# [SERVER] Alternative sicure a samba.

## Cazzantonio

Ho una piccola lan "casalinga" con un server samba (gentoo) che condivide file con altri 2 computer (un gentoo e un ubuntu). A questa rete si attaccano però altri individui con cui condivido la connessione adsl.

Ora non voglio fare il paranoico, non penso che abbiano la voglia e/o la capacità di bucare la mia "sottorete", tuttavia ogni tanto hanno avanzato richieste di potersi connettere anche loro al server samba per accedere a determinati file che io, per ragioni di banda e anche di principio, ho sempre rifiutato. Qualche volta ho trovato anche nei log di iptables dei maldestri tentativi di connessione.

Sempre per non evocare la paranoia sono arcisicuro che la sicurezza della mia sottorete sia sufficiente a tenere lontani gli scrocconi indesiderati, tuttavia era per dire che l'argomento sicurezza mi interessa un minimo prima di introdurre la seguente domanda.

Siccome nella mia sottorete non c'è nessun pc windows trovo inutile e superfluo, quando non rischioso, usare samba per la condivisione. Samba è semplice da utilizzare e da configurare, e anche abbastanza sicuro, tuttavia è una soluzione di compatibilità con windows che non mi interessa assolutamente avere.

Vorrei utilizzare altri metodi di condivisione dei file, tuttavia NFSv3 è troppo insicuro (accesso garantito in base all'ip...) e NFSv4 non lo conosco. Non conosco nemmeno AFS per cui chiedo a voi se sapete consigliarmi su cosa scegliere per sostituire samba. Premesso che sia una soluzione semplice, di poche pretese e con un meccanismo di autenticazione non dissimile da samba (username/password... oppure tramite chiave cifrata...).

Grazie e spero di non aver lanciato un flame oppure avanzato una FAQ. Mi sono documentato molto prima di chiedere ma la qualità della documentazione, specie su NFSv4, non mi convince molto   :Smile: 

----------

## codadilupo

sshfs no  :Wink:  ?

Coda

----------

## Kernel78

l'unico motivo per cui io non uso sshfs è che konqueror mi permette tramie fish://<username>@<server> di collegarmi ad un server (dove sia presente ssh e username sia abilitato al login via ssh).

La sicurezza di ssh e la comodità dell'interfaccia grafica (quando ho fatto vedere al mio responsabile che facevo drag&drop di un file da un nostro server al server di un cliente si è deciso a farsi installare linux sul portatile)  :Cool: 

----------

## codadilupo

 *Kernel78 wrote:*   

> l'unico motivo per cui io non uso sshfs è che konqueror mi permette tramie fish://<username>@<server> di collegarmi ad un server (dove sia presente ssh e username sia abilitato al login via ssh).
> 
> La sicurezza di ssh e la comodità dell'interfaccia grafica (quando ho fatto vedere al mio responsabile che facevo drag&drop di un file da un nostro server al server di un cliente si è deciso a farsi installare linux sul portatile) 

 

si', beh, anche nautilus lo permette, ma se non ricordo male Cazzantonio usa windowmaker, quindi je tocca  :Wink: 

Coda

----------

## Kernel78

 *codadilupo wrote:*   

>  *Kernel78 wrote:*   l'unico motivo per cui io non uso sshfs è che konqueror mi permette tramie fish://<username>@<server> di collegarmi ad un server (dove sia presente ssh e username sia abilitato al login via ssh).
> 
> La sicurezza di ssh e la comodità dell'interfaccia grafica (quando ho fatto vedere al mio responsabile che facevo drag&drop di un file da un nostro server al server di un cliente si è deciso a farsi installare linux sul portatile)  
> 
> si', beh, anche nautilus lo permette, ma se non ricordo male Cazzantonio usa windowmaker, quindi je tocca 
> ...

 

piccolo OT:

si, se non sbaglio il meccanismo si chiama gnome-vfs (giusto ?), sai se è colpito anche lui dallo stesso inconveniente degli IOSlaves ? il fatto che non tutte le applicazioni possano sfruttare questi meccanismi ... ho letto che per kio stanno lavorando ad un "gateway" con fuse in modo da far sfruttare a tutte le applicazioni le potenzialità di questa virtualizzazione ... purtroppo non ho temp/voglia di sbattermi a provare questa cosa  :Sad: 

----------

## codadilupo

 *Kernel78 wrote:*   

>  *codadilupo wrote:*    *Kernel78 wrote:*   l'unico motivo per cui io non uso sshfs è che konqueror mi permette tramie fish://<username>@<server> di collegarmi ad un server (dove sia presente ssh e username sia abilitato al login via ssh).
> 
> La sicurezza di ssh e la comodità dell'interfaccia grafica (quando ho fatto vedere al mio responsabile che facevo drag&drop di un file da un nostro server al server di un cliente si è deciso a farsi installare linux sul portatile)  
> 
> si', beh, anche nautilus lo permette, ma se non ricordo male Cazzantonio usa windowmaker, quindi je tocca 
> ...

 

Se intendi che non si riesca ad aprire i file su device montanti in tal modo... si', purtroppo  :Sad: 

Coda

----------

## riverdragon

 *Kernel78 wrote:*   

> piccolo OT:
> 
> si, se non sbaglio il meccanismo si chiama gnome-vfs (giusto ?), sai se è colpito anche lui dallo stesso inconveniente degli IOSlaves ? il fatto che non tutte le applicazioni possano sfruttare questi meccanismi ...

 Confermo. Se le cose vanno per il verso giusto per marzo (gnome 2.22) gnome-vfs sarà sostituito da un fiammante gio/gvfs che dovrebbe risolvere anche problemi come questo. Prova a vedere su http://live.gnome.org/GioToDo

----------

## djinnZ

dai uno sguardo a coda, lo ho usato per pochissimo causa totale instabilità del driver winzozz (che sono obbligato per legge ad usare), dovrebbe fare al caso tuo.

----------

## Cazzantonio

 *djinnZ wrote:*   

> dai uno sguardo a coda, lo ho usato per pochissimo causa totale instabilità del driver winzozz (che sono obbligato per legge ad usare), dovrebbe fare al caso tuo.

 Dici che è buono? Non l'ho mai provato e ne ho solo sentito parlare.

Riguardo a ssh... magari... solo che ssh è lentino. Se potessi fare la stessa cosa che fate in konqueror o nautilus sul mio rox ne sarei ben contento. Comunque ora uso Xfce, non windowmaker   :Very Happy: 

Che differenze ci sono tra shfs e sshfs-fuse?

----------

## codadilupo

 *Cazzantonio wrote:*   

> Che differenze ci sono tra shfs e sshfs-fuse?

 

beh, immagino che l'unica vera differenza stia nel fatto che fuse gira in userspace, ed è dannatamente lento

Coda

----------

## !equilibrium

 *djinnZ wrote:*   

> dai uno sguardo a coda, lo ho usato per pochissimo causa totale instabilità del driver winzozz (che sono obbligato per legge ad usare), dovrebbe fare al caso tuo.

 

coda ha un grosso limite come filesystem distribuito: ogni share può avere al massimo una capacità di 500MB (o altro valore dell'ordine dei MB che non rammento con precisione). ciò è dovuto al meccanismo di allocazione della VM di Coda.

 *Quote:*   

> At present we recommend not using more than 330MB of RVM. We have a few servers running with more, but the startup time is slow and Coda has too many bugs to warrant installing mega servers at this point

 

IMHO, un filesystem distribuito è abbastanza complesso da configurare e mantenere (soprattutto coda che non è nemmeno *stabile*) senza considerare che richiede una certa capacità di calcolo e di risorse (RAM + HDs sui vari client e server) che non giustificano tale sforzo; molto meglio tenersi samba.

my 2 cents: WebDAV è una valida alternativa a samba.

p.s.: non è più semplice configurare samba in modo che risponda soltanto agli IP interni della LAN? magari invece di mappare l'intera sottorete usata dalla LAN si mappano direttamente i singoli host; in questo modo è molto difficile che da remoto riescano ad accedere agli share samba (anche se per ipotesi riuscissero a violare il firewall e farsi riconoscere come host locale).

p.p.s.: l'ultima versione di Coda supporta pienamente i 64bit, quindi è probabile che il limite di spazio sugli shares non ci sia più per i sistemi a 64bit, ma non ne sono sicuro

----------

## Cazzantonio

 *!equilibrium wrote:*   

> p.s.: non è più semplice configurare samba in modo che risponda soltanto agli IP interni della LAN? magari invece di mappare l'intera sottorete usata dalla LAN si mappano direttamente i singoli host; in questo modo è molto difficile che da remoto riescano ad accedere agli share samba (anche se per ipotesi riuscissero a violare il firewall e farsi riconoscere come host locale).

 Sicuro. Comunque non sono tanto preoccupato della sicurezza... era solo per dire che NFS mi sembra troppo insicuro. Mi basta un qualisiasi sistema che preveda un'autenticazione minima.

Volevo togliere samba perché è un mattone che non mi serve. Mi bastava una cosa più semplice e con meno pretese.

----------

## koma

io suggerisco ftpfs.

Sshfs è un po' pesantino (deve codare tutto quello che passa in ssl e poi risputarlo dalla'ltro lato.) Dubito ti possano sniffare la rete  :Smile: 

----------

## Cazzantonio

 *koma wrote:*   

> io suggerisco ftpfs.
> 
> Sshfs è un po' pesantino (deve codare tutto quello che passa in ssl e poi risputarlo dalla'ltro lato.) Dubito ti possano sniffare la rete 

 No infatti. Non è tanto la crittazione che cerco, solo un minimo di autenticazione (anche in chiaro).

Deve essere un meccanismo di sharing dei file che si comporti come un filesystem (ovvero si monta su una cartella) e che sia inseribile in fstab.

Mi documento su ftpfs, ne frattempo vorrei qualche informazione in più su WebDAV se possibile perché non mi è assolutamente chiaro come funzioni   :Confused:   :Smile: 

[edit]

Probabilmente curlftpfs è proprio quello che mi serve. Non tanto per una questione di velocità, quanto per il fatto che preferisco lasciare a giro un file .netrc con le password del server ftp che un accesso libero ssh da un pc che, non essendo mio, non considero "sicuro".

P.S. solo per curiosità... samba mica critta i file che trasferice vero? E' in chiaro anche samba come ftp.

----------

## koma

Suggerieri di usare lufs  :Smile:  curl etc etc non è molto stabile lufs si

----------

## Cazzantonio

mi pare che lufs non sia più attivamente sviluppato, inoltre usando un modulo per fuse, invece che per lufs, si ha il vantaggio di avere il supporto integrato nel kernel.

----------

## comio

 *Cazzantonio wrote:*   

> mi pare che lufs non sia più attivamente sviluppato, inoltre usando un modulo per fuse, invece che per lufs, si ha il vantaggio di avere il supporto integrato nel kernel.

 

a me lufs pare proprio morto...

ciao

----------

## ProT-0-TypE

un semplice server ftp non va bene? vsftpd con utenti virtuali: veloce, semplice, sicuro

----------

## Cazzantonio

No. Come ho detto prima mi serve che le share siano montate in una cartella, meglio se con una voce relativa in fstab.

----------

## Cazzantonio

Ho provato a impostare una condivisiode via curlftpfs, tuttavia è problematico usarlo al posto di una condivisione samba.

Il problema nasce dal fatto che ftp è un protocollo pensato per trasferire file, e non per stabilire connessioni permanenti come nel caso si voglia montare una share. C'è tutta una questione relativa ai timeout della connessione che rende problematico, anche se non impossibile, usare ftpfs al posto di samba.

ssfhs-fuse funziona un po' meglio, anche se non mi piace l'idea di dover fornire una shell di accesso a tutti i client.

Alla fine samba è la cosa più semplice (anche dal punto di vista della sicurezza). Il giorno in cui mi fiderò a dare ai client una shell di accesso al server allora valuterò sshfs-fuse   :Smile: 

P.S. codafs è veramente inefficiente per share di grosse dimensioni.

----------

## lucapost

Non troppi mesi fa ho fatto qualche esperimento con http://www.openafs.org/.

Non è leggerissimo, ma se hai tempo vale la pena provarlo.

C'è anche in portage.

----------

## djinnZ

 *!equilibrium wrote:*   

> ...

 

dipende da come lo usi, il pregio di coda è che supporta le operazioni disconnesse e la cache è il suo punto debole (sul genere rogne di xfs con cache surdimensionata), più è grande più pesa sul sistema.

A suo tempo (tra il kernel 2.2. ed il 2.4) lo ho usato per mettere in share un centinaio di mega di documenti tra il server ed il mio pc e non ho avuto problemi e non si è comportato male.

----------

## .:chrome:.

vorrei farti notare un (piccolo, forse) errore di principio in quanto tu scrivi:

SMB non è una soluzione di compatibilità per reti windows, ma un sistema di condivisione di risorse tra reti eterogenee. detto questo, la prospettiva cambia un bel po'...

una condivisione samba può essere montata attraverso il vecchio smbfs, appunto vecchio, lento, limitato ed insicuro; oppure con il buon CIFS, che abbandona NetBIOS per TCP ed è quello usato dalle recenti versioni di windows (2000 e successive).

questo, insieme ad una attenta conifgurazione di samba e delle condivisioni, è in grado di metterti al sicuro da moltissimi attacchi e tentativi di violazione della rete. fai attenzione ad una cosa, a questo proposito: il fatto che samba sia semplice da configurare non vuol dire che sia un protocollo semplice. si tratta infatti di una suite protocollare tra le più complete, articolate ed allo stesso tempo flessibili di cui il settore ICT disponga; è vero che si possono realizzare configurazioni "alla buona" con poche righe, ma è anche vero che dedicando un po' di tempo alla lettura dell'imponente manuale è possibile realizzare configurazioni molto più sottili di quanto non permettano quasi tutti gli altri protocolli per la condivisione di risorse in rete.

----------

## Cazzantonio

Hai ragione, samba è incredibilmente completo.

Proprio per questa ragione, visto che devo condidere dati con un massimo di quattro pc (che si connettono alle risorse condivise al massimo uno per volta), mi bastava qualcosa di molto più semplice, che non necessitasse di tutta la complessità fornita da samba, dei tempi di compilazione e della manutenzione necessaria.

Nonostante questo mi piaceva l'idea di un'autenticazione via password, anche in chiaro. Giusto perché chiunque non potesse accedere alle foto mie e della mia dolce metà che stanno sul serverino. (Niente di sconcio.. beh.. non eccessivamente sconcio, purtuttavia foto private).

----------

## .:chrome:.

ma se le tue esigenze sono solo queste, samba è sufficiente, e non devi nemmeno approtare grandi modifiche alle tue attuali configurazioni.

puoi imporre un valid-user con relativa password per ogni sezione, iserire gli utenti che vuoi in tdbsam con smbpasswd, e il gioco è fatto.

----------

## koma

suggerirei in aggiunta di usare webmin.

Per quanto mi riguarda il smb.conf è sempre stato un po' criptico.

Con webmin puoi configurare agevolmente i path condivisi,  gli utenti permessi quelli non etc etc.

----------

## Cazzantonio

 *.:chrome:. wrote:*   

> ma se le tue esigenze sono solo queste, samba è sufficiente, e non devi nemmeno approtare grandi modifiche alle tue attuali configurazioni.

 Non solo è sufficiente, è pure troppo! Ho samba da diverso tempo e funziona da dio (non ho bisogno di aiuto per configurare samba).

Volevo solo sapere se esisteva qualcosa di vagamente simile (autenticazione con password e accesso alle risorse condivise come un normale filesystem) che evitasse l'installazione di un mattone come samba. La macchina server è vecchiotta e ogni mattone in meno da compilare e una botta di salute.

----------

## .:chrome:.

aaaaah...

eccheccaccio non avevo capito. pensavo che il tuo problema fosse quello opposto. scusa!

torno a smaltire l'alcool che ho bevuto all'ultimo, va'

----------

## stefanonafets

Ma sbaglio o samba viene usato anche in piccoli/piccolissimi appliance?

Sei sicuro che "pesi" sulle prestazioni della macchina ("top" alla mano) ?

Effettivamente ci sono rimasto male quando ho scoperto che samba può fare da domain controller di un'active directory,

ma io direi "tanto di cappello" per quanto ca.. spita è scalabile!!!    :Wink: 

Scherzi a parte, credo che per il tipo di problema che devi risolvere, samba sia la migliore soluzione (come compromesso fra "fatica" (aka sbattimento x le conf.), robustezza, flessibilità).

Ciao!

----------

## MeMyselfAndI

Si puo' fare da PDC ma occhio che non supporta (ancora) tutte le feature di un PDC windows, anche se sono in fase di implementazione, perlomeno il supporto alle group policies

----------

## Cazzantonio

 *stefanonafets wrote:*   

> Ma sbaglio o samba viene usato anche in piccoli/piccolissimi appliance?
> 
> Sei sicuro che "pesi" sulle prestazioni della macchina ("top" alla mano) ?

 Quando lo compili pesa eccome.

 *Quote:*   

> Scherzi a parte, credo che per il tipo di problema che devi risolvere, samba sia la migliore soluzione (come compromesso fra "fatica" (aka sbattimento x le conf.), robustezza, flessibilità).

 Preferivo un compromesso più vicino alla minimalità, comunque sto continuando ad usare samba visto che ancora non ho trovato alternative soddisfacenti.

----------

