LinuxにSambaをインストールしてファイルサーバーを設置しようと考えています。

現状、ルーターからハブで20台ほどのPCがつながっており、その一台にLinuxマシンを組み込んで使用したいと考えております。
だれもが読み書き可能なディレクトリを作成して使用するのですが、その際にセキュリティー面からの問題点などがありましたら、ご指摘していただきたいと思います。
事例などが掲載されている参考サイトがあればありがたいです。

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2004/08/17 12:59:03
  • 終了:--

回答(7件)

id:star5109 No.1

ドラスタ文太回答回数26ベストアンサー獲得回数02004/08/17 13:58:02

ポイント10pt

Sambaには毎回脆弱性が報告されています。

常に最新版を使うことが望まれますが、

油断していると重大なセキュリティホールをたたかれるおそれがあるので気をつけてください。

http://www.samba.gr.jp/info/security/

Samba セキュリティ情報

id:you-01

常に最新版にアップデートすべきであることは了解済みです。ただ、ローカルネットワーク内のファイルサーバーということを考慮して、セキュリティー面で念頭においておいたほうが良い点を伺えたらと思います。

2004/08/17 16:32:28
id:ohmix1 No.2

ohmix1回答回数235ベストアンサー獲得回数142004/08/17 13:59:27

ポイント20pt

http://www.meiji.ac.jp/mind/announce/win_fileshare.html

Windowsのファイル共有機能のセキュリティについて

故意または過失によるデータの破損がもっともありえます。

情報漏洩については、参照可能なら技術的にはどうしようもありませんので、ユーザ教育等が必要と思われます。

id:you-01

なるほど。

内部のユーザーからの情報漏えいがもっとも怖い部分だと。ルーターの設定により、外からアクセスすることはできないはずですが、なにぶんLinuxでのファイルサーバーを設置するのは初めてなものですので、外部ネットワークからのアクセス、ウィルス関係などで問題点があればご指摘願います。

2004/08/17 16:44:55
id:odsldap No.3

odsldap回答回数3ベストアンサー獲得回数02004/08/17 14:11:06

ポイント20pt

私は職場でsambaを利用する際に、

(1) tcpwrapperやfirewallでIPアドレスの規制

(2) Group IDの有効活用

をしてました。

(1)は、自部門以外の端末からのアクセスを拒否したものです。職場からのみの利用を想定していたのですが、業務の拡大に伴いアクセス範囲(セグメント)が徐々に増えてしまいました。(^^;

(2)は、sambaアクセスのデフォルトを644でなく、664のようにGroup権を付けて、誰でもフォルダの作成やファイルの変更を出来るようにしましたが、実際のアクセスは各人のIDを用いることで、ファイルのオーナーを見て最後に編集したのが誰だか、フォルダを作成したのが誰だか分かるようにしていました。

id:you-01

自部門以外の端末からのアクセスを拒否なんてことが可能なのですね。勉強になります。ちょっと調べて採用したいですね。

2004/08/17 19:14:02
id:odsldap No.4

odsldap回答回数3ベストアンサー獲得回数02004/08/17 15:43:45

私は職場でsambaを利用する際に、

(1) tcpwrapperやfirewallでIPアドレスの規制

(2) Group IDの有効活用

をしてました。

(1)は、自部門以外の端末からのアクセスを拒否したものです。職場からのみの利用を想定していたのですが、業務の拡大に伴いアクセス範囲(セグメント)が徐々に増えてしまいました。(^^;

(2)は、sambaアクセスのデフォルトを644でなく、664のようにGroup権を付けて、誰でもフォルダの作成やファイルの変更を出来るようにしましたが、実際のアクセスは各人のIDを用いることで、ファイルのオーナーを見て最後に編集したのが誰だか、フォルダを作成したのが誰だか分かるようにしていました。

id:DreamBug No.5

DreamBug回答回数9ベストアンサー獲得回数02004/08/17 16:26:50

ポイント10pt

http://www.samba.gr.jp/

日本 Samba ユーザー会

sambaというサーバーソフトを使うとWindowsマシンから「共有」でファイル・ディレクトリが読み書きできます。

セキュリティというか、読み込み・書き込み権を

どう管理するかでsambaの設定を検討する必要があります

誰でも同じように書き込めて読めるのであれば

1つだけログインIDを作ってみんな同じ名前を使うのが楽ですが

ユーザーごとにsambaのログインIDとグループをちゃんと設計してアクセス管理をすべきだと思います。

id:you-01

はい。そのあたりはわきまえております。

ただ、何分はじめてサーバーというものにLinuxを採用するもので、ファイルの改竄、他のWindowsマシンへのウィルス感染など、心配な点が多いもので・・・

2004/08/17 19:17:08
id:ke-zi No.6

ke-zi回答回数95ベストアンサー獲得回数02004/08/17 22:58:29

ポイント20pt

自分も実際にsambaを導入してファイルサーバーとしています。

外部からのセキュリティはルーターやセキュリティソフト等でなんとかするとして、問題はやはり内部の人間からの操作です。

まずはログを取り続けて、どのマシンからどのようなアクセスがあったか、どのような操作をされたかを把握しておくのが良いと思います。また、出来るだけ入り口を狭くしておくと、万が一ウィルスが紛れ込んでも影響を受けるマシンも多少は少なくなります(ウィルスによりますが)

初めてだとやはり心配も多いと思うので、個人的にはcronやバックアップツールを利用して、共有ディレクトリを半日に一回くらいにコピーしてバックアップしておくと問題が起きても比較的すぐ解決出来ますし、ログの状況を見て今後どのように設定すればいいかという糸口が掴めると思います。

id:you-01

う〜ん。やはりバックアップの必要性はかなりありそうですね。ログをとるなどのことまでは視野にいれてないのですが、必要とあらば勉強しなくては・・・

2004/08/18 20:01:00
id:JULY No.7

JULY回答回数966ベストアンサー獲得回数2472004/08/17 23:18:17

ポイント40pt

http://www.f-secure.co.jp/products/antivirus_linux_server/

日本F-Secure株式会社 - アンチウィルスLinux版

「何分はじめてサーバーというものにLinuxを採用するもので...」とおっしゃいますが、

Linux だから、Windows だから、といって、基本的な対策は変わりません。これまでの

コメントを読む限り、基本は身に付いているようですので、その点は良いでしょう。

心配されている「ファイルの改竄、他のWindowsマシンへのウィルス感染」という点に

ついてですが、まず、ファイルの改ざんに関しては、Windows とさして違いは

ありません。強いて言うと、Windows におけるアクセス権と UNIX でのアクセス権

の考え方の違いから、思うようなアクセス権が設定しづらい、というのはあります。

既に、他の方が書いているように、Linux 側でのグループ ID をうまく使う必要が

あります。またカーネルが 2.6 以降で標準対応になったのですが、Linux 側のファイル

システムが、Windows に似たようなアクセス制御が出来る仕組み(ACL)が

サポートされていると、Windows 側から適切なアクセス権を設定出来る範囲が

広がると思います。

ウィルスに関してですが、仮に Samba 上にウィルスに感染したファイルが書き込まれても、

Linux 自体には全く問題ありません。その点では Windows がサーバになっている

よりも安全です。ただ、共有したファイルにアクセスすることで、感染する可能性は

あります。これは、Linux だから、Windows だから、という問題ではありません。

ちなみに、Linux サーバ上で動くウィルス対策ソフトというのもありますので紹介しておきます。

http://www.sophos.co.jp/products/sav/

ソフォス エンタープライズ製品 - エンドポイント、メール、NAC

id:you-01

ACL、初めて聞きました。

ちょっと調べてみます。確かにアクセス権の問題でディレクトリ内のファイルが書き込みできなかったりすることがありました。

Linuxサーバ上で動くウィルスソフトはぜひ採用させていただきます。ありがとうございました。

2004/08/18 20:08:37

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません