Различия

Показаны различия между двумя версиями страницы.

--- nas_linux [2017/05/09 12:43] – [Установка операционной системы] kuld
+++ nas_linux [2017/05/09 15:22] – [Антивирус] kuld
@@ Строка 7: / Строка 7: @@
 <note warning>Только не используйте один и тот же сервер для установки информационной базы и хранения ее резервных копий.</note>
-Почему Linux? Во-первых это бесплатно и при этом совершенно легально. Во-вторых Linux потребляет гораздо меньше аппаратных ресурсов, и даже старая, списанная в утиль техника отлично справится с задачей файлового хранилища.
+Почему Linux? Во-первых это бесплатно и при этом совершенно легально. Во-вторых Linux потребляет гораздо меньше аппаратных ресурсов, и даже старая, списанная в утиль техника отлично справится с задачей файлового хранилища. В-третьих, хорошо настроенный Linux практически не нуждается во вмешательстве системного администратора, эксплуатируются по принципу "настроил и забыл".
 И так, начнем...
@@ Строка 21: / Строка 21: @@
 <note important>За неимением лучшего, можно использовать любой старый компьютер, но помните, что Вы это делаете на свой страх и риск. Самое уязвимое место файлового сервера - дисковая подсистема. Если она у Вас будет состоять из одного единственного старого диска, Вы очень сильно рискуете.</note>
+<note tip>Если не удалось найти RAID-контроллер, можно попробовать настроить [[ubnt>программный_raid|программный RAID]] средствами операционной системы. Учтите, что это повысит требования к процессору и оперативной памяти.</note>
 ===== Установка операционной системы =====
@@ Строка 108: / Строка 109: @@
 <code>
-$ sudo adduser storageuser -p
+$ sudo adduser storageuser
 </code>
-Мы будем использовать этого пользователя только для доступа к Samba, пароль для логина в операционную систему можно не задавать.
+При создании пользователя так же будут созданы одноименные группа и домашняя папка. В домашней папке этого пользователя мы и организуем сетевое файловое хранилище
-Настроим файловый сервер Samba.
+<code>
+$ sudo -u storageuser mkdir /home/storageuser/nas
+</code>
-<note tip>Пакет samba уже установлен в систему инсталлятором.</note>
+<note tip>Пакет samba мы уже установили вместе с системой, дополнительно что-либо устанавливать не требуется.</note>
+Добавим пользователя в Samba
 <code>
-$ sudo nano /etc/samba/smb.conf
+smbpasswd -a storageuser
+</code>
+- тут нужно указать пароль пользователя Samba, и включим пользователя
+<code>
+smbpasswd -e storageuser
 </code>
-В разделе ''Share Definitions'' закомментируем ненужные нам блоки, например, мы не планируем подключать к этому серверу принтеры, ставим перед всеми строками соответствующих блоков символ комментария ''#''
+Сделаем на всякий случай копию файла настроек и приступим к настройкам файлового сервера Samba.
 <code>
-#[printers]
+$ sudo cp /etc/samba/smb.conf /etc/samba/smb.bak
-#   comment = All Printers
+$ sudo nano /etc/samba/smb.conf
-#   browseable = no
-#   path = /var/spool/samba
-#   printable = yes
-#   guest ok = no
-#   read only = yes
-#   create mask = 0700
-# Windows clients look for this share name as a source of downloadable
-# printer drivers
-#[print$]
-#   comment = Printer Drivers
-#   path = /var/lib/samba/printers
-#   browseable = yes
-#   read only = yes
-#   guest ok = no
 </code>
-В том же разделе ''Share Definitions'' добавляем созданный каталог сетевого хранилища, например, перед закомментированным описанием принтеров добавляем новый блок
+Конфигурационный файл сопровождается подробными комментариями, можете пройтись по настройкам самостоятельно, а можете скопировать рекомендуемые настройки полностью
 <code>
+[global]
+	workgroup = WORKGROUP		# Здесь укажите имя рабочей группы одноранговой сети
+	server string = %h server (Samba, Ubuntu)
+        name resolve order = wins lmhosts hosts bcast
+	dns proxy = no
+        wins support = yes              # только если в сети нет Wins сервера (он может быть, например, в роутере)
+        ;wins server = 192.168.1.1      # только если wins support = no и по указанному адресу действительно есть Wins сервер
+	log file = /var/log/samba/log.%m
+	max log size = 1000
+	syslog = 0
+	panic action = /usr/share/samba/panic-action %d
+	server role = standalone server
+	passdb backend = tdbsam
+	obey pam restrictions = yes
+	unix password sync = yes
+	passwd program = /usr/bin/passwd %u
+	passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
+	pam password change = yes
+	security = user
+	username map = /etc/samba/smbusers
+	map to guest = bad user
+	usershare allow guests = yes
 [storage]
-   comment = Сетевое хранилище
+	comment = nas storage
-   browseable = yes
+	writable = yes
-   path = /var/storage
+	browseable = yes
-   guest ok = no
+	public = yes
-   read only = no
+	path = /home/storageuser/nas
-   directory mask = 755
+	guest ok = no
-   create mask = 644
+	directory mask = 755
+	create mask = 644
+	valid users = @storageuser
 </code>
+Перезапустим службу
+<code>
+$ sudo service smbd restart
+</code>
+Пробуем зайти с какой-либо рабочей станции Windows, указав в проводнике путь ''\\192.168.1.9''.
+<note>
+В сетевом окружении сервер появится через какое-то время, когда служба Wins обновит свои данные.
+</note>
+Windows сначала попробует открыть папку под своей локальной учетной записью, у нее это не получится и она запросит логин и пароль для доступа к сетевому ресурсу - это как раз тот пользователь, которого мы создали специально для доступа к сетевому хранилищу.
+{{ :winlogon.png |}}
+Готово!
+При необходимости можно добавить новых пользователей и новые разделы. Разграничение доступа к разделам производится через опцию ''valid users'' в соответствующем блоке конфигурационного файла Samba.
+===== Антивирус =====
+Операционные системы на базе Linux практически не подвержены риску заражения компьютерными вирусами, от части потому, что вирусов способных им навредить крайне мало, а в основном потому, что без получения привилегий суперпользователя эти вирусы ничем не могут навредить операционной системе.
+Но эти вирусы могут использовать файловый сервер Samba для распространения от одной Windows системы на другие. Что бы поддерживать наше файловое хранилище в чистоте, мы установим антивирус и настроим автоматическое сканирование.
+Установим антивирус ClamAV
+<code>
+$ sudo apt install clamav
+</code>
+Сразу же после установки в фоновом режиме запуститься обновление сигнатур, в дальнейшем мы настроим автоматическое обновление сигнатур по расписанию.
+Удалять подозрительные файлы мы сразу не будем, мы их будем перемещать в карантин, где они никому не навредят. Если среди этих файлов было что-то важное, администратор сможет найти их в карантине и что-то сделать. Создадим папку карантина и ограничим доступ к ней
+<code>
+$ sudo mkdir /quarantine
+$ sudo chmode 600 /quarantine
+</code>
+Попробуем просканировать домашние папки пользователей
+<code>
+$ sudo clamscan -i -r --move=/quarantine /home
+</code>
+После сканирования получим протокол
+<code>
+----------- SCAN SUMMARY -----------
+Known viruses: 6278963
+Engine version: 0.99.2
+Scanned directories: 13
+Scanned files: 13
+Infected files: 0
+Data scanned: 4.79 MB
+Data read: 1.59 MB (ratio 3.00:1)
+Time: 22.176 sec (0 m 22 s)
+</code>
+Все хорошо, вирусов не обнаружено. Если бы нашлось что-то подозрительное, оно было бы перемещено в папку карантина.
+Нам остается настроить автоматическое расписание обновления сигнатур и сканирования домашних папок. Редактируем файл расписания демона cron
+<code>
+$ sudo crontab -e
+</code>
+<note important>Для обновления сигнатур и сканирования нам потребуются привилегии суперпользователя, поэтому crontab запускается через sudo, сами команды в файле расписания нужно указывать без sudo.</note>
+Добавьте две строчки
+<code>
+1 * * * freshclam
+2 * * * clamscan -i -r --move=/quarantine /home
+</code>
+Каждый день в 1:00 ночи будет автоматически запускаться обновление сигнатур, а в 2:00 ночи будет запущено сканирование всех домашних папок пользователей, инфицированные файлы будут перемещены в папку карантина.
+<note tip>Есть вопросы, нужна консультация или помощь в настройке - [[https://lineris.bitrix24.ru/pub/form/4_obratnaya_svyaz/c4960i/|обращайтесь]], будем рады помочь.</note>
+~~socialite~~