[MASOCH-L] Servidor de Arquivos - Intra e extranet
Douglas Fischer
fischerdouglas at gmail.com
Wed Apr 9 12:58:17 BRT 2014
Mais uma vez recomendo dar uma olhada no OwnCloud.
Em 9 de abril de 2014 12:14, Rodrigo Ribeiro <rodrigo at rodrigo.org> escreveu:
> Olá Rafael,
>
> Suas orientações são muito pertinentes. Muito obrigado pelas colocações.
>
> Eu sou da Diretoria de Informática da Universidade e somos ligados à RNP.
>
> Sendo da diretoria, eu quem administro o IPS (FORTIGATE) da rede e este já
> faz diversos bloqueios da rede externa para interna.
>
> Acontece que este servidor está posicionado na rede de uma forma que não me
> permite colocar um FW na frente dele e ele usa ip válido. Está no
> DataCenter da Universidade...
>
> Por isso a VPN não é possível, por não ter IP válido suficiente.
>
> No IPS eu vou bloquear tudo de fora, com exceção da porta do serviço
> externo.
>
> A máquina também tem iptables bloqueando diversas coisas, com regras bem
> criticas.
>
> Estou lendo sobre como fazer a autenticação usando o samba, pois facilita
> com relação à permissão de pastas e localmente, é ótimo para acesso dos
> usuários.
>
> Abraços
>
>
>
> Em 7 de abril de 2014 13:22, Rafael Possamai <rafael at gav.ufsc.br>
> escreveu:
>
> > Acho que todas as sugestoes dadas aqui sao validas, e nao vou sugerir a
> > mesma coisa pra evitar repetir, mas um comentario mais especifico ao
> > Rodrigo: evite utilizar o seu IP publico nas maquinas que rodam servicos
> > delicados como storage/samba para sua rede interna. Ainda mais em
> faculdade
> > onde geralmente se tem link sobrando (eu por exemplo tenho acesso a
> 1gbps,
> > mesmo nao precisando disso tudo para rodar meia duzia de sites) e muita
> > gente fica de olho em servidor com vulnerabilidade pra utilizar essa
> banda
> > em ataques DoS etc. Qualquer vulnerabilidade no seu setup poderia abrir a
> > sua rede interna para um ataque ou infiltracao.
> >
> > Outra coisa tambem eh evitar com que documentos importantes (teses de
> > mestrado e doutorado que nao foram divulgadas) vazem para fora da
> faculdade
> > sem ninguem ficar sabendo, o que poderia acarretar em perdas astronomicas
> > caso alguma patente seja quebrada.
> >
> > O jeito que eu faco (vide endereco de email com nome de universidade) eh
> > pedir para o pessoal de redes da faculdade (se for federal, fale com
> algum
> > bosista do PoP da RNP) bloquear no seu IP portas de entrada que voce nao
> > precisa (email, IRC e etc por exemplo). Depois voce pode colocar todos os
> > seus servicos atras de NAT, lhe dando a oportunidade tambem de filtrar
> > todos os pacotes que entram e saem da sua rede.
> >
> > Um jeito simples de fazer isso eh pegar qualquer maquina velha em algum
> > laboratorio ai (sempre pedindo antes, se nao um dia ela some do lab e
> voce
> > nao sabe por que hahaa), por 2 placas de rede nela, e usar o IP fixo numa
> > das placas, e na outra escolher um IP nao registrado, estilo 192.168.0.1.
> >
> > Depois disso voce monta um firewall e configura NAT, para que as maquinas
> > de dentro da rede possam se comunicar com a internet.
> >
> > Eu dei uma lida rapida nesta thread, entao caso voce ja esteja fazendo
> > isso, nem de bola para o email. Caso contrario, fica aqui a dica. E se
> voce
> > caro colega precisar de ajuda, faco questao de me disponibilizar como
> > voluntario para que seu projeto na faculdade seja um sucesso e que todos
> > utilizem um sistema seguro e confiavel.
> >
> >
> > Abraco,
> > Rafael
> >
> >
> >
> >
> >
> > 2014-04-07 7:44 GMT-05:00 Ulisses Antonio Donato - Pro UP <
> > ulisses at proup.com.br>:
> >
> > > Olá Rodrigo,
> > > a Wiki do Samba descreve o processo com detalhes (
> > > https://wiki.samba.org/index.php/Local_user_management_and_
> > > authentication/sssd ou http://wiki.samba.org/index.php/Samba4/Winbind)
> > >
> > > Se você utiliza as distribuições mais novas da Fedora, o melhor é
> > utilizar
> > > o utilitário authconfig.
> > >
> > > Ulisses Antonio Donato
> > > e-mail: ulisses at proup.com.br
> > >
> > >
> > >
> > >
> > > -------- Mensagem original --------
> > > Assunto: Re: [MASOCH-L] Servidor de Arquivos - Intra e extranet
> > > De: Rodrigo Ribeiro <rodrigo at rodrigo.org>
> > >
> > > Para: Mail Aid and Succor, On-line Comfort and Help <
> > > masoch-l at eng.registro.br>
> > > Data: Domingo, 6 De Abril De 2014 18:12:24
> > >
> > >
> > > Olá Ulisses,
> > >>
> > >> Você teria um site com exemplo de configuração?
> > >>
> > >> Abraços
> > >>
> > >>
> > >> Em 5 de abril de 2014 14:00, Ulisses Antonio Donato - Pro UP <
> > >> ulisses at proup.com.br> escreveu:
> > >>
> > >> Lucas,
> > >>> aqui eu utilizo o sFTP autenticando no Samba. As permissões
> de
> > >>> pastas dadas ao Samba são utilizadas automaticamente pelo sFTP.
> > Funciona
> > >>> tanto no Samba 4 como AD Controller quanto no Samba 3.
> > >>>
> > >>>
> > >>> Ulisses Antonio Donato
> > >>> ulisses at proup.com.br
> > >>>
> > >>>
> > >>>
> > >>> -------- Mensagem original --------
> > >>> Assunto: Re: [MASOCH-L] Servidor de Arquivos - Intra e extranet
> > >>> De: Lucas Willian Bocchi <lucas.bocchi at gmail.com>
> > >>> Para: Mail Aid and Succor, On-line Comfort and Help <
> > >>> masoch-l at eng.registro.br>
> > >>> Data: Sábado, 5 De Abril De 2014 13:19:45
> > >>>
> > >>> webdav
> > >>>
> > >>>>
> > >>>> Em 5 de abril de 2014 12:58, Rodrigo Ribeiro <rodrigo at rodrigo.org>
> > >>>> escreveu:
> > >>>>
> > >>>> Caros amigos,
> > >>>>>
> > >>>>> Meu nome é Rodrigo e sou Analista de Sistemas de uma Universidade
> > >>>>> Federal.
> > >>>>>
> > >>>>> Um projeto me lançou uma tarefa que é aparentemente simples:
> > >>>>>
> > >>>>> Montar um servidor de arquivos com acesso local e externo.
> > >>>>>
> > >>>>> Daí, pensei no samba, que controla sem problemas as permissões nas
> > >>>>> pastas e
> > >>>>> é de fácil utilização para o usuário (Windows).
> > >>>>>
> > >>>>> Fiz o samba, está funcionando perfeito, porém, como farei esse
> acesso
> > >>>>> de
> > >>>>> fora da intranet (tenho IP válido no servidor)? Pois abrir o samba
> > >>>>> para o
> > >>>>> mundo não é interessante por questões de segurança. Pensei em abrir
> > um
> > >>>>> sftp, mas aí precisaria acertar permissões nas pastas, uma por uma
> e
> > >>>>> não
> > >>>>> sei como o samba lidaria com isso...
> > >>>>>
> > >>>>> Alguém sugere algo?
> > >>>>>
> > >>>>>
> > >>>>> Abraços e desde já, obrigado!
> > >>>>>
> > >>>>> --
> > >>>>> Rodrigo Ribeiro
> > >>>>> rodrigo at rodrigo.org
> > >>>>> --
> > >>>>> __
> > >>>>> masoch-l list
> > >>>>> https://eng.registro.br/mailman/listinfo/masoch-l
> > >>>>>
> > >>>>> __
> > >>>> masoch-l list
> > >>>> https://eng.registro.br/mailman/listinfo/masoch-l
> > >>>>
> > >>>>
> > >>>> __
> > >>> masoch-l list
> > >>> https://eng.registro.br/mailman/listinfo/masoch-l
> > >>>
> > >>>
> > >>>
> > >>
> > >>
> > > __
> > > masoch-l list
> > > https://eng.registro.br/mailman/listinfo/masoch-l
> > >
> > >
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> >
>
>
>
> --
> Rodrigo Ribeiro
> rodrigo at rodrigo.org
> --
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
--
Douglas Fernando Fischer
Engº de Controle e Automação
More information about the masoch-l
mailing list