u00e7\u00e3o<\/h1>\n

Instale o pacote\u00a0samba<\/span>\u00a0em seu servidor Debian:<\/p>\n

# aptitude install samba<\/strong>
\nOu:
\n# apt-get install samba<\/strong><\/p>\n

Ap\u00f3s a instala\u00e7\u00e3o, ser\u00e1 criado o arquivo de configura\u00e7\u00f5es do servidor Samba.<\/p>\n

Localiza\u00e7\u00e3o do arquivo:\u00a0\/etc\/samba\/smb.conf<\/span><\/p>\n

Configura\u00e7\u00e3o: Parte 1 – Criando os diret\u00f3rios<\/h1>\n

Antes de come\u00e7ar a criar os diret\u00f3rios que, posteriormente, estar\u00e3o dispon\u00edveis via rede, planeje no papel quantos departamentos (grupos de pessoas\/usu\u00e1rios) sua empresa possui.<\/p>\n

Crie um diret\u00f3rio no caminho de sua prefer\u00eancia, em seu sistema de arquivos:<\/p>\n

# mkdir \/samba<\/strong><\/p>\n

Em seguida, crie um subdiret\u00f3rio para cada departamento de sua empresa:<\/p>\n

# mkdir \/samba\/marketing
\n# mkdir \/samba\/”departamento pessoal”
\n# mkdir \/samba\/dire\u00e7\u00e3o<\/strong><\/p>\n

Obs.: a forma mais simples de criar um diret\u00f3rio que cont\u00e9m nome espa\u00e7ado em GNU\/Linux, \u00e9 digitando-se apenas o nome espa\u00e7ado entre aspas (ex.: “diret\u00f3rio com nome espa\u00e7ado”).<\/p>\n

Depois de criado os subdiret\u00f3rios, a etapa 1 estar\u00e1 terminada.<\/p>\n<\/div>\n<\/td>\n<\/tr>\n

Etapa 2<\/b><\/p>\n
\n

Configura\u00e7\u00e3o: Parte 2 – Arquivo de configura\u00e7\u00e3o do Samba<\/h1>\n

O Samba, assim como muitos outros servidores\u00a0GNU\/Linux<\/a>, deve ser configurado alterando-se os par\u00e2metros presentes em um arquivo de configura\u00e7\u00e3o, e estes par\u00e2metros alterados, ser\u00e3o ent\u00e3o, futuramente, carregados nas vari\u00e1veis do software servidor, durante sua inicializa\u00e7\u00e3o.<\/p>\n

O arquivo de configura\u00e7\u00e3o do Samba encontra-se em:\u00a0\/etc\/samba\/smb.conf<\/span><\/p>\n

\u00c9 recomend\u00e1vel renomear o arquivo, pois, iniciaremos a configura\u00e7\u00e3o de nosso servidor a partir do zero!<\/p>\n

# mv \/etc\/samba\/smb.conf \/etc\/samba\/smb.conf.original<\/strong><\/p>\n

Aqui, utilizaremos o editor de textos\u00a0Nano<\/span>, por ser o editor de textos padr\u00e3o do GNU\/Linux, isto \u00e9, o mesmo encontra-se por padr\u00e3o, em qualquer distribui\u00e7\u00e3o GNU\/Linux, ao contr\u00e1rio do\u00a0Vim\/Vi<\/span>, entre outros:<\/p>\n

# nano \/etc\/samba\/smb.conf<\/strong><\/p>\n

Em seu terminal, neste momento, voc\u00ea deve estar visualizando um arquivo novo, rec\u00e9m-criado por voc\u00ea, utilizando o editor de textos\u00a0Nano<\/span>.<\/p>\n

O arquivo de configura\u00e7\u00f5es Samba est\u00e1 dividido em se\u00e7\u00f5es, e cada se\u00e7\u00e3o \u00e9 representada da seguinte forma:\u00a0“[nome da se\u00e7\u00e3o 1]” “[nome da se\u00e7\u00e3o 2]”<\/span>…<\/p>\n

Para configurar o Samba, iniciaremos pela se\u00e7\u00e3o\u00a0global<\/span>.<\/p>\n

# A se\u00e7\u00e3o global cont\u00e9m par\u00e2metros de configura\u00e7\u00f5es globais, os quais ser\u00e3o aplicados a todo o
\n#servidor, e a todo compartilhamento.
\n[global]
\nserver string = nomedoserver\u00a0\u00a0\u00a0\u00a0#Nome DNS
\nnetbios name = nomedoserver\u00a0\u00a0\u00a0\u00a0#Nome NetBIOS
\nworkgroup = WORKGROUP\u00a0\u00a0\u00a0\u00a0#Grupo de trabalho das m\u00e1quinas Windows<\/p>\n

#Op\u00e7\u00f5es para security:
\n# none – Nada de senhas!
\n# user – Requer uma senha Unix, mesmo antes mesmo de escolher o compartilhamento ao qual
\n#pretende acessar.
\n# share – Requere uma senha Unix, apenas se ao acessar o compartilhamento voc\u00ea n\u00e3o tiver
\n#permiss\u00f5es para acess\u00e1-lo.
\nsecurity = share
\n#No arquivo de log, ser\u00e3o armazenadas informa\u00e7\u00f5es sobre cada conex\u00e3o realizada ao servidor.
\n#’%m’ \u00e9 uma vari\u00e1vel que corresponde ao nome da m\u00e1quina que acessar o servidor Samba.
\nlog file =\u00a0\u00a0\/var\/logs\/samba\/samba.log\u00a0\u00a0\u00a0\u00a0#para um log centralizado
\n#log file = \/var\/logs\/samba\/%m.log #para um log por m\u00e1quina conectada<\/p><\/div>\n

Depois de terminada a configura\u00e7\u00e3o global, deve-se configurar os compartilhamentos:<\/p>\n

#Compartilhando
\n#[nome do compartilhamento]
\n[Publicidade e Marketing]
\ncomment = Acesso Restrito ao setor de Marketing
\npath = \/samba\/marketing
\npublic = yes\u00a0\u00a0\u00a0\u00a0#Acesso sem senha, p\u00fablico (yes ou no)
\nwritable = yes\u00a0\u00a0\u00a0\u00a0#Permitir altera\u00e7\u00f5es no diret\u00f3rio? (yes ou no)
\n#valid users = deixe para mais tarde\u00a0\u00a0 #Mais tarde!<\/div>\n

J\u00e1 \u00e9 poss\u00edvel testar nossas configura\u00e7\u00f5es.<\/p>\n

Vamos, para isso reiniciar o servi\u00e7o do Samba:<\/p>\n

# \/etc\/init.d\/samba restart<\/strong><\/p>\n

Ou:<\/p>\n

# \/etc\/init.d\/samba stop
\n# \/etc\/init.d\/samba start<\/strong><\/p>\n

Ou:<\/p>\n

# service samba restart<\/strong><\/p>\n

Ou ainda:<\/p>\n

# service samba stop
\n# service samba start<\/strong><\/p>\n

Vamos testar nossa configura\u00e7\u00e3o!<\/p>\n

Em um computador Windows, presente na mesma rede e configurado no mesmo grupo de trabalho do Samba, chame o di\u00e1logo\u00a0Executar<\/span>, e ent\u00e3o, digite:<\/p>\n

    \n
  • \\\\[server string]<\/span><\/li>\n
  • E aperte:\u00a0OK<\/span><\/li>\n<\/ul>\n
    \"Linux:<\/div>\n

    Caso tenha escolhido o valor\u00a0none<\/span>\u00a0ou\u00a0share<\/span>\u00a0para o par\u00e2metro\u00a0security<\/span>, nenhum prompt de senha ser\u00e1 apresentado.<\/p>\n

    Caso tenha escolhido o valor\u00a0user<\/span>\u00a0para\u00a0security<\/span>, terminaremos a configura\u00e7\u00e3o na se\u00e7\u00e3o “Configura\u00e7\u00e3o – Parte 3 (Configurando Permiss\u00f5es)”.<\/p>\n

    Voc\u00ea, provavelmente, ter\u00e1 acesso com permiss\u00f5es de somente leitura ao diret\u00f3rio “Publicidade e Marketing”. Configuraremos isso mais tarde.<\/p>\n

    Curiosidade<\/h1>\n

    Sabe por que n\u00e3o se deve convidar usu\u00e1rios ao servidor, com frases do g\u00eanero: “Bem-Vindo ao compartilhamento…”?<\/p>\n

    Certa vez, um hacker invadiu um dos servidores de uma certa empresa, e ao ter acesso ao shell da empresa, recebeu a seguinte mensagem “Bem-Vindo \u00e0 empresa y”.<\/p>\n

    Mais tarde, o mesmo foi descoberto, e julgado em tribunal. Por\u00e9m, o mesmo alegou ter sido “bem recebido” na empresa, e ganhou a causa, sem sofrer penalidades.<\/p>\n

    Agora, lhe pergunto: Voc\u00ea convidaria um hacker ao seu servidor?<\/p>\n<\/div>\n<\/td>\n<\/tr>\n

Etapa 3<\/b><\/p>\n
\n

Configurando permiss\u00f5es – Usu\u00e1rios e Grupos<\/h1>\n

Agora, vamos sair um pouco do arquivo de configura\u00e7\u00f5es do Samba e criarmos os usu\u00e1rios que realizar\u00e3o login via rede atrav\u00e9s do Samba.<\/p>\n

Os usu\u00e1rios do Samba, assim como citado anteriormente, s\u00e3o usu\u00e1rios comuns do\u00a0GNU\/Linux<\/a>.<\/p>\n

Vamos cri\u00e1-los.<\/p>\n

# useradd joana_dark
\n# useradd diego_hipolito
\n# useradd maradonna<\/strong><\/p>\n

Os tr\u00eas usu\u00e1rios acima, ser\u00e3o usu\u00e1rios do Samba, pertencentes ao grupo\u00a0marketing<\/span>. Por\u00e9m, para cada um deles, foi criado um diret\u00f3rio\u00a0\/home<\/span>.<\/p>\n

Abaixo, segue os mesmos comandos, por\u00e9m, com par\u00e2metros que impossibilitar\u00e3o o uso do login e senha para login local no servidor, e negar\u00e3o a cria\u00e7\u00e3o de uma pasta pessoal (\/home\/[usu\u00e1rio]<\/span>):<\/p>\n

# useradd –no-create-home -s \/bin\/false joana_dark
\n# useradd –no-create-home -s \/bin\/false diego_hipolito
\n# useradd –no-create-home -s \/bin\/false maradonna\u00a0<\/strong><\/p>\n

O par\u00e2metro “-s” especifica um shell de comandos para ser atribu\u00eddo ao usu\u00e1rio criado. O shell\u00a0\/bin\/false<\/span>, como o nome sugere, \u00e9 um shell falso, e qualquer usu\u00e1rio que utiliza este shell n\u00e3o ser\u00e1 capaz de logar-se corretamente no sistema GNU\/Linux. Ainda bem que para o usu\u00e1rio acessar os compartilhamentos, ele n\u00e3o precisa de um shell v\u00e1lido, n\u00e3o \u00e9 mesmo?<\/p>\n

Caso voc\u00ea tenha criado um usu\u00e1rio sem especificar o shell, o usu\u00e1rio \u00e9 configurado com o shell padr\u00e3o de sua distro. Para alter\u00e1-lo, edite diretamente o arquivo de texto\u00a0\/etc\/passwd<\/span>, ou execute o comando\u00a0usermod -s \/bin\/false [nomeDoUsu\u00e1rioExistente]<\/span>.<\/p>\n

# nano \/etc\/passwd<\/strong>
\nOu:
\n# usermod -s \/bin\/false [nomeDoUsu\u00e1rioExistente]<\/strong><\/p>\n

Os usu\u00e1rios acima, foram criados sem qualquer tipo de senha, pois, os usu\u00e1rios do Samba n\u00e3o necessitam de uma senha de logon no GNU\/Linux, portanto, configurar uma senha \u00e9 opcional.<\/p>\n

Vamos adicionar estes usu\u00e1rios para serem utilizados no Samba:<\/p>\n

# smbpasswd -a joana_dark
\n# smbpasswd -a diego_hipolito
\n# smbpasswd -a maradonna<\/strong><\/p>\n

J\u00e1 se pode testar o login destes usu\u00e1rios em seu servidor Samba, utilizando um cliente Microsoft Windows.<\/p>\n

* Aviso: logar n\u00e3o quer dizer “acesso garantido aos diret\u00f3rios”, isso ainda estamos ao passo de configurar.<\/p>\n

Para facilitar a administra\u00e7\u00e3o e ter compartilhamentos Samba extremamente seguros, devemos organizar os usu\u00e1rios em grupos. Em uma empresa, \u00e9 muito simples: o nome dos grupos de usu\u00e1rios dever\u00e3o ser os mesmos de cada departamento da empresa.<\/p>\n

Vamos criar o(s) grupo(s):<\/p>\n

# addgroup marketing
\n# addgroup departamento_pessoal
\n# addgroup direcao<\/strong><\/p>\n

Neste exemplo, apesar de criarmos tr\u00eas grupos, apenas o grupo\u00a0marketing<\/span>\u00a0ser\u00e1 configurado.<\/p>\n

Agora, vamos agrupar os funcion\u00e1rios da empresa nos grupos correspondentes, de acordo com o seu departamento.<\/p>\n

Em nosso caso, os tr\u00eas funcion\u00e1rios pertencer\u00e3o ao mesmo grupo (departamento)\u00a0marketing<\/span>:<\/p>\n

# adduser joana_dark marketing
\n# adduser diego_hipolito marketing
\n# adduser maradonna marketing<\/strong><\/p>\n<\/div>\n<\/td>\n<\/tr>\n

Etapa 4<\/b><\/p>\n
\n

Configura\u00e7\u00e3o: Parte 3 – Configurando Permiss\u00f5es (Permiss\u00f5es de acesso e seguran\u00e7a)<\/h1>\n

Primeiramente, vamos criar um diret\u00f3rio pessoal para cada um dos tr\u00eas membros do grupo\u00a0marketing<\/span>:<\/p>\n

# mkdir \/samba\/marketing\/maradonna
\n# mkdir \/samba\/marketing\/diego_hipolito
\n# mkdir \/samba\/marketing\/joana_dark<\/strong><\/p>\n

* Aviso: os nomes dos diret\u00f3rios n\u00e3o necessitam ser os mesmos que o do usu\u00e1rio.<\/p>\n

Primeiramente, ao diret\u00f3rio raiz do departamento, iremos configurar quem o “comandar\u00e1”, e o grupo de usu\u00e1rios que o comandar\u00e1:<\/p>\n

# chown root.marketing \/samba\/marketing<\/strong><\/p>\n

O comando\u00a0chown<\/span>\u00a0(change owner), segue a seguinte sintaxe:<\/p>\n

chown [usu\u00e1rio_dono].[grupo_dono] [diret\u00f3rio]<\/strong><\/p>\n

Voc\u00ea deve estar perguntando-se: mas, por que devemos ter o usu\u00e1rio\u00a0root<\/span>\u00a0de dono, uma vez que o mesmo sempre possui acesso irrestrito a todos os diret\u00f3rios?<\/p>\n

E a resposta \u00e9 simples: o usu\u00e1rio dono, neste momento n\u00e3o ser\u00e1 importante. O mais importante \u00e9 que o grupo\u00a0marketing<\/span>\u00a0agora, \u00e9 dono de seu pr\u00f3prio diret\u00f3rio. \u00d3timo!<\/p>\n

Agora, vamos a uma das partes mais divertidas, a configura\u00e7\u00e3o das permiss\u00f5es.<\/p>\n

A partir deste momento, o diret\u00f3rio\u00a0\/samba\/marketing<\/span>\u00a0pertence ao usu\u00e1rio\u00a0root<\/span>, tamb\u00e9m ao grupo\u00a0marketing<\/span>\u00a0e a todos os membros deste grupo.<\/p>\n

\u00c9 extremamente recomend\u00e1vel conhecer permiss\u00f5es (chmod<\/span>) a partir deste ponto.<\/p>\n

# chmod 000 \/samba\/marketing<\/strong><\/p>\n

Sintaxe do comando:<\/p>\n

chmod [permiss\u00e3o_usu\u00e1rio_dono][permiss\u00e3o_grupo_dono][permiss\u00e3o_para_qualquer_outro_usu\u00e1rio] [diret\u00f3rio]<\/strong><\/p>\n

Para cada permiss\u00e3o (dono, grupo, ou outros usu\u00e1rios), pode-se atribuir um n\u00famero entre 0 e 7, para permitir o n\u00edvel de acesso ao diret\u00f3rio especificado.<\/p>\n

Abaixo, ser\u00e1 explicado cada n\u00edvel de acesso, sem maiores detalhes:<\/p>\n

   \r\n  Permiss\u00e3o   Bin\u00e1rio  Decimal\r\n  ---         000        0\r\n  --x         001        1\r\n  -w-         010        2\r\n  -wx         011        3\r\n  r--         100        4\r\n  r-x         101        5\r\n  rw-         110        6\r\n  rwx         111        7<\/pre>\n
Fonte:\u00a0www.infowester.com<\/a><\/p>\n
Onde:<\/p>\n

Etapa 5<\/b><\/p>\n
\n

Configura\u00e7\u00e3o: Parte 3 – Configurando Permiss\u00f5es (Realizando altera\u00e7\u00f5es no arquivo de configura\u00e7\u00e3o do Samba)<\/h1>\n

# nano \/etc\/samba\/smb.conf<\/strong><\/p>\n

Oba! Estamos novamente configurando o\u00a0smb.conf<\/span>.<\/p>\n

Faremos agora, os ajustes finais.<\/p>\n

#Compartilhando
\n#[nome do compartilhamento]
\n[Publicidade e Marketing]
\ncomment = Acesso Restrito ao setor de Marketing
\npath = \/samba\/marketing
\npublic = no\u00a0\u00a0\u00a0\u00a0#Acesso sem senha, p\u00fablico (yes ou no)
\nwritable = yes\u00a0\u00a0\u00a0\u00a0#Permitir altera\u00e7\u00f5es no diret\u00f3rio? (yes ou no)
\nvalid users = @marketing\u00a0\u00a0\u00a0\u00a0#Apenas os membros do grupo marketing acessar\u00e3o o compartilhamento.
\nforce group = marketing\u00a0\u00a0\u00a0\u00a0#For\u00e7a o acesso do grupo marketing somente.<\/div>\n

Salve o documento e, em seguida, reinicie os daemons do Samba:<\/p>\n

# \/etc\/init.d\/samba restart<\/strong><\/p>\n

H\u00e1 ainda um par\u00e2metro chamado\u00a0veto files<\/span>, para voc\u00ea acrescentar \u00e0 um compartilhamento. O mesmo \u00e9 \u00fatil para vetar nomes de arquivos e\/ou extens\u00f5es, facilitando para o administrador impedir a dissemina\u00e7\u00e3o de arquivos perigosos que sejam alojados no servidor, e desencorajar os usu\u00e1rios \u00e0 guardarem arquivos pessoais nos diret\u00f3rios compartilhados. Veja abaixo um exemplo de uso do par\u00e2metro:<\/p>\n

veto files = *.exe\/*.com\/*. scr\/*.rar\/*.zip\/*.ace*.cab\/*.bat\/*.inf\/<\/div>\n

O par\u00e2metro\u00a0veto files<\/span>\u00a0pode ser aplicado \u00e0 um compartilhamento, ou diretamente na se\u00e7\u00e3o global.<\/p>\n

Quer mais? Que tal gerenciar o seu servidor com o\u00a0WEB Admin<\/span>\u00a0para o Samba, o SWAT?<\/p>\n

# aptitude install swat<\/strong><\/p>\n

Ap\u00f3s a instala\u00e7\u00e3o, abra seu navegador de Internet preferido e digite o seguinte endere\u00e7o na barra de endere\u00e7os de seu navegador:<\/p>\n