Родерик Смит - Сетевые средства Linux

Samba обрабатывает запросы с указанием имен NetBIOS, поэтому SMB/CIFS-клиенты могут пользоваться соответствующим механизмом преобразования имен. SWAT не содержит модуля подобного назначения, но если клиентские компьютеры поддерживают имена NetBIOS, сервер SWAT будет доступен не только по доменному имени, но и по имени NetBIOS. Для этого сервер Samba должен выполняться в системе. Как правило, клиенты Windows настроены для поддержки имен NetBIOS, а клиенты, работающие в системе Linux, могут использовать только доменные имена.

Подобно другим серверам удаленного администрирования, рассматриваемым в данной главе, при первом обращении к серверу SWAT он запросит пользовательское имя и пароль. Для того чтобы получить максимальные привилегии, надо указать имя root. (Работая с инструментом SWAT, необходимо указывать пароль, используемый в системе Linux, а не пароль, применяемый для регистрации на сервере Samba.) Если вы зарегистрируетесь как обычный пользователь, SWAT позволит лишь просматривать содержимое конфигурационного файла и вносить те изменения, которые разрешены для этого пользователя. Так, например, каждый пользователь имеет право изменять свой пароль. Независимо от того, зарегистрировались ли вы под именем root или как обычный пользователь, SWAT вернет броузеру исходную страницу, показанную на рис. 16.8. После щелчка на пиктограмме или пояснительном тексте к ней вы можете вызвать другие страницы: Globals, Shares, Printers, Status, View и Password. Первые три из них предназначены соответственно для редактирования глобальных опций в файле smb.conf и определения разделяемых объектов, описывающих каталоги и принтеры. Страница Status предоставляет информацию об использовании разделяемых объектов. Страница View отображает содержимое файла smb.conf, а страница Password позволят изменять пароль. Если вы укажете имя, отличное от root, страницы Globals, Shares и Printers будут недоступны, а на страницах Status и Password будет представлен ограниченный набор опций. Помимо ссылок на описанные выше страницы, исходная Web-страница содержит ссылки на документацию по Samba.

Рис. 16.8. Исходная страница SWAT позволяет выбрать категорию для настройки, а также содержит ссылки на документы, описывающие Samba

Основные действия по настройке Samba выполняются с помощью страниц Globals, Shares и Printers. Страница Globals, показанная на рис. 16.9, позволяет задавать опции в разделе [globals] файла smb.conf. С ее помощью можно указать имя NetBIOS, имя рабочей группы, кодирование пароля и другие опции.

Рис. 16.9. Глобальные опции воздействуют на разделяемые объекты файлов и принтеров и определяют особенности выполнения основных операций Samba

По умолчанию на страницах Shares и Printers не отображается информация о разделяемых объектах. Чтобы создать или отредактировать объект, вам необходимо выполнить одно из следующих действий.

• Для того, чтобы отредактировать существующий разделяемый объект, надо выбрать имя объекта в одном из списков, расположенных возле кнопок Choose Share и Choose Printer, а затем щелкнуть на кнопке Choose Share или Choose Printer. Информация о разделяемом объекте отобразится в окне броузера, и вы сможете изменить необходимые установки.

• Для того чтобы удалить существующий разделяемый объект, выберите его имя, как описано выше, и щелкните на кнопке Delete Share или Delete Printer.

• Чтобы создать новый разделяемый модуль, введите в поле редактирования имя, которое вы хотите присвоить ему, и щелкните на кнопке Create Share или Create Printer. Имя объекта не надо помещать в квадратные скобки, как вы делаете это, редактируя файл smb.conf; SWAT добавит скобки самостоятельно. После создания объекта вы можете отредактировать любые опции так же, как и при работе с существующим объектом.

Как было сказано в главе 7, разделяемый объект [homes] имеет специальное назначение, но вы можете создавать, удалять и редактировать его, как любой другой объект. Принтер, помеченный в списке символом *, является принтером по умолчанию, созданным посредством объекта [printers]. Лучше всего непосредственно изменять опции в объекте [printers], но если вы хотите создать разделяемый объект для конкретного принтера, переопределяющий установки в [printers], отредактируйте объект, помеченный звездочкой.

На страницах Globals, Shares и Printers присутствует кнопка Advanced View. (На страницах Globals и Shares она появляется лишь после создания или выбора разделяемого объекта.) По умолчанию администратору доступны лишь наиболее часто используемые опции Samba. После щелчка на Advanced View в окне броузера будут представлены все опции, соответствующие некоторой категории, а кнопка Advanced View будет заменена на Basic View. При активизации кнопки Basic View SWAT снова переходит к отображению ограниченного набора опций. В большинстве случаев разделяемые объекты Samba можно отредактировать с помощью опций, отображаемых по умолчанию, а кнопку Advanced View приходится использовать лишь в отдельных случаях. При переходе к набору опций изменения, внесенные в режиме полного набора опций, не теряются.

По окончании работы со страницами Globals, Shares или Printers щелкните на кнопке Commit Changes, в результате чего внесенные вами изменения будут записаны в файл smb.conf. Чтобы эти изменения были учтены при работе сервера Samba, вам надо перезапустить его. Сделать это можно с помощью интерфейсных элементов, расположенных на странице Status. Щелкните на кнопке Restart smbd, а затем на кнопке Restart nmbd. (Некоторые изменения требуют перезапуска лишь одного из двух серверов, но если вы не знаете, какой сервер затрагивают выполненные вами действия, лучше перезагрузить оба.) Закончив работу с инструментом SWAT, надо завершить выполнение Web-броузера, в противном случае вы можете создать угрозу безопасности системы.

Вопросы безопасности при удаленном администрировании

Удаленное администрирование само по себе создает опасность для системы, независимо от того, как оно выполняется: путем удаленной регистрации (в текстовом режиме или с использованием графического интерфейса) либо с помощью специализированных инструментов администрирования. При удаленном администрировании возникает угроза безопасности двух типов.

• Похищение пароля. Если пароль администратора станет известен пользователю, не имеющему права выполнять администрирование, этот пользователь может изменить конфигурацию системы в своих целях.

• Наличие недостатков в системе защиты. Ошибки, которые можно использовать для незаконного доступа, периодически выявляются в различных серверах. Не исключено, что подобные ошибки присутствуют и в серверах, применяемых для удаленного администрирования. В этом случае злоумышленник сможет проникнуть в систему, даже не зная пароль.

Если помимо специализированного инструмента удаленного администрирования вы также используете сервер удаленной регистрации, опасность незаконного доступа в систему посторонних лиц возрастает. Как было сказано в главе 13, при работе с некоторыми серверами удаленной регистрации пароль передается в незакодированном виде, а другие средства, например SSH, обеспечивают шифрование не только пароля, но и всех передаваемых данных. Таким образом, если вместо регистрации на удаленном компьютере посредством SSH использовать для администрирования системы Linuxconf или SWAT, уровень защиты резко снизится. Сервер Webmin может осуществлять взаимодействие с клиентом через SSL (http://www.openssl.org), в результате чего обеспечивается кодирование пароля и других данных, но это возможно только в том случае, если на компьютерах установлены и настроены средства поддержки SSL. Из сказанного выше следует, что инструменты Linuxconf и SWAT (а также Webmin при отсутствии кодирования данных) желательно использовать лишь в локальных сетях, полностью контролируемых системными администраторами.

Инструменты удаленного администрирования, рассмотренные в данной главе, предоставляют пользователю доступ к удаленному компьютеру в том случае, если он знает имя и пароль. Средства удаленной регистрации, о которых шла речь в главе 13, могут быть настроены так, что регистрация под именем root будет запрещена. Чтобы приступить к администрированию системы, пользователю приходится сначала зарегистрироваться под своим именем, а затем получить дополнительные привилегии с помощью команды su. В этом случае необходимо знать два пароля: свой и пользователя root. Среди инструментов удаленного администрирования только Webmin обеспечивает кодирование данных, но даже он предоставляет низкий уровень защиты в случае, если злоумышленнику станет известен один из паролей. (Как вы уже знаете, существуют различные способы "подслушивания" паролей, передаваемых по сети.)