Академический Документы
Профессиональный Документы
Культура Документы
OBJETIVOS
Comprender los conceptos y parmetros basicos de SAMBA
Comprender que es la Swat
Describir los diferentes permisos aplicados a los recursos
Configurar el cliente para samba
Samba
Mediante Samba, se puede configurar una mquina Unix como servidor de
impresin y archivos para mquinas DOS, Windows y OS/2. Samba se ha
desarrollado hasta convertirse en un producto maduro y ms bien complejo. Samba
se puede configurar con YaST, SWAT (interfaz de Web) o el archivo de
configuracin.
Terminologa
Protocolo SMB
Samba utiliza el protocolo SMB (Server Message Block, bloque de mensajes de
servidor), que est basado en los servicios NetBIOS. Debido a las presiones de IBM,
Microsoft liber el protocolo para que otros fabricantes de software pudieran
establecer conexiones con una red de dominio de Microsoft. Con Samba, el
protocolo SMB funciona por encima del protocolo TCP/IP, de manera que ste
ltimo debe estar instalado en todos los clientes.
Protocolo CIFS
CIFS (Common Internet File System, sistema de archivos comunes de Internet) es
otro de los protocolos compatibles con Samba. CIFS define un protocolo estndar
de acceso a sistemas de archivos remotos para su uso en la red, con lo que hace
posible que grupos de usuarios trabajen juntos y compartan documentos a travs
de la red.
NetBIOS
NetBIOS es una interfaz de software (API) diseada para la comunicacin entre
mquinas. En l se ofrece un servicio de nombres que permite que las mquinas
conectadas a la red reserven nombres para ellas mismas. Tras la reserva, es
posible dirigirse a las mquinas mediante el nombre. No existe ningn proceso
central que compruebe los nombres. Cualquier mquina de la red puede reservar
tantos nombres
como desee, siempre que no estn ya en uso. La interfaz NetBIOS puede
implementarse para diferentes arquitecturas de red. Una implementacin que
funciona de un modo relativamente prximo al hardware de red es NetBEUI,
aunque a menudo se habla de ella como NetBIOS. Los protocolos implementados
con NetBIOS son IPX de Novell (NetBIOS sobre TCP/IP) y TCP/IP.
Los nombres de NetBIOS enviados mediante TCP/IP no tienen nada en comn con
los nombres que se usan en /etc/hosts/ o los definidos por DNS.
NetBIOS: utiliza su propia convencin para la nomenclatura, completamente
independiente.
Cliente Samba
El cliente Samba es un sistema que utiliza los servicios proporcionados por un
servidor Samba a travs del protocolo SMB. Todos los sistemas operativos
habituales, como Mac OS X, Windows y OS/2, son compatibles con el protocolo
SMB. El protocolo TCP/IP debe estar instalado en todos los ordenadores. Samba
ofrece clientes para las distintas versiones de UNIX. Para Linux, existe un mdulo
del ncleo para SMB que permite integrar recursos SMB en el nivel de sistema de
Linux. No es preciso ejecutar ningn daemon para el cliente Samba.
Recursos compartidos
Los servidores SMB ofrecen espacio de hardware a sus clientes por medio de
recursos compartidos. Estos recursos son las impresoras y directorios, con los
subdirectorios correspondientes, que se encuentran en el servidor. Se exporta
mediante un nombre y se puede acceder a l a travs de dicho nombre. El nombre
del recurso compartido se puede definir como se quiera, no tiene que corresponder
al nombre del directorio de exportacin. A las impresoras tambin se les asigna un
nombre. Los clientes pueden acceder a la impresora por su nombre.
;[cdrom]
; comment = Linux CD-ROM
; path = /media/cdrom
; locking = No
[cdrom] y comment
La entrada [cdrom] es el nombre del recurso compartido que vern todos los
clientes SMB de la red. De forma opcional, se puede aadir un comment para
describir ms detalladamente el recurso compartido.
path = /media/cdrom
path exporta el directorio /media/cdrom.
Mediante la restrictiva configuracin por defecto, este tipo de recurso compartido
slo se encuentra disponible para usuarios presentes en el sistema. Si el recurso
compartido debe estar disponible para todos los usuarios, aada la lnea guest ok =
yes a la configuracin. Este ajuste concede permiso de lectura a todos los usuarios
de la red. Se recomienda utilizarlo con mucho cuidado. En particular, hay que
utilizarlo con mucho cuidad en la seccin [global].
[homes]
El recurso compartido [home] tiene una importancia especial. Si el usuario dispone
de una cuenta vlida y de una contrasea en el servidor de archivos Linux y de su
propio directorio personal, podr acceder a l.
Recurso compartido homes
[homes]
comment = Home Directories
valid users = %S
browseable = No
read only = No
create mask = 0640
directory mask = 0750
[homes]
Siempre y cuando no exista otro recurso compartido que utilice como nombre de
recurso compartido el del usuario que se conecte al servidor SMB, se crear de
forma dinmica un recurso compartido mediante las directivas de recurso
compartido de [homes]. El nombre del recurso compartido que resulte ser el
nombre del usuario.
valid users = %S
Una vez que la conexin quede correctamente establecida, %S se reemplazar por
el nombre especfico del recurso compartido. En el caso de un recurso compartido
[homes], ste ser siempre del nombre del usuario. Como consecuencia, los
derechos de acceso al recurso compartido de un usuario quedarn restringidos al
propio usuario.
browseable = No
Este ajuste hace que el recurso compartido no pueda verse en el entorno de red.
read only = No
Por defecto, Samba deniega el permiso de escritura a todos los recursos
compartidos xportados mediante el parmetro read only = Yes. Para tener
permiso de escritura en un recurso compartido, establezca el valor
read only = No, que es equivalente a writeable = Yes.
create mask = 0640
Los sistemas no basados en MS Windows NT no comprenden el concepto de los
permisos de UNIX, por lo que no pueden establecerlos al crear un archivo. El
parmetro create mask define los permisos de acceso que se asignarn a los
archivos de nueva creacin. Esto slo se aplica a los recursos compartidos en los
que se puede escribir. En concreto, este ajuste significa que el propietario tiene
permisos de lectura y escritura, y que los miembros del grupo primario del usuario
tienen permisos de lectura. valid users = %S impide el acceso de lectura incluso
aunque el grupo tenga permiso para ello. Para que el grupo tenga acceso de lectura
y escritura, desactive la lnea valid users = %S.
Nivel de seguridad
Es posible proteger el acceso a cada recurso compartido mediante una contrasea
Para aumentar la seguridad. SMB dispone de tres maneras posibles de comprobar
los
permisos:
Seguridad en el nivel del recurso compartido (security = share)
Se asigna una contrasea fija al recurso compartido. Todos los que conozcan la
contrasea tendrn acceso al recurso compartido.
Seguridad en el nivel del usuario (security = user) Esta variante introduce el
concepto de usuario en SMB. Cada usuario debe registrarse en el servidor con su
propia contrasea. Despus del registro, el servidor puede dar acceso a cada
recurso compartido exportado en funcin de los nombres de usuario.
Seguridad en el nivel del servidor (security = server):
De cara a los clientes, Samba acta como si trabajara en el modo de nivel de
usuario.
Sin embargo, todas las peticiones de contraseas se pasan a otro servidor en modo
de nivel de usuario, que es el encargado de la autenticacin. Este ajuste requiere
un parmetro adicional (password server).
La seleccin de la seguridad en el nivel del recurso compartido, del usuario o del
servidor afecta al servidor entero. No es posible ofrecer ciertos recursos
compartidos en la configuracin de un servidor con seguridad en el nivel del recurso
compartido y otros con seguridad en el nivel del usuario. No obstante, se puede
ejecutar un servidor Samba individual para cada direccin IP configurada en el
sistema.
Configuracin de los clientes
Los clientes slo pueden acceder al servidor Samba mediante TCP/IP. NetBEUI y
NetBIOS no se pueden utilizar mediante IPX con Samba.
Configuracin de un cliente Samba
con YaST
Configure un cliente Samba para acceder a recursos (archivos o impresoras) en el
servidor Samba. Introduzca el dominio o el grupo de trabajo en el cuadro de
dilogo Grupo de trabajo SAMBA. Haga clic en Examinar para ver todos los grupos
y dominios disponibles que se pueden seleccionar con el ratn. Si activa Usar
tambin la informacin SMB para la autentificacin de Linux, la autenticacin de
usuarios se realizar en el servidor Samba. Cuando haya introducido todos los
ajustes, haga clic en Finalizar para completar la configuracin.
Windows 9x y ME
Windows 9x y ME ya incorporan compatibilidad con TCP/IP. Sin embargo, sta no
se
instala por defecto. Para aadir TCP/IP, vaya a Control Panel . System (Panel de
control - Sistema) y escoja Add . Protocols . TCP/IP from Microsoft (Agregar Protocolos - TCP/IP de Microsoft). Despus de reiniciar la mquina Windows,
busque el servidor Samba haciendo doble clic en el icono del escritorio
correspondiente al entorno de red.
SUGERENCIA
INTRODUCCION
FTP ("File Transfer Protocol"):
FTP es el conjunto de programas que se usa en Internet para
transferir archivos entre sistemas. La mayora de los sistemas
UNIX, VMS y MS-DOS de Internet tienen un programa llamado
ftp que se usa para transferir estos ficheros, y si Ud. tiene acceso
a Internet, el mejor modo de descargarse el software de Linux es
usando ftp. Este apndice cubre el uso de ftp a nivel bsico por
supuesto, hay muchas ms funciones y usos del ftp de los que se dan aqu.
Ftp puede usarse tanto para "subir" (enviar) como para "bajar" (recibir) ficheros desde los
sites de Internet. En la mayora de situaciones, Ud. estar bajando software. En Internet hay
un gran nmero de FTP archive sites de acceso pblico, mquinas que permiten a cualquiera
hacer ftp sobre ellas y bajarse el software.
Aprendiendo ftp:
Una sesin de ftp puede iniciarse casi idntica a una sesin de telnet Inicialmente abrimos
una consola y colocamos ftp> luego establecemos comunicacin con una maquina remota
mediante la instruccin open, seguida de la direccin IP de la maquina deseada, al comenzar
ftp la maquina nos pide una autenticacin. Si no contamos con una cuenta de usuario en
dicha maquina ( lo cual es lo mas frecuente), podemos introducir como usuario anonymous
y como contrasea, una direccin de un e-mail o itca. Con esto habremos iniciado una
sesion ftp annima , despus de esto podremos comenzar a subir y bajar archivos. Cuando
hayamos acabado nuestro trabajo en la maquina remota emplee el comando close y luego
exit
FTP (File Transfer Protocol, puerto 21 TCP) es, como su nombre indica, un protocolo de
transferencia de ficheros entre sistemas. Desde un equipo cliente conectamos a un servidor
para descargar ficheros desde l lo habitual o para enviarle nuestros propios archivos.
Un problema bsico y grave de FTP es que est pensado para ofrecer la mxima velocidad en
la conexin, pero ni mucho menos para ofrecer la mxima seguridad; todo el intercambio de
informacin, desde el login y password del usuario en el servidor hasta la transferencia de
cualquier fichero, se realiza en texto claro, con lo que un atacante lo tiene muy fcil para
capturar todo ese trfico y conseguir as un acceso vlido al servidor. Incluso puede ser una
amenaza a la privacidad de nuestros datos el hecho de que ese atacante tambin pueda
capturar y reproducir los ficheros transferidos.
Parece evidente que la conexin FTP a nuestro sistema ha de estar restringida a los usuarios
que realmente lo necesiten: por ejemplo, un usuario como root en principio no va a necesitar
utilizar este servicio, ya que por lo general va a trabajar en consola; otros usuarios
considerados `del sistema' (donde se incluye por ejemplo a postmaster, bin, uucp,
shutdown, daemon...) tampoco necesitarn hacer uso de FTP. Podemos indicar este tipo de
usuarios a los que no les est permitida una conexin va FTP a nuestra mquina en
/etc/ftpusers, con un nombre por lnea un ejemplo de este fichero es el siguiente:
luisa:~# cat /etc/ftpusers
halt
operator root
shutdown sync
bin
postmaster
daemon
news
adm
lp
uucp
man
games
FTP annimo :
Los problemas relacionados con la seguridad del servicio FTP son especialmente
preocupantes cuando se trata de configurar un servidor de FTP annimo; muchos de estas
mquinas situadas en universidades espaolas se convierten en servidores de imgenes
pornogrficas o de warez (copias ilegales de programas comerciales). Conseguir un servidor
de FTP annimo seguro puede llegar a ser una tarea complicada: incluso en las pginas de
ayuda de algunas variantes de Unix (como Solaris) se trata de facilitar el proceso para el
administrador mediante un shellscript que por defecto presenta graves problemas de
seguridad, ya que deja una copia del fichero de claves del sistema como un archivo de
acceso pblico y annimo.
Para configurar correctamente un servidor de este tipo necesitamos en primer lugar crear al
usuario ftp en /etc/passwd y /etc/shadow, as como su directorio de conexin (algunos
Unices, como Linux, ya incorporan esto al instalar el sistema). Este directorio ha de
pertenecer a root (ningn fichero o subdirectorio ha de pertenecer nunca a ftp) y al grupo al
que pertenece ftp: con esto conseguimos que los permisos de propietario sean para el
administrador y los de grupo para los usuarios annimos; estos permisos sern 555.
Dentro del $HOME de ftp hemos de crear el rbol de directorios mnimo para poder trabajar
correctamente; esto es debido a la llamada a chroot() que se utiliza en los accesos
annimos, que permite a esos usuarios ver el directorio raz de su conexin en el directorio
real ftp/.
Al menos dos directorios son necesarios: etc/ y bin/, ambos propiedad de root y con modo
111. En el primero de ellos hemos de crear un fichero passwd y otro group, utilizados no con
propsitos de autenticacin sino para visualizar el propietario y grupo de cada fichero en el
entorno sobre el que se ha aplicado chroot() al ejecutar ls: por tanto, no hace falta ninguna
contrasea en ese fichero passwd, y slo ha de contener entradas para los usuarios que
posean ficheros bajo la jerarqua de ftp, como root; de la misma forma, el fichero group slo
ha de contener las entradas correspondientes a grupos que posean ficheros en dicha
jerarqua:
Como vemos, el usuario ftp tiene un shell denominado /bin/false; aunque aqu no tiene
ningn efecto, en el archivo de contraseas real de la mquina esto es til para prevenir que
dicho usuario pueda conectar mediante TELNET o similar.
Por su parte, en el otro directorio que hemos creado (bin/) hemos de almacenar una copia
del programa ls, de forma que los usuarios puedan listar los contenidos de los directorios
cuyos permisos lo permitan; si utilizamos una versin esttica del programa, como hace por
ejemplo Linux, no hemos de configurar nada para que la aplicacin funcione, pero si en
cambio utilizamos un ls dinmico (como SunOS o Solaris) hemos de crear el directorio lib/
dentro de ftp/ y copiar en l las libreras necesarias para que el programa funcione (podemos
ver de cules se trata con ldd).
Con estos pasos ya tenemos configurada la base de nuestro servidor de FTP annimo; no
obstante, es habitual crear dos directorios ms, uno denominado pub/ y otro incoming/,
dentro de la misma jerarqua que los anteriores (esto es, en el $HOME del usuario ftp).
El primero suele contener directorios con todos los ficheros que deseemos ofrecer a los
usuarios annimos; su modo ha de ser 555, o 2555 en los sistemas que utilicen el bit setgid
en un directorio para que sus subdirectorios y ficheros hereden el grupo del propietario. El
directorio incoming es justo lo contrario: sirve para que esos usuarios annimos puedan
enviar archivos a nuestra mquina. Y es aqu donde suelen comenzar muchos problemas: al
permitir el upload de software, es posible que algunos piratas utilicen nuestra mquina para
crear servidores warez, subiendo programas comerciales a este directorio y luego indicando
su localizacin exacta a otras personas, para que los puedan descargar. Por tanto, los
permisos de incoming son vitales para nuestra seguridad (incluso si no deseamos que los
usuarios annimos nos enven ficheros podemos borrar este directorio): esos permisos han
de ser 1733, y el propietario del directorio es el root. >Para qu ponemos el bit de
permanencia? Muy sencillo: para que los usuarios no puedan sobreescribir o borrar ficheros
existentes; aunque la mayora de servidores FTP no permiten a los usuarios annimos
sobreescribir ficheros, si no pusiramos este modo un usuario normal del sistema s que
podra hacerlo.
El siguiente shellscript puede utilizarse para configurar cmodamente un entorno restringido
destinado a los usuarios de FTP annimo siguiendo las directrices que acabamos de
comentar; funciona correctamente (en teora) sobre Solaris, Linux y AIX. Al igual que sucede
con muchas tareas automatizadas, conviene repasar manualmente la estructura de
directorios y ficheros creados para comprobar que todo es como esperbamos:
USO DE TELNET:
Para el uso de este protocolo es importante tener en cuenta la velocidad de la conexin
ya que es una limitante critica en el trabajo con Telnet.
Para trabajar con Telnet, debemos abrir la consola e introducir en ella el comando Telnet
El indicador de nuestro shell cambia a Telnet> una ve que esto sucede, le diremos al
programa que deseamos comenzar una sesin en una mquina remota, para lo cual
emplearemos la instruccin open seguido de la direccin IP de la mquina remota
Si la mquina remota se encuentra disponible veremos en nuestra consola, la consola
correspondiente a dicha mquina y una vez all podremos registrarnos y comenzar a
trabajar.
Es muy importante que entendamos en que consiste trabajar con Telnet La idea fundamental
es la posibilidad de ejecutar aplicaciones en maquinas diferentes de la nuestra, y al mismo
tiempo las vemos como si se tratara de aplicaciones instaladas localmente .
Cuando hayamos acabado nuestro trabajo en la maquina remota emplee el comando exit.
El servicio TELNET
El protocolo TELNET (TCP, puerto 23) permite utilizar una mquina como terminal virtual de
otra a travs de la red, de forma que se crea un canal virtual de comunicaciones similar pero mucho ms inseguro - a utilizar una terminal fsicamente conectada a un servidor; la
idea es sencilla: estamos accediendo remotamente en modo texto a un equipo - en principio
potente - igual que si estuviramos utilizando su consola o una de sus terminales fsicas, lo
que nos permite aprovechar toda su potencia de clculo si necesidad de desplazarnos hasta
la ubicacin de ese servidor, sino trabajando cmodamente desde nuestro propio equipo.
10