Sei sulla pagina 1di 12

Configurao definitiva do Samba [Artigo]

1 of 12

https://www.vivaolinux.com.br/artigos/impressora.php?codigo=14650

CONFIGURAO DEFINITIVA DO SAMBA


Autor: Celso Alexandre <cjunior47 at hotmail.com>
Data: 12/03/2014

INTRODUO

Para o compartilhamento de diretrios via rede, com a possibilidade de configurar permisses de controle
de acesso, o Samba sobressai-se sobre os concorrentes.
Alm de que, o mesmo tambm capaz de compartilhar diretrios de um sistema de arquivos Linux
(//www.vivaolinux.com.br/linux/) (ext, JFS...) atravs da rede, possibilitando o acesso ao mesmo,
utilizando o protocolo cliente smb, para distribuies GNU/Linux (//www.vivaolinux.com.br/linux/), e o
prprio Windows Explorer (explorador de diretrios), para sistemas operacionais Microsoft Windows.

VANTAGENS
Em relao ao seu concorrente proprietrio ($$), o sistema operacional Microsoft Windows Server, o
Samba muitssimo mais completo, apresenta menos erros (conhecidos tambm como bugs), alm do
que, como o software Samba deve ser instalado em um servidor GNU/Linux, a possibilidade de ter o
servidor infectado por malware (vrus, cavalos de troia, worms, etc), MNIMA.
E, por fim, a configurao de permisso de acesso de diretrios feita INTEIRAMENTE utilizando
ferramentas da distribuio GNU/Linux, o que torna muitas das tcnicas hacking ineficazes.

DESVANTAGEM
Ento, qual o principal motivo de o mercado utilizar, principalmente, Windows Server para tal servio,
voc se pergunta?
Simples: em sistemas Windows, configurar o sistema para compartilhar diretrios brincadeira de
criana, j em sistemas Linux, o arquivo de configuraes do Samba assustador para quem nasceu no
mundo do "mas onde que clica?".
Porm, ao trmino da configurao, o sistema durar por muitos anos (se no, eternamente), se tudo
depender do sistema operacional, pois no h agentes "feitos para destruir o sistema", como em outros
sistemas operacionais proprietrios.

CONCLUSO
No mundo Windows, a configurao simples e rpida, porm, a mesma precisar ser refeita de tempos

30/09/2016 16:14

Configurao definitiva do Samba [Artigo]

2 of 12

https://www.vivaolinux.com.br/artigos/impressora.php?codigo=14650

em tempos, pois, todo tipo de Malware est preparado para destruir o sistema, alm disso, erros de
sistema sero frequentes, confundindo o usurio e o setor de TI da empresa.
Utilizando um servidor GNU/Linux, por vias normais, a configurao mais lenta, porm, uma vez
terminada a configurao do mesmo, a equipe de TI apenas necessitar pensar em "como agregar
funes a mais".
Chega de enxaquecas e gastos desnecessrios com manuteno!

ETAPA 1

INSTALANDO O SAMBA E CRIANDO OS DIRETRIOS A SEREM COMPARTILHADOS


Vamos botar a mo na massa!
A configurao ser feita em um servidor Debian 7 (Wheezy), porm, pode ser adaptada facilmente para
CentOS, Red Hat e outras distribuies GNU/Linux (//www.vivaolinux.com.br/linux/).
Utilizaremos um terminal modo texto.

INSTALAO
Instale o pacote samba em seu servidor Debian:

# aptitude install samba


Ou:

# apt-get install samba


Aps a instalao, ser criado o arquivo de configuraes do servidor Samba.
Localizao do arquivo: /etc/samba/smb.conf

CONFIGURAO: PARTE 1 - CRIANDO OS DIRETRIOS


Antes de comear a criar os diretrios que, posteriormente, estaro disponveis via rede, planeje no papel
quantos departamentos (grupos de pessoas/usurios) sua empresa possui.
Crie um diretrio no caminho de sua preferncia, em seu sistema de arquivos:

# mkdir /samba

30/09/2016 16:14

Configurao definitiva do Samba [Artigo]

3 of 12

https://www.vivaolinux.com.br/artigos/impressora.php?codigo=14650

Em seguida, crie um subdiretrio para cada departamento de sua empresa:

# mkdir /samba/marketing
# mkdir /samba/"departamento pessoal"
# mkdir /samba/direo
Obs.: a forma mais simples de criar um diretrio que contm nome espaado em GNU/Linux,
digitando-se apenas o nome espaado entre aspas (ex.: "diretrio com nome espaado").
Depois de criado os subdiretrios, a etapa 1 estar terminada.

ETAPA 2

CONFIGURAO: PARTE 2 - ARQUIVO DE CONFIGURAO DO SAMBA


O Samba, assim como muitos outros servidores GNU/Linux (//www.vivaolinux.com.br/linux/), deve ser
configurado alterando-se os parmetros presentes em um arquivo de configurao, e estes parmetros
alterados, sero ento, futuramente, carregados nas variveis do software servidor, durante sua
inicializao.
O arquivo de configurao do Samba encontra-se em: /etc/samba/smb.conf
recomendvel renomear o arquivo, pois, iniciaremos a configurao de nosso servidor a partir do zero!

# mv /etc/samba/smb.conf /etc/samba/smb.conf.original
Aqui, utilizaremos o editor de textos Nano, por ser o editor de textos padro do GNU/Linux, isto , o
mesmo encontra-se por padro, em qualquer distribuio GNU/Linux, ao contrrio do Vim/Vi, entre
outros:

# nano /etc/samba/smb.conf
Em seu terminal, neste momento, voc deve estar visualizando um arquivo novo, recm-criado por voc,
utilizando o editor de textos Nano.
O arquivo de configuraes Samba est dividido em sees, e cada seo representada da seguinte
forma: "[nome da seo 1]" "[nome da seo 2]"...
Para configurar o Samba, iniciaremos pela seo global.

30/09/2016 16:14

Configurao definitiva do Samba [Artigo]

4 of 12

https://www.vivaolinux.com.br/artigos/impressora.php?codigo=14650

# A seo global contm parmetros de configuraes globais, os quais sero aplicados a todo o
#servidor, e a todo compartilhamento.
[global]
server string = nomedoserver
netbios name = nomedoserver
workgroup = WORKGROUP

#Nome DNS
#Nome NetBIOS
#Grupo de trabalho das mquinas Windows

#Opes para security:


# none - Nada de senhas!
# user - Requer uma senha Unix, mesmo antes mesmo de escolher o compartilhamento ao qual
#pretende acessar.
# share - Requere uma senha Unix, apenas se ao acessar o compartilhamento voc no tiver
#permisses para acess-lo.
security = share
#No arquivo de log, sero armazenadas informaes sobre cada conexo realizada ao servidor.
#'%m' uma varivel que corresponde ao nome da mquina que acessar o servidor Samba.
log file = /var/logs/samba/samba.log

#para um log centralizado

#log file = /var/logs/samba/%m.log #para um log por mquina conectada

Depois de terminada a configurao global, deve-se configurar os compartilhamentos:

#Compartilhando
#[nome do compartilhamento]
[Publicidade e Marketing]
comment = Acesso Restrito ao setor de Marketing
path = /samba/marketing
public = yes
writable = yes

#Acesso sem senha, pblico (yes ou no)


#Permitir alteraes no diretrio? (yes ou no)

#valid users = deixe para mais tarde #Mais tarde!

J possvel testar nossas configuraes.


Vamos, para isso reiniciar o servio do Samba:

# /etc/init.d/samba restart
Ou:

# /etc/init.d/samba stop
# /etc/init.d/samba start
Ou:

30/09/2016 16:14

Configurao definitiva do Samba [Artigo]

5 of 12

https://www.vivaolinux.com.br/artigos/impressora.php?codigo=14650

# service samba restart


Ou ainda:

# service samba stop


# service samba start
Vamos testar nossa configurao!
Em um computador Windows, presente na mesma rede e configurado no mesmo grupo de trabalho do
Samba, chame o dilogo Executar, e ento, digite:
\\[server string]
E aperte: OK

Caso tenha escolhido o valor none ou share para o parmetro security, nenhum prompt de senha ser
apresentado.
Caso tenha escolhido o valor user para security, terminaremos a configurao na seo "Configurao Parte 3 (Configurando Permisses)".
Voc, provavelmente, ter acesso com permisses de somente leitura ao diretrio "Publicidade e
Marketing". Configuraremos isso mais tarde.

CURIOSIDADE
Sabe por que no se deve convidar usurios ao servidor, com frases do gnero: "Bem-Vindo ao
compartilhamento..."?
Certa vez, um hacker invadiu um dos servidores de uma certa empresa, e ao ter acesso ao shell da
empresa, recebeu a seguinte mensagem "Bem-Vindo empresa y".

30/09/2016 16:14

Configurao definitiva do Samba [Artigo]

6 of 12

https://www.vivaolinux.com.br/artigos/impressora.php?codigo=14650

Mais tarde, o mesmo foi descoberto, e julgado em tribunal. Porm, o mesmo alegou ter sido "bem
recebido" na empresa, e ganhou a causa, sem sofrer penalidades.
Agora, lhe pergunto: Voc convidaria um hacker ao seu servidor?

ETAPA 3

CONFIGURANDO PERMISSES - USURIOS E GRUPOS


Agora, vamos sair um pouco do arquivo de configuraes do Samba e criarmos os usurios que
realizaro login via rede atravs do Samba.
Os usurios do Samba, assim como citado anteriormente, so usurios comuns do GNU/Linux
(//www.vivaolinux.com.br/linux/).
Vamos cri-los.

# useradd joana_dark
# useradd diego_hipolito
# useradd maradonna
Os trs usurios acima, sero usurios do Samba, pertencentes ao grupo marketing. Porm, para cada
um deles, foi criado um diretrio /home.
Abaixo, segue os mesmos comandos, porm, com parmetros que impossibilitaro o uso do login e
senha para login local no servidor, e negaro a criao de uma pasta pessoal (/home/[usurio]):

# useradd --no-create-home -s /bin/false joana_dark


# useradd --no-create-home -s /bin/false diego_hipolito
# useradd --no-create-home -s /bin/false maradonna
O parmetro "-s" especifica um shell de comandos para ser atribudo ao usurio criado. O shell /bin/false,
como o nome sugere, um shell falso, e qualquer usurio que utiliza este shell no ser capaz de
logar-se corretamente no sistema GNU/Linux. Ainda bem que para o usurio acessar os
compartilhamentos, ele no precisa de um shell vlido, no mesmo?
Caso voc tenha criado um usurio sem especificar o shell, o usurio configurado com o shell padro
de sua distro. Para alter-lo, edite diretamente o arquivo de texto /etc/passwd, ou execute o comando
usermod -s /bin/false [nomeDoUsurioExistente].

# nano /etc/passwd

30/09/2016 16:14

Configurao definitiva do Samba [Artigo]

7 of 12

https://www.vivaolinux.com.br/artigos/impressora.php?codigo=14650

Ou:

# usermod -s /bin/false [nomeDoUsurioExistente]


Os usurios acima, foram criados sem qualquer tipo de senha, pois, os usurios do Samba no
necessitam de uma senha de logon no GNU/Linux, portanto, configurar uma senha opcional.
Vamos adicionar estes usurios para serem utilizados no Samba:

# smbpasswd -a joana_dark
# smbpasswd -a diego_hipolito
# smbpasswd -a maradonna
J se pode testar o login destes usurios em seu servidor Samba, utilizando um cliente Microsoft
Windows.
* Aviso: logar no quer dizer "acesso garantido aos diretrios", isso ainda estamos ao passo de
configurar.
Para facilitar a administrao e ter compartilhamentos Samba extremamente seguros, devemos organizar
os usurios em grupos. Em uma empresa, muito simples: o nome dos grupos de usurios devero ser
os mesmos de cada departamento da empresa.
Vamos criar o(s) grupo(s):

# addgroup marketing
# addgroup departamento_pessoal
# addgroup direcao
Neste exemplo, apesar de criarmos trs grupos, apenas o grupo marketing ser configurado.
Agora, vamos agrupar os funcionrios da empresa nos grupos correspondentes, de acordo com o seu
departamento.
Em nosso caso, os trs funcionrios pertencero ao mesmo grupo (departamento) marketing:

# adduser joana_dark marketing


# adduser diego_hipolito marketing
# adduser maradonna marketing

ETAPA 4

30/09/2016 16:14

Configurao definitiva do Samba [Artigo]

8 of 12

https://www.vivaolinux.com.br/artigos/impressora.php?codigo=14650

CONFIGURAO: PARTE 3 - CONFIGURANDO PERMISSES (PERMISSES DE


ACESSO E SEGURANA)
Primeiramente, vamos criar um diretrio pessoal para cada um dos trs membros do grupo marketing:

# mkdir /samba/marketing/maradonna
# mkdir /samba/marketing/diego_hipolito
# mkdir /samba/marketing/joana_dark
* Aviso: os nomes dos diretrios no necessitam ser os mesmos que o do usurio.
Primeiramente, ao diretrio raiz do departamento, iremos configurar quem o "comandar", e o grupo de
usurios que o comandar:

# chown root.marketing /samba/marketing


O comando chown (change owner), segue a seguinte sintaxe:

chown [usurio_dono].[grupo_dono] [diretrio]


Voc deve estar perguntando-se: mas, por que devemos ter o usurio root de dono, uma vez que o
mesmo sempre possui acesso irrestrito a todos os diretrios?
E a resposta simples: o usurio dono, neste momento no ser importante. O mais importante que o
grupo marketing agora, dono de seu prprio diretrio. timo!
Agora, vamos a uma das partes mais divertidas, a configurao das permisses.
A partir deste momento, o diretrio /samba/marketing pertence ao usurio root, tambm ao grupo
marketing e a todos os membros deste grupo.
extremamente recomendvel conhecer permisses (chmod) a partir deste ponto.

# chmod 000 /samba/marketing


Sintaxe do comando:

chmod [permisso_usurio_dono][permisso_grupo_dono]
[permisso_para_qualquer_outro_usurio] [diretrio]
Para cada permisso (dono, grupo, ou outros usurios), pode-se atribuir um nmero entre 0 e 7, para
permitir o nvel de acesso ao diretrio especificado.

30/09/2016 16:14

Configurao definitiva do Samba [Artigo]

9 of 12

https://www.vivaolinux.com.br/artigos/impressora.php?codigo=14650

Abaixo, ser explicado cada nvel de acesso, sem maiores detalhes:

Permisso
----x
-w-wx
r-r-x
rwrwx

Binrio
000
001
010
011
100
101
110
111

Decimal
0
1
2
3
4
5
6
7

Fonte: www.infowester.com (http://www.infowester.com/linuxpermissoes.php)


Onde:
R - Read (Leitura) :: Permisso de "olhar" o contedo.
W - Write (Escrita) :: Permisso de gravar novos arquivos e alterar os j existentes.
X - Execution (Execuo) :: Permisso de abrir o diretrio e abrir arquivos que esto no mesmo.

Se no compreendeu permisses GNU/Linux (//www.vivaolinux.com.br/linux/), voc deve estudar sobre a


mesma, e o link acima, o auxiliar muito em seu aprendizado.
Vamos analisar novamente o comando digitado anteriormente:

# chmod 000 /samba/marketing


Usurio
0
Leitura=negada,
Escrita=negada,
Execuo=negada.

Grupo
0
Leitura=negada,
Escrita=negada,
Execuo=negada.

Outros usurios (no donos)


0
Leitura=negada,
Escrita=negada,
Execuo=negada.

Sendo assim, ningum ter acesso ao diretrio, correto?


Vamos ser bonzinhos, e liberar o acesso ao usurio e ao grupo? Planejando...
- O usurio (root) poder receber qualquer permisso.
- O grupo receber acesso de leitura e execuo (r-x - 5).
- Qualquer outro usurio ter seu acesso completamente negado!

# chmod 750 /samba/marketing

30/09/2016 16:14

Configurao definitiva do Samba [Artigo]

10 of 12

Usurio
7
Leitura=concedida,
Escrita=concedida,
Execuo=concedida.

https://www.vivaolinux.com.br/artigos/impressora.php?codigo=14650

Grupo
5
Leitura=negada,
Escrita=negada,
Execuo=concedida.

Outros usurios (no donos)


0
Leitura=negada,
Escrita=negada,
Execuo=negada.

Reinicie os daemons do Samba:

# /etc/init.d/samba restart
Pronto, agora experimente acessar o servidor Samba de um cliente Windows, acesse o diretrio
compartilhado Marketing e uma senha lhe ser pedida.
Voc deve, apenas, poder ver o contedo do diretrio, mas no poder alter-lo.
Ainda no pode acessar o diretrio? Isso comum e ser resolvido assim que alterarmos algumas
configuraes do arquivo de configuraes do Samba, ok? No se desespere.
Iremos agora, tornar os usurios pertencentes ao grupo marketing donos de seus prprios subdiretrios:

# chown maradonna.marketing /samba/marketing/maradonna


# chown diego_hipolito.marketing /samba/marketing/diego_hipolito
# chown joana_dark.marketing /samba/marketing/joana_dark
Agora, cada usurio dono de um diretrio diferente, e, alm disso, o grupo tambm dono de cada
diretrio dos usurios do grupo marketing.
Vamos configurar o nvel de acesso de cada usurio, para cada um dos trs diretrios:

# chmod 750 /samba/marketing/maradonna


# chmod 750 /samba/marketing/diego_hipolito
# chmod 750 /samba/marketing/joana_dark
Vamos analisar o comando.

# chmod 750 /samba/marketing/joana_dark


O usurio dono (joana_dark) recebeu a permisso 7 (acesso total), os membros do grupo marketing
receberam a permisso 5 (r-x - Read & Execution - Leitura + Execuo), permitindo a estes, acessarem o
diretrio livremente, porm, no podero alterar ou salvar quaisquer dados.

30/09/2016 16:14

Configurao definitiva do Samba [Artigo]

11 of 12

https://www.vivaolinux.com.br/artigos/impressora.php?codigo=14650

ETAPA 5

CONFIGURAO: PARTE 3 - CONFIGURANDO PERMISSES (REALIZANDO


ALTERAES NO ARQUIVO DE CONFIGURAO DO SAMBA)

# nano /etc/samba/smb.conf
Oba! Estamos novamente configurando o smb.conf.
Faremos agora, os ajustes finais.

#Compartilhando
#[nome do compartilhamento]
[Publicidade e Marketing]
comment = Acesso Restrito ao setor de Marketing
path = /samba/marketing
public = no

#Acesso sem senha, pblico (yes ou no)

writable = yes

#Permitir alteraes no diretrio? (yes ou no)

valid users = @marketing

#Apenas os membros do grupo marketing acessaro o

compartilhamento.
force group = marketing

#Fora o acesso do grupo marketing somente.

Salve o documento e, em seguida, reinicie os daemons do Samba:

# /etc/init.d/samba restart
H ainda um parmetro chamado veto files, para voc acrescentar um compartilhamento. O mesmo
til para vetar nomes de arquivos e/ou extenses, facilitando para o administrador impedir a
disseminao de arquivos perigosos que sejam alojados no servidor, e desencorajar os usurios
guardarem arquivos pessoais nos diretrios compartilhados. Veja abaixo um exemplo de uso do
parmetro:

veto files = *.exe/*.com/*. scr/*.rar/*.zip/*.ace*.cab/*.bat/*.inf/

O parmetro veto files pode ser aplicado um compartilhamento, ou diretamente na seo global.

30/09/2016 16:14

Configurao definitiva do Samba [Artigo]

12 of 12

https://www.vivaolinux.com.br/artigos/impressora.php?codigo=14650

Quer mais? Que tal gerenciar o seu servidor com o WEB Admin para o Samba, o SWAT?

# aptitude install swat


Aps a instalao, abra seu navegador de Internet preferido e digite o seguinte endereo na barra de
endereos de seu navegador:

http://localhost:901

(//img.vivaolinux.com.br/imagens/artigos/comunidade/configuracao_samba_2.png)

Quer baixar este tutorial em PDF para consult-lo sempre que precisar? Clique aqui
(//img.vivaolinux.com.br/imagens/artigos/comunidade/Configuracao_Definitiva_do_Samba_v2.pdf), para
fazer o download.

Voltar (verArtigo.php?codigo=14650)

30/09/2016 16:14

Potrebbero piacerti anche