Построй свой домен

Докучаев Дмитрий aka Forb

Спецвыпуск: Хакер, номер #051, стр. 051-040-4

Создавать пользователя Васю, как я уже сказал, придется два раза. Первая команда является классической – useradd vasya –s /dev/null –d /home/users/vasya –g smbusers. Вторая чуть попроще: smbpasswd –a –n vasya. Опции к скрипту smbpasswd (именно он добавляет аккаунт в базу данных smbd) говорят о том, что заводится новый пользователь с пустым паролем. При желании можно указать произвольный пароль опуская опцию –n.

Помимо учетных записей клиентов, в базу нужно занести логин root. Да-да, root - он и в Африке root. Администратор под этим логином может пользоваться всеми ресурсами и заводить машины в домен. Соответственно, для абсолютной безопасности необходимо установить root длинный и сложный пароль (совсем не обязательно, чтобы он совпадал с системным).

Примечательно, что прежде чем завести машину в домен, необходимо прописать ее в базу данных smbpasswd. При этом имя машины будет совпадать с именем рабочей станции и оканчиваться значком доллара. К примеру, если в корпоративной сети есть компьютер с именем designer, аккаунт будет выглядеть как designer$. Чтобы smbpasswd понял, что имеет дело с клиентской записью, следует указывать дополнительный параметр –m. Таким образом, чтобы оформить компьютер дизайнера, выполняем две команды:

useradd designer$ -s /dev/null –d /dev/null –g workstations

smbpasswd –a –m designer$.

Последние штрихи

На этой оптимистической ноте можно закончить с настройкой. Осталось лишь запустить демоны smbd и nmbd (smbd –vD; nmbd –vD или /etc/init.d/smbd start) и завести нужные машины в домен. После перезагрузки будет предложено ввести сетевой логин и пароль. Если все сделано правильно, после первого захода пользователя будет создан локальный профиль, который уже можно изменять. Когда пользователь завершит работу, увесистый профиль будет передан по сети и помещен в папку /home/profiles/имя_пользователя (или в другой каталог, оговоренный в smb.conf). После тестирования работы smbd можно чуть-чуть изменить конфигурацию, а именно: урезать объем журнала и понизить уровень логирования.

Вирусная атака

Никто не застрахован от заражения вирусами. Особенно эта тема актуальна для администраторов домена. Только представь: случайно в расшаренный каталог был выложен какой-нибудь вирус. Все пользователи локальной сети бережно скачали и запустили хакерское творение на своих машинах. В итоге получается, что добрая половина компьютеров заражена опасным вирусом. Ты можешь утверждать, что в твоей фирме на машины установлены антивирусы, но это скорее исключение, чем правило. Даже если на клиентских компьютерах отсутствует антивирус, запретить передачу заразы по сети очень просто. Для этого тебе понадобится drwebd и модуль drweb-samba. Установка антивируса – тема отдельной статьи, поэтому тебе придется поставить drwebd самостоятельно. А про то, как интегрировать Samba и drweb-samba, расскажу с удовольствием.