Restringindo o IPC$ e ADMIN$ no Samba
Enviado: 28 Jun 2013 00:49
É seguro restringir os serviços IPC$ e ADMIN$ para acesso somente pelas faixas de rede de confiança. Isto pode ser feito através da mesma forma que a restrição em outros compartilhamentos. Os efeitos desta restrição serão que somente as redes autorizadas possam obter a lista de máquinas, se autenticar no domínio e realizar tarefas administrativas gerais:
[IPC$]
read only = yes
allow from 192.168.1.0/24
[ADMIN$]
read only = yes
allow from 192.168.1.0/24
O exemplo acima permite que os serviços IPC$ e ADMIN$ sejam acessados de qualquer máquina na faixa de rede 192.168.1.0/24. Para forçar a autenticação para acesso a estes serviços:
[IPC$]
invalid users = nobody
valid users = gleydson michelle
read only = yes
allow from 192.168.1.0/24
[ADMIN$]
invalid users = nobody
valid users = gleydson michelle
read only = yes
allow from 192.168.1.0/24
Os exemplos acima são similares ao de antes, mas o acesso a listagem dos compartilhamentos é restringida (invalid users = nobody), pois o usuário nobody (usado para mostrar o compartilhamento) tem o acesso negado. Somente os usuários gleydson e michelle (valid users = gleydson michelle) podem listar seu conteúdo.
OBS: Mesmo que estejam restritos, os serviços IPC$ e ADMIN$ sempre poderão ser acessados de 127.0.0.1, ou teríamos problemas com o funcionamento do SAMBA. Assim não é necessário colocar 127.0.0.1 na lista de IPs autorizados.
[IPC$]
read only = yes
allow from 192.168.1.0/24
[ADMIN$]
read only = yes
allow from 192.168.1.0/24
O exemplo acima permite que os serviços IPC$ e ADMIN$ sejam acessados de qualquer máquina na faixa de rede 192.168.1.0/24. Para forçar a autenticação para acesso a estes serviços:
[IPC$]
invalid users = nobody
valid users = gleydson michelle
read only = yes
allow from 192.168.1.0/24
[ADMIN$]
invalid users = nobody
valid users = gleydson michelle
read only = yes
allow from 192.168.1.0/24
Os exemplos acima são similares ao de antes, mas o acesso a listagem dos compartilhamentos é restringida (invalid users = nobody), pois o usuário nobody (usado para mostrar o compartilhamento) tem o acesso negado. Somente os usuários gleydson e michelle (valid users = gleydson michelle) podem listar seu conteúdo.
OBS: Mesmo que estejam restritos, os serviços IPC$ e ADMIN$ sempre poderão ser acessados de 127.0.0.1, ou teríamos problemas com o funcionamento do SAMBA. Assim não é necessário colocar 127.0.0.1 na lista de IPs autorizados.