[MASOCH-L] Servidor de Arquivos - Intra e extranet

Rodrigo Ribeiro rodrigo at rodrigo.org
Wed Apr 9 12:14:15 BRT 2014 

Olá Rafael,

Suas orientações são muito pertinentes. Muito obrigado pelas colocações.

Eu sou da Diretoria de Informática da Universidade e somos ligados à RNP.

Sendo da diretoria, eu quem administro o IPS (FORTIGATE) da rede e este já
faz diversos bloqueios da rede externa para interna.

Acontece que este servidor está posicionado na rede de uma forma que não me
permite colocar um FW na frente dele e ele usa ip válido. Está no
DataCenter da Universidade...

Por isso a VPN não é possível, por não ter IP válido suficiente.

No IPS eu vou bloquear tudo de fora, com exceção da porta do serviço
externo.

A máquina também tem iptables bloqueando diversas coisas, com regras bem
criticas.

Estou lendo sobre como fazer a autenticação usando o samba, pois facilita
com relação à permissão de pastas e localmente, é ótimo para acesso dos
usuários.

Abraços



Em 7 de abril de 2014 13:22, Rafael Possamai <rafael at gav.ufsc.br> escreveu:

> Acho que todas as sugestoes dadas aqui sao validas, e nao vou sugerir a
> mesma coisa pra evitar repetir, mas um comentario mais especifico ao
> Rodrigo: evite utilizar o seu IP publico nas maquinas que rodam servicos
> delicados como storage/samba para sua rede interna. Ainda mais em faculdade
> onde geralmente se tem link sobrando (eu por exemplo tenho acesso a 1gbps,
> mesmo nao precisando disso tudo para rodar meia duzia de sites) e muita
> gente fica de olho em servidor com vulnerabilidade pra utilizar essa banda
> em ataques DoS etc. Qualquer vulnerabilidade no seu setup poderia abrir a
> sua rede interna para um ataque ou infiltracao.
>
> Outra coisa tambem eh evitar com que documentos importantes (teses de
> mestrado e doutorado que nao foram divulgadas) vazem para fora da faculdade
> sem ninguem ficar sabendo, o que poderia acarretar em perdas astronomicas
> caso alguma patente seja quebrada.
>
> O jeito que eu faco (vide endereco de email com nome de universidade) eh
> pedir para o pessoal de redes da faculdade (se for federal, fale com algum
> bosista do PoP da RNP) bloquear no seu IP portas de entrada que voce nao
> precisa (email, IRC e etc por exemplo). Depois voce pode colocar todos os
> seus servicos atras de NAT, lhe dando a oportunidade tambem de filtrar
> todos os pacotes que entram e saem da sua rede.
>
> Um jeito simples de fazer isso eh pegar qualquer maquina velha em algum
> laboratorio ai (sempre pedindo antes, se nao um dia ela some do lab e voce
> nao sabe por que hahaa), por 2 placas de rede nela, e usar o IP fixo numa
> das placas, e na outra escolher um IP nao registrado, estilo 192.168.0.1.
>
> Depois disso voce monta um firewall e configura NAT, para que as maquinas
> de dentro da rede possam se comunicar com a internet.
>
> Eu dei uma lida rapida nesta thread, entao caso voce ja esteja fazendo
> isso, nem de bola para o email. Caso contrario, fica aqui a dica. E se voce
> caro colega precisar de ajuda, faco questao de me disponibilizar como
> voluntario para que seu projeto na faculdade seja um sucesso e que todos
> utilizem um sistema seguro e confiavel.
>
>
> Abraco,
> Rafael
>
>
>
>
>
> 2014-04-07 7:44 GMT-05:00 Ulisses Antonio Donato - Pro UP <
> ulisses at proup.com.br>:
>
> > Olá Rodrigo,
> >   a Wiki do Samba descreve o processo com detalhes (
> > https://wiki.samba.org/index.php/Local_user_management_and_
> > authentication/sssd ou http://wiki.samba.org/index.php/Samba4/Winbind)
> >
> > Se você utiliza as distribuições mais novas da Fedora, o melhor é
> utilizar
> > o utilitário authconfig.
> >
> > Ulisses Antonio Donato
> > e-mail: ulisses at proup.com.br
> >
> >
> >
> >
> > -------- Mensagem original --------
> > Assunto: Re: [MASOCH-L] Servidor de Arquivos - Intra e extranet
> > De: Rodrigo Ribeiro <rodrigo at rodrigo.org>
> >
> > Para: Mail Aid and Succor, On-line Comfort and Help <
> > masoch-l at eng.registro.br>
> > Data: Domingo, 6 De Abril De 2014 18:12:24
> >
> >
> >  Olá Ulisses,
> >>
> >> Você teria um site com exemplo de configuração?
> >>
> >> Abraços
> >>
> >>
> >> Em 5 de abril de 2014 14:00, Ulisses Antonio Donato - Pro UP <
> >> ulisses at proup.com.br> escreveu:
> >>
> >>  Lucas,
> >>>          aqui eu utilizo o sFTP autenticando no Samba. As permissões de
> >>> pastas dadas ao Samba são utilizadas automaticamente pelo sFTP.
> Funciona
> >>> tanto no Samba 4 como AD Controller quanto no Samba 3.
> >>>
> >>>
> >>> Ulisses Antonio Donato
> >>> ulisses at proup.com.br
> >>>
> >>>
> >>>
> >>> -------- Mensagem original --------
> >>> Assunto: Re: [MASOCH-L] Servidor de Arquivos - Intra e extranet
> >>> De: Lucas Willian Bocchi <lucas.bocchi at gmail.com>
> >>> Para: Mail Aid and Succor, On-line Comfort and Help <
> >>> masoch-l at eng.registro.br>
> >>> Data: Sábado, 5 De Abril De 2014 13:19:45
> >>>
> >>>   webdav
> >>>
> >>>>
> >>>> Em 5 de abril de 2014 12:58, Rodrigo Ribeiro <rodrigo at rodrigo.org>
> >>>> escreveu:
> >>>>
> >>>>  Caros amigos,
> >>>>>
> >>>>> Meu nome é Rodrigo e sou Analista de Sistemas de uma Universidade
> >>>>> Federal.
> >>>>>
> >>>>> Um projeto me lançou uma tarefa que é aparentemente simples:
> >>>>>
> >>>>> Montar um servidor de arquivos com acesso local e externo.
> >>>>>
> >>>>> Daí, pensei no samba, que controla sem problemas as permissões nas
> >>>>> pastas e
> >>>>> é de fácil utilização para o usuário (Windows).
> >>>>>
> >>>>> Fiz o samba, está funcionando perfeito, porém, como farei esse acesso
> >>>>> de
> >>>>> fora da intranet (tenho IP válido no servidor)? Pois abrir o samba
> >>>>> para o
> >>>>> mundo não é interessante por questões de segurança. Pensei em abrir
> um
> >>>>> sftp, mas aí precisaria acertar permissões nas pastas, uma por uma e
> >>>>> não
> >>>>> sei como o samba lidaria com isso...
> >>>>>
> >>>>> Alguém sugere algo?
> >>>>>
> >>>>>
> >>>>> Abraços e desde já, obrigado!
> >>>>>
> >>>>> --
> >>>>> Rodrigo Ribeiro
> >>>>> rodrigo at rodrigo.org
> >>>>> --
> >>>>> __
> >>>>> masoch-l list
> >>>>> https://eng.registro.br/mailman/listinfo/masoch-l
> >>>>>
> >>>>>  __
> >>>> masoch-l list
> >>>> https://eng.registro.br/mailman/listinfo/masoch-l
> >>>>
> >>>>
> >>>>  __
> >>> masoch-l list
> >>> https://eng.registro.br/mailman/listinfo/masoch-l
> >>>
> >>>
> >>>
> >>
> >>
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> >
> >
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>



-- 
Rodrigo Ribeiro
rodrigo at rodrigo.org
--

More information about the masoch-l mailing list