ADMIN$

Widzisz wersję archiwalną tematu "ADMIN$" z forum pl.comp.security


Anka - 3 Gru 2002, 03:12

Sprawa wyglada tak:
mialam niedawno wlam na kompa i poginelo sporo rzeczy w zwiazku z czym
postanowilam wziac sie porzadnie za zabezpieczenie systemu przed intruzami.

udostepniam jedynie port 139, aby moc udostepniac w sieci.
Ale zauwazylam jeszcze jeden problem.
Typowy listing zasobow udostepnianych pod linuxem wyglada tak:

*cut*

video          Disk
IPC$           IPC       IPC Service (Samba Server)
ADMIN$         Disk      IPC Service (Samba Server)

czy ktos wie jak pozbyc sie zdalnej autoryzacji? tzn. ADMIN$ z tej listy?
tak aby inni uzytkownicy sieci (w moim przypadku LANu) nie mieli do niej
dostepu?
Ewentualnie nadac takie prawa dostepu, zeby mozna bylo sie dostac do tego
katalogu co najwyzej z mojego adresu IP lub najlepiej w ogole?
Czy wystarczy zapis:
security mask = 0777
force security mode = 0
directory security mask = 0777
force security mode = 0
Te opcje znalazlam w manie i nie jestem pewna czy na pewno do konca
zrozumialam ich dzialanie.
Dodam, ze udostepniam pod Samba 2.2.7
System RedHat 8.0
Kernel 2.4.18-18.8.0

pozdrawiam
Anka
Anka - 3 Gru 2002, 06:38

Czy wystarczy zapis:
security mask = 0777
force security mode = 0
directory security mask = 0777
force security mode = 0
Te opcje znalazlam w manie i nie jestem pewna czy na pewno do konca
zrozumialam ich dzialanie.



juz wiem, ze to nie rozwiazuje problemu. Przetestowalam.

pozdrawiam
Anka
Anka - 3 Gru 2002, 08:31

Dodatkowo w logach odkrylam, ze logowanie do ADMIN$ odbywa sie poprzez PAM
authorization (przy probach logowania jest zapis pam_unix).
Na razie przenioslam plik 'samba' z katalogu /etc/pam.d/ w inne miejce i nie
moge dokonac autoryzacji poprzez smbclient'a nawet jezeli userem jest root.
Ale wydaje mi sie, ze to bardzo powierzchowne rozwiazanie.
Dalej nikt nie wie jak pozbyc sie na dobre zdalnej autoryzacji z linuxa?
Zamiescilam pytanie na angielskojezycznej grupie dyskusyjnej i dostalam
odpowiedz jak pozbyc sie zdalnej autoryzacji z NT, a przeciez linux nie
moze byc gorszy od jakiegos tam mikroszoftowskiego produktu!
Dzieki za wszelaka pomoc.

pozdrawiam
Anka
mrEk - 4 Gru 2002, 05:57

, a przeciez linux nie

moze byc gorszy od jakiegos tam mikroszoftowskiego produktu!
Dzieki za wszelaka pomoc.



obawiam sie ze jest , ale to juz temat na inna grupe ...

pozdrawiam
Anka
Anka - 4 Gru 2002, 07:36

, a przeciez linux nie
| moze byc gorszy od jakiegos tam mikroszoftowskiego produktu!
| Dzieki za wszelaka pomoc.

obawiam sie ze jest , ale to juz temat na inna grupe ...



Robilam testy i widze, ze jedyna mozliwosc to napsucie pliku "samba" z
katalogu /etc/pam.d/
Jedynie wtedy, kiedy przeniose go na inna lokalizacje to nie mozna dostac
sie na zdalna administracja.
Na razie (chwilowo) to rozwiazanie wystarczy, ale chyba bede musiala
wprowadzic w tym pliku jakies zmiany i raczej zrezygnowac z samby na rzecz
np. ftp.
Wiem, ze we wczesniejszych (sporo) wersjach samby takie udostepnienie nie
wystepowalo. Zreszta teraz samba korzysta defaultowo z protokolu
udostepniania NT1. Najgorsze jak Linux sie upodabnia do jakiegos produktu
mikroszoftu... Od razu zaczyna sie psuc (patrz: udzial ADMIN$).

pozdrawiam
Anka
Konrad Stepien - 4 Gru 2002, 11:58


| | | , a przeciez linux nie
| moze byc gorszy od jakiegos tam mikroszoftowskiego produktu!
| Dzieki za wszelaka pomoc.

| obawiam sie ze jest , ale to juz temat na inna grupe ...

Robilam testy i widze, ze jedyna mozliwosc to napsucie pliku "samba" z
katalogu /etc/pam.d/



Ale pliki z /etc/pam.d są właśnie po to żeby je "psuć". Cała idea PAM-a
polega na tym, że daje w miarę zunifikowany interfejs do zarządzania
autentykacją.

Jedynie wtedy, kiedy przeniose go na inna lokalizacje to nie mozna dostac
sie na zdalna administracja.



To może zamiast tak brutalnie usuwać, to wpisac tam:

auth    required        /lib/security/pam_deny.so
User VATAZHKA - 5 Gru 2002, 12:42

| a przeciez linux nie moze byc gorszy od jakiegos tam
| mikroszoftowskiego produktu!
obawiam sie ze jest , ale to juz temat na inna grupe ...



Nie podałeś kryteriów. Jak na razie ceną i wydajnością kombinacja Linuksa
(lub innego darmowego systemu operacyjnego) oraz Samby bije produkty M$ na
łeb.

BTW, jestem ciekaw, czy M$ naprawdę porzuci CIFS?
User VATAZHKA - 5 Gru 2002, 12:42

Robilam testy i widze, ze jedyna mozliwosc to napsucie pliku "samba" z
katalogu /etc/pam.d/ Jedynie wtedy, kiedy przeniose go na inna
lokalizacje to nie mozna dostac sie na zdalna administracja. Na razie
(chwilowo) to rozwiazanie wystarczy, ale chyba bede musiala wprowadzic w
tym pliku jakies zmiany i raczej zrezygnowac z samby na rzecz np. ftp.



W katalogu /etc znajdują się pliki konfiguracyjne, co oznacza, że można, a
nawet trzeba dostosować ich zawartość do własnych wymagań. A PAM jest
bardzo ciekawym (i przydatnym) mechanizmem, naprawdę warto się nim
zainteresować.

Najgorsze jak Linux sie upodabnia do jakiegos produktu mikroszoftu... Od
razu zaczyna sie psuc (patrz: udzial ADMIN$).



No cóż, w tym przypadku (Samba) zgodność z produktami M$ często bywa co
najmniej pożądana ;)
Paweł Skarżyński - 16 Gru 2002, 03:15

autentykacją.



uwierzytelnianiem, ew. autoryzacją.

chester

 https via proxy - co widzi admin, co jest w logach?
NT admin shares - jakie niebezpieczenstwo?
Lamerskie - niedobry admin jak to udowodnic?
Cos mi wisi na porcie (Linux)
  • sitemap 14
  • tibia evolutions server download
  • zyczenia dla informatyka
  • galeria zdjec pierwsza milosc
  • oferty sprzedazy karetek pogotowia
  • szkoly;judo
  • adam malysz po pijaku
  • w201 uchwyt do laptopa
  • basen na drodze 919
    • Katalog wypowiedzi z for internetowych ^^ Strona Główna