Conceitos SEGURANA DE REDES (FIREWALL)

Filtro de pacotes (Firewall)

Filosofia do filtro de pacotes
Conceito de fluxo de dados
IPChains
Filtro de pacotes built-in X externo ao kernel
Chains
Input, output
Forward
Habilitao do forward de pacotes IPv4
Aes - Accept, reject, deny, masq
Polticas de regras
Filtrar portas
Mscara de endereos
Routing e rotas

Pgina 1 de 14

1 Configurao definitiva do Samba

Introduo
Para o compartilhamento de diretrios via rede, com a possibilidade de configurar
permisses de controle de acesso, o Samba sobressai-se sobre os concorrentes.

Alm de que, o mesmo tambm capaz de compartilhar diretrios de um sistema de

arquivos Linux (ext, JFS...) atravs da rede, possibilitando o acesso ao mesmo, utilizando o
protocolo cliente smb, para distribuies GNU/Linux, e o prprio Windows Explorer
(explorador de diretrios), para sistemas operacionais Microsoft Windows.

Vantagens
Em relao ao seu concorrente proprietrio ($$), o sistema operacional Microsoft Windows
Server, o Samba muitssimo mais completo, apresenta menos erros (conhecidos tambm
como bugs), alm do que, como o software Samba deve ser instalado em um servidor
GNU/Linux, a possibilidade de ter o servidor infectado por malware (vrus, cavalos de troia,
worms, etc), MNIMA.

E, por fim, a configurao de permisso de acesso de diretrios feita INTEIRAMENTE

utilizando ferramentas da distribuio GNU/Linux, o que torna muitas das tcnicas hacking
ineficazes.

Desvantagem

Pgina 2 de 14

Ento, qual o principal motivo de o mercado utilizar, principalmente, Windows Server para
tal servio, voc se pergunta?

Simples: em sistemas Windows, configurar o sistema para compartilhar diretrios

brincadeira de criana, j em sistemas Linux, o arquivo de configuraes do Samba
assustador para quem nasceu no mundo do "mas onde que clica?".

Porm, ao trmino da configurao, o sistema durar por muitos anos (se no, eternamente),
se tudo depender do sistema operacional, pois no h agentes "feitos para destruir o
sistema", como em outros sistemas operacionais proprietrios.

Concluso
No mundo Windows, a configurao simples e rpida, porm, a mesma precisar ser
refeita de tempos em tempos, pois, todo tipo de Malware est preparado para destruir o
sistema, alm disso, erros de sistema sero frequentes, confundindo o usurio e o setor de
TI da empresa.

Utilizando um servidor GNU/Linux, por vias normais, a configurao mais lenta, porm,
uma vez terminada a configurao do mesmo, a equipe de TI apenas necessitar pensar em
"como agregar funes a mais".

Chega de enxaquecas e gastos desnecessrios com manuteno!

Pgina 3 de 14

Etapa 1
Instalando o Samba e criando os diretrios
a serem compartilhados
Vamos botar a mo na massa!
A configurao ser feita em um servidor Debian 7 (Wheezy), porm, pode ser adaptada
facilmente para CentOS, Red Hat e outras distribuies GNU/Linux.
Utilizaremos um terminal modo texto.

Instalao
Instale o pacote samba em seu servidor Debian:
# aptitude install samba
Ou:
# apt-get install samba
Aps a instalao, ser criado o arquivo de configuraes do servidor Samba.
Localizao do arquivo: /etc/samba/smb.conf

Configurao: Parte 1 - Criando os

diretrios
Antes de comear a criar os diretrios que, posteriormente, estaro disponveis via rede,
planeje no papel quantos departamentos (grupos de pessoas/usurios) sua empresa possui.
Crie um diretrio no caminho de sua preferncia, em seu sistema de arquivos:
# mkdir /samba
Em seguida, crie um subdiretrio para cada departamento de sua empresa:
# mkdir /samba/marketing
# mkdir /samba/"departamento pessoal"
# mkdir /samba/direo
Obs.: a forma mais simples de criar um diretrio que contm nome espaado em GNU/Linux,
digitando-se apenas o nome espaado entre aspas (ex.: "diretrio com nome espaado").
Pgina 4 de 14

Depois de criado os subdiretrios, a etapa 1 estar terminada.

Etapa 2
Configurao: Parte 2 - Arquivo de
configurao do Samba
O Samba, assim como muitos outros servidores GNU/Linux, deve ser configurado alterandose os parmetros presentes em um arquivo de configurao, e estes parmetros alterados,
sero ento, futuramente, carregados nas variveis do software servidor, durante sua
inicializao.
O arquivo de configurao do Samba encontra-se em: /etc/samba/smb.conf
recomendvel renomear o arquivo, pois, iniciaremos a configurao de nosso servidor a
partir do zero!
# mv /etc/samba/smb.conf /etc/samba/smb.conf.original
Aqui, utilizaremos o editor de textos Nano, por ser o editor de textos padro do GNU/Linux,
isto , o mesmo encontra-se por padro, em qualquer distribuio GNU/Linux, ao contrrio do
Vim/Vi, entre outros:
# nano /etc/samba/smb.conf
Em seu terminal, neste momento, voc deve estar visualizando um arquivo novo, recmcriado por voc, utilizando o editor de textos Nano.
O arquivo de configuraes Samba est dividido em sees, e cada seo representada da
seguinte forma: "[nome da seo 1]" "[nome da seo 2]"...
Para configurar o Samba, iniciaremos pela seo global.
# A seo global contm parmetros de configuraes globais, os quais sero aplicados a todo
o
#servidor, e a todo compartilhamento.
[global]
server string = nomedoserver #Nome DNS
Pgina 5 de 14

netbios name = nomedoserver #Nome NetBIOS

workgroup = WORKGROUP #Grupo de trabalho das mquinas Windows
#Opes para security:
# none - Nada de senhas!
# user - Requer uma senha Unix, mesmo antes mesmo de escolher o compartilhamento ao
qual
#pretende acessar.
# share - Requere uma senha Unix, apenas se ao acessar o compartilhamento voc no tiver
#permisses para acess-lo.
security = share
#No arquivo de log, sero armazenadas informaes sobre cada conexo realizada ao
servidor.
#'%m' uma varivel que corresponde ao nome da mquina que acessar o servidor Samba.
log file = /var/logs/samba/samba.log #para um log centralizado
#log file = /var/logs/samba/%m.log #para um log por mquina conectada
Depois de terminada a configurao global, deve-se configurar os compartilhamentos:
#Compartilhando
#[nome do compartilhamento]
[Publicidade e Marketing]
comment = Acesso Restrito ao setor de Marketing
path = /samba/marketing
public = yes #Acesso sem senha, pblico (yes ou no)
writable = yes #Permitir alteraes no diretrio? (yes ou no)
#valid users = deixe para mais tarde #Mais tarde!
J possvel testar nossas configuraes.
Vamos, para isso reiniciar o servio do Samba:
# /etc/init.d/samba restart
Ou:
# /etc/init.d/samba stop
# /etc/init.d/samba start
Ou:
# service samba restart
Ou ainda:
# service samba stop
# service samba start
Pgina 6 de 14

Vamos testar nossa configurao!

Em um computador Windows, presente na mesma rede e configurado no mesmo grupo de
trabalho do Samba, chame o dilogo Executar, e ento, digite:

\\[server string]
E aperte: OK

Caso tenha escolhido o valor none ou share para o parmetro security, nenhum prompt de
senha ser apresentado.
Caso tenha escolhido o valor user para security, terminaremos a configurao na seo
"Configurao - Parte 3 (Configurando Permisses)".
Voc, provavelmente, ter acesso com permisses de somente leitura ao diretrio
"Publicidade e Marketing". Configuraremos isso mais tarde.

Curiosidade
Sabe por que no se deve convidar usurios ao servidor, com frases do gnero: "Bem-Vindo
ao compartilhamento..."?
Certa vez, um hacker invadiu um dos servidores de uma certa empresa, e ao ter acesso ao
shell da empresa, recebeu a seguinte mensagem "Bem-Vindo empresa y".
Mais tarde, o mesmo foi descoberto, e julgado em tribunal. Porm, o mesmo alegou ter sido
"bem recebido" na empresa, e ganhou a causa, sem sofrer penalidades.
Agora, lhe pergunto: Voc convidaria um hacker ao seu servidor?

Etapa 3
Pgina 7 de 14

Configurando permisses - Usurios e

Grupos
Agora, vamos sair um pouco do arquivo de configuraes do Samba e criarmos os usurios
que realizaro login via rede atravs do Samba.
Os usurios do Samba, assim como citado anteriormente, so usurios comuns do
GNU/Linux.
Vamos cri-los.
# useradd joana_dark
# useradd diego_hipolito
# useradd maradonna
Os trs usurios acima, sero usurios do Samba, pertencentes ao grupo marketing. Porm,
para cada um deles, foi criado um diretrio /home.
Abaixo, segue os mesmos comandos, porm, com parmetros que impossibilitaro o uso do
login e senha para login local no servidor, e negaro a criao de uma pasta pessoal
(/home/[usurio]):
# useradd --no-create-home -s /bin/false joana_dark
# useradd --no-create-home -s /bin/false diego_hipolito
# useradd --no-create-home -s /bin/false maradonna
O parmetro "-s" especifica um shell de comandos para ser atribudo ao usurio criado. O
shell /bin/false, como o nome sugere, um shell falso, e qualquer usurio que utiliza este shell
no ser capaz de logar-se corretamente no sistema GNU/Linux. Ainda bem que para o
usurio acessar os compartilhamentos, ele no precisa de um shell vlido, no mesmo?
Caso voc tenha criado um usurio sem especificar o shell, o usurio configurado com o
shell padro de sua distro. Para alter-lo, edite diretamente o arquivo de texto /etc/passwd, ou
execute o comando usermod -s /bin/false [nomeDoUsurioExistente].
# nano /etc/passwd
Ou:
# usermod -s /bin/false [nomeDoUsurioExistente]
Os usurios acima, foram criados sem qualquer tipo de senha, pois, os usurios do Samba no
necessitam de uma senha de logon no GNU/Linux, portanto, configurar uma senha opcional.
Vamos adicionar estes usurios para serem utilizados no Samba:
# smbpasswd -a joana_dark
# smbpasswd -a diego_hipolito
Pgina 8 de 14

# smbpasswd -a maradonna
J se pode testar o login destes usurios em seu servidor Samba, utilizando um cliente
Microsoft Windows.
* Aviso: logar no quer dizer "acesso garantido aos diretrios", isso ainda estamos ao passo
de configurar.
Para facilitar a administrao e ter compartilhamentos Samba extremamente seguros,
devemos organizar os usurios em grupos. Em uma empresa, muito simples: o nome dos
grupos de usurios devero ser os mesmos de cada departamento da empresa.
Vamos criar o(s) grupo(s):
# addgroup marketing
# addgroup departamento_pessoal
# addgroup direcao
Neste exemplo, apesar de criarmos trs grupos, apenas o grupo marketing ser configurado.
Agora, vamos agrupar os funcionrios da empresa nos grupos correspondentes, de acordo
com o seu departamento.
Em nosso caso, os trs funcionrios pertencero ao mesmo grupo (departamento) marketing:
# adduser joana_dark marketing
# adduser diego_hipolito marketing
# adduser maradonna marketing

Etapa 4
Configurao: Parte 3 - Configurando
Permisses (Permisses de acesso e
segurana)
Primeiramente, vamos criar um diretrio pessoal para cada um dos trs membros do grupo
marketing:
# mkdir /samba/marketing/maradonna
# mkdir /samba/marketing/diego_hipolito
# mkdir /samba/marketing/joana_dark
Pgina 9 de 14

* Aviso: os nomes dos diretrios no necessitam ser os mesmos que o do usurio.

Primeiramente, ao diretrio raiz do departamento, iremos configurar quem o "comandar", e o
grupo de usurios que o comandar:
# chown root.marketing /samba/marketing
O comando chown (change owner), segue a seguinte sintaxe:
chown [usurio_dono].[grupo_dono] [diretrio]
Voc deve estar perguntando-se: mas, por que devemos ter o usurio root de dono, uma vez
que o mesmo sempre possui acesso irrestrito a todos os diretrios?
E a resposta simples: o usurio dono, neste momento no ser importante. O mais
importante que o grupo marketing agora, dono de seu prprio diretrio. timo!
Agora, vamos a uma das partes mais divertidas, a configurao das permisses.
A partir deste momento, o diretrio /samba/marketing pertence ao usurio root, tambm ao
grupo marketing e a todos os membros deste grupo.
extremamente recomendvel conhecer permisses (chmod) a partir deste ponto.
# chmod 000 /samba/marketing
Sintaxe do comando:
chmod
[permisso_usurio_dono][permisso_grupo_dono][permisso_para_qualquer_outro_u
surio] [diretrio]
Para cada permisso (dono, grupo, ou outros usurios), pode-se atribuir um nmero entre 0 e
7, para permitir o nvel de acesso ao diretrio especificado.
Abaixo, ser explicado cada nvel de acesso, sem maiores detalhes:
Permisso
----x
-w-wx
r-r-x
rwrwx

Binrio
000
001
010
011
100
101
110
111

Decimal
0
1
2
3
4
5
6
7

Pgina 10 de 14

Fonte: www.infowester.com
Onde:

R - Read (Leitura) :: Permisso de "olhar" o contedo.

W - Write (Escrita) :: Permisso de gravar novos arquivos e alterar os j existentes.
X - Execution (Execuo) :: Permisso de abrir o diretrio e abrir arquivos que esto
no mesmo.

Se no compreendeu permisses GNU/Linux, voc deve estudar sobre a mesma, e o link

acima, o auxiliar muito em seu aprendizado.
Vamos analisar novamente o comando digitado anteriormente:
# chmod 000 /samba/marketing
Usurio
0
Leitura=negada,
Escrita=negada,
Execuo=negada.

Grupo
0
Leitura=negada,
Escrita=negada,
Execuo=negada.

Outros usurios (no donos)

0
Leitura=negada,
Escrita=negada,
Execuo=negada.

Sendo assim, ningum ter acesso ao diretrio, correto?

Vamos ser bonzinhos, e liberar o acesso ao usurio e ao grupo? Planejando...
- O usurio (root) poder receber qualquer permisso.
- O grupo receber acesso de leitura e execuo (r-x - 5).
- Qualquer outro usurio ter seu acesso completamente negado!
# chmod 750 /samba/marketing
Usurio
7
Leitura=concedida,
Escrita=concedida,
Execuo=concedida.

Grupo
5
Leitura=negada,
Escrita=negada,
Execuo=concedida.

Outros usurios (no donos)

0
Leitura=negada,
Escrita=negada,
Execuo=negada.

Reinicie os daemons do Samba:

# /etc/init.d/samba restart
Pronto, agora experimente acessar o servidor Samba de um cliente Windows, acesse o
diretrio compartilhado Marketing e uma senha lhe ser pedida.
Voc deve, apenas, poder ver o contedo do diretrio, mas no poder alter-lo.
Ainda no pode acessar o diretrio? Isso comum e ser resolvido assim que alterarmos
Pgina 11 de 14

algumas configuraes do arquivo de configuraes do Samba, ok? No se desespere.

Iremos agora, tornar os usurios pertencentes ao grupo marketing donos de seus prprios
subdiretrios:
# chown maradonna.marketing /samba/marketing/maradonna
# chown diego_hipolito.marketing /samba/marketing/diego_hipolito
# chown joana_dark.marketing /samba/marketing/joana_dark
Agora, cada usurio dono de um diretrio diferente, e, alm disso, o grupo tambm dono
de cada diretrio dos usurios do grupo marketing.
Vamos configurar o nvel de acesso de cada usurio, para cada um dos trs diretrios:
# chmod 750 /samba/marketing/maradonna
# chmod 750 /samba/marketing/diego_hipolito
# chmod 750 /samba/marketing/joana_dark
Vamos analisar o comando.
# chmod 750 /samba/marketing/joana_dark
O usurio dono (joana_dark) recebeu a permisso 7 (acesso total), os membros do grupo
marketing receberam a permisso 5 (r-x - Read & Execution - Leitura + Execuo),
permitindo a estes, acessarem o diretrio livremente, porm, no podero alterar ou salvar
quaisquer dados.

Etapa 5
Configurao: Parte 3 - Configurando
Permisses (Realizando alteraes no
arquivo de configurao do Samba)
# nano /etc/samba/smb.conf
Oba! Estamos novamente configurando o smb.conf.
Faremos agora, os ajustes finais.
#Compartilhando
#[nome do compartilhamento]
[Publicidade e Marketing]
Pgina 12 de 14

comment = Acesso Restrito ao setor de Marketing

path = /samba/marketing
public = no #Acesso sem senha, pblico (yes ou no)
writable = yes #Permitir alteraes no diretrio? (yes ou no)
valid users = @marketing #Apenas os membros do grupo marketing acessaro o
compartilhamento.
force group = marketing #Fora o acesso do grupo marketing somente.
Salve o documento e, em seguida, reinicie os daemons do Samba:
# /etc/init.d/samba restart
H ainda um parmetro chamado veto files, para voc acrescentar um compartilhamento. O
mesmo til para vetar nomes de arquivos e/ou extenses, facilitando para o administrador
impedir a disseminao de arquivos perigosos que sejam alojados no servidor, e desencorajar
os usurios guardarem arquivos pessoais nos diretrios compartilhados. Veja abaixo um
exemplo de uso do parmetro:
veto files = *.exe/*.com/*. scr/*.rar/*.zip/*.ace*.cab/*.bat/*.inf/
O parmetro veto files pode ser aplicado um compartilhamento, ou diretamente na seo
global.
Quer mais? Que tal gerenciar o seu servidor com o WEB Admin para o Samba, o SWAT?
# aptitude install swat
Aps a instalao, abra seu navegador de Internet preferido e digite o seguinte endereo na
barra de endereos de seu navegador:

http://localhost:901

Pgina 13 de 14

Quer baixar este tutorial em PDF para consult-lo sempre que precisar? Clique aqui, para
fazer o download.

Fonte: http://www.vivaolinux.com.br/artigo/Configuracaodefinitiva-do-Samba?pagina=6

Pgina 14 de 14