Dokumentation4.4. Samba AppArmor-Profil
Ubuntu wird mit dem AppArmor-Sicherheitsmodul geliefert, das obligatorische Zugriffskontrollen bietet. Das Standard-AppArmor-Profil für Samba muss an Ihre Konfiguration angepasst werden. Weitere Einzelheiten zur Verwendung von AppArmor finden Sie in Abschnitt 4, „AppArmor“ [S. 194].
Es gibt Standard-AppArmor-Profile für /usr/sbin/smbd und /usr/sbin/nmbd, die Samba-Daemon-Binärdateien, als Teil der apparmor-profiles-Pakete. Um das Paket zu installieren, geben Sie an einer Terminal-Eingabeaufforderung Folgendes ein:
sudo apt install apparmor-profiles apparmor-utils
Dieses Paket enthält Profile für mehrere andere Binärdateien.
Standardmäßig sind die Profile für smbd und nmbd in beschweren Modus, der es Samba ermöglicht, ohne Änderung des Profils zu arbeiten und nur Fehler zu protokollieren. Zum Platzieren des SMBD-Profils erzwingen Modus verwenden und Samba wie erwartet funktionieren soll, muss das Profil geändert werden, um alle freigegebenen Verzeichnisse widerzuspiegeln.
Bearbeiten /etc/apparmor.d/usr.sbin.smbd Informationen hinzufügen für [Aktie] aus dem Dateiserver-Beispiel:
/srv/samba/share/ r,
/srv/samba/share/** rwkix,
Platzieren Sie nun das Profil erzwingen und lade es neu:
sudo aa-enforce /usr/sbin/smbd
cat /etc/apparmor.d/usr.sbin.smbd | sudo apparmor_parser -r
Sie sollten nun in der Lage sein, Dateien im freigegebenen Verzeichnis wie gewohnt zu lesen, zu schreiben und auszuführen, und die smbd-Binärdatei hat nur Zugriff auf die konfigurierten Dateien und Verzeichnisse. Stellen Sie sicher, dass Sie Einträge für jedes Verzeichnis hinzufügen, für dessen Freigabe Sie Samba konfigurieren. Außerdem werden alle Fehler protokolliert / var / log / syslog.