论坛: 系统集成 标题: FreeBSD的企业应用心得[不欢迎非技术跟帖] 复制本贴地址    
作者: TecZm [teczm]    版主   登录
符合老A的本版规定,属于企业应用。欢迎高手勘误

1.可控网上邻居samba
1.前言:
  xx单位内网中共有机器x台,文件分散存储在各自的机器上,采用网上邻居共享。各主机未安装防火墙,网内非授权攻击行为较多。已发生多起非授权用户恶意窃取非授权数据事件。
  为提高数据安全性、完整性和保密性,需要对数据采用集中存储、访问控制的技术手段。

2. 解决方案
  [略]

3. 只以某部门samba为例子
1)所有数据存储在serverx上,serverx采用FreeBSD5.2.1操作系统;部门内用户采用windows自带的网上邻居访问指定目录。
2) 共享目录及权限划分如下:
    目录      备注                          可读          可写
  /../pub      所有授权用户可读资料          All            部门主管manager01
  /../pub01    第一小组内部公开资料      第一小组成员      第一小组组长manager02
  /../pub02    第二小组内部公开资料      第二小组成员      第二小组组长manager03
  /../username 个人资料                  个人&直接领导      个人

3)用户组划分如下:
    组名              组定义                  组成员
    exam              所有部门内成员          ......
    manager          部门经理&小组长        manager01/manager02/manager03
    exam01            第一小组成员            manager01/....
    exam02            第二小组成员            manager02/....

4)具体实现:
引用:
一、概述
samba采用c/s架构,samba服务器+samba客户端。
认证方式: 使用smbpasswd验证用户口令。

二、取得
方法1: FreeBSD安装光盘 /packages/net/samba-x.x.x.tgz
方法2:ftp://ftp.freebsd.org/pub/FreeBSD/packages/net/samba-x.x.x.tgz
方法3:在线ports 或pkg_add �Cr samba-x.x.x.tgz
方法4: 从www.samba.org下载源代码,编译安装

三、安装和配置 (假定samba-2.2.8a.tgz在 /test目录下)
# cd  /test
# pkg_add samba-2.2.8a.tgz
安装后,配置
# pkg_info �CL samba-2.2.8a.tgz (查看samba-2.2.8a.tgz安装路径)
# cd /usr/local/etc
# cp smb.conf.default  smb.conf
# ee smb.conf


smb.conf如下:
引用:

[global]
  workgroup = WORKGROUP
  netbios name = BSD
  server string = %U
  log file = /var/log/log.%U
  max log size = 500
  security = user
  encrypt passwords = yes

[pub]
  comment = pub
  path = /var/samba/pub
  valid users = @exam
  write list = manager01

[pub01]
  comment = pub01
  path = /.../pub01
  valid users = @exam01,@manager
  write list = manager01

[pub02]
  comment = pub02
  path = /.../pub02
  valid users = @exam02,@manager
  write list = manager02

[manager01]
  comment = xxx
  path = /.../xxx
  valid users = manager01 xxx #本人和主管上级可读
  write list = xxx  #本人可写
.......




2.防火墙+网关ipfw+natd
1). 将以下选项编译进内核

  options IPFIREWALL
  options IPDIVERT
  options IPFIREWALL_DEFAULT_TO_ACCEPT
  options IPFIREWALL_VERBOSE            #通过syslogd记录数据包
  options IPFIREWALL_VERBOSE_LIMIT=10    #限制通过syslogd记录数量,10可更改为100或其他正整数


2.)在/etc/rc.conf中加入

  gateway_enable="YES"  #机器设为网关
  firewall_enable="YES" #启动时在/etc/rc.firewall中启用防火墙规则
  firewall_type="OPEN"  #?
  natd_enable="YES"    #natd允许运行
  natd_interface="rl0"  #rl0是外网网卡名称
  natd_flags=""        #在启动时通过natd的任何额外选项

附:
IPFW规则管理

格式: ipfw [-N] 命令 [index] 动作 [log] 协议 地址 [选项]

1. 命令包括:
(1) add      添加规则
(2) delet    删除规则

2. 动作包括:
(1) allow    通过数据包
(2) reject  丢弃数据包,但返回一个无法到达的ICMP数据包
(3) deny    丢弃数据包
(4) count    更新数据包计数器,然后执行下一条规则

3. 协议
(1) all      所有ip数据包
(2) tcp      tcp数据包
(3) udp      udp数据包
(4) icmp    icmp数据包

4. 地址

格式:from add/mask[port] to add/mask[port][via interface]
ps: add可用any表示所有ip地址,me表示localhost


5.选项包括:
(1) frag 数据包的第2个分片
(2) in  进入的数据包
(3) out  发出的数据包
(4) establisted 已建立连接的数据包
(5) setup  试图建立连接的数据包
(6) icmptypes 类型    在type表中出现的icmp数据包类型
      0 ping reply
      3 目标机器不能到达
      5 重定向
      8 ping request
      11 time exceeded

ipfw实例


**禁止所有机器ping我**

  ipfw add deny icmp from any to me icmptypes 8

**禁止外网机器ping我**

  ipfw add allow icmp from 192.168.78.1/24 to me icmptypes 8
  ipfw add deny icmp from any to me icmptypes 8


**禁止内网用户访问www.sina.com.cn**

  ipfw add deny tcp from me to www.sina.com.cn

**除了192.168.87段,禁止所有telnet连入**

  ipfw add allow tcp from 192.168.7.1/24 to me 23
  ipfw add deny  tcp from any to me 23

**禁止内网上QQ**

  ipfw add deny tcp from any to any 8000

**禁止tcp主动接入**

  ipfw add deny tcp from any to me setup



[此贴被 TecZm(teczm) 在 01月10日19时09分 编辑过]

地主 发表时间: 05-01-10 18:56

回复: q8406654 [q8406654]   论坛用户   登录
没有说怎么设置主机共享上网

B1层 发表时间: 05-01-10 22:18

回复: TecZm [teczm]   版主   登录
引用:
natd_enable="YES"    #natd允许运行
  natd_interface="rl0"  #rl0是外网网卡名称


B2层 发表时间: 05-01-11 10:23

回复: tuzi [tuzi]   版主   登录
没学过BSD 很NB的一个系统
一定要好好学


B3层 发表时间: 05-01-11 14:34

论坛: 系统集成

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号