Ako namapovať disk z Linuxu pod Windows aby to bolo secure?

Ahojte, riešim takú vec že chceme s kamošom sprístupniť dáta z Linuxového servra na našich domácich kompoch ako sieťový disk, alebo adresár (niečo ako Gdrive). Ideálne riešnie by bolo pouźiť Sambu, ale tá posiela heslá v plain texte a to nechceme, totiž server je na verejnej sieti. Máme jedno riešenie ale má jednu nevýhodu, je potrebné vypnúť vo Windowsoch File Shraing ktorý neiekdy je potrebný: http://www.security-hacks.com/2007/0...e-file-sharing
Viete o nejakom inom riešení ktoré bude tomuto podobné a je možné ho spustiť aj cez iný port ako je 139-ka? Ideálne by bolo neičo free. V najhoršom prípade to môže byť aj na báze SFTP, aj keď to až také praktické nie je. Ide o to že chcem s dátami pohodlne pracovať ako s lokálnym alebo sieťovím diskom.

http://www.sftpdrive.com/

Sorry, zabudol som napísať že potrebujeme niečo free, najlepšie opensource. Inak vďaka.

co treba tunelit sambu pres SSH? kdyz pouzijes certifikat, nemusis ani zadavat heslo do putty :)

Samba rozhodne neposila hesla v plaintextu, je tam nejaky hash, ktery by teoreticky mozna sel nejakym bruteforcem rozlousknout, ale moc sanci bych tomu nedaval.
Pokud jsi ale extremne paranoidni, potrebujes sifrovat i data, pak bych asi sah po OpenVPN a sambu rval zkrz to.

Petrík, toto som ešte neskúšal, máš s tým nejaké skúsenosti?

monsoon, pokial je Samba dobre nastavená, tak to naozaj ide tým hashom, ale vraj to ide práve tým bruteforcem rozlúskať (to ma pri výkone dnešných PC neprekvapuje). Samotné dáta šifrovať nepotrebujem, myslím si že by to bola zbytočná zaťaž aj pre server (je to webový server, má iba jedného 3GHz Xeona), lebo prenosové rýchlosti budú 20Mbps a viac. To už je dosť, nie?

Kdyz to budes necim tunelovat, tak budes muset sifrovat i data, nejde sifrovat jen heslo, ten tunel nepozna, co je heslo a co jsou uz cista data.
20Mbps neni nejak moc, ten muj 3G celeron dava u aesu256 asi 640Mbps, navic je na vyber hromada dalsich jiste mene narocnych sifer. Tu OpenVPN vidim jako nejpohodlnejsi reseni, proste doubleclick na listu a jede se, vse ostatni jede transparentne pres to.

webdav pres https
nejaky ftps (pro windows jsou free implementace ftpfs (FTP Drive) - ale nevim, jestli umi ftps)
samba pres openvpn nebo ssh tunel
nfs pres tunel

se sambou pres ssh tunel by nemel byt problem, pokud na pocitaci nebezi samba server. Pak neni problem presmerovat port 455 z localhostu na server a primountovat \\localhost :)

to uz je lepsi ta openvpn, ne?

Zprovoznit openVPN neni zrovna trivialni, ssh server je na kazdem linuxu. Navic zdaleka ne kazdy router umoznuje VPN pass-trough.

Citace:

---

Původně odeslal Petrik

Zprovoznit openVPN neni zrovna trivialni, ssh server je na kazdem linuxu. Navic zdaleka ne kazdy router umoznuje VPN pass-trough.

---

na openvpn nepotrebujes vpn passthrough a rozbehat openvpn neni nikterak slozite. staci vzit howto a jet krok za krokem.
ssh bude pomale a znamena komplikace na klientovi ...

Pokud mluvime o wokenim klientu VPN, tak ten VPN pass-through na strene serveru potrebuje, musel jsem kvuli tomu koupit klientovi RB411, AirCA-8 nejela. Pokud nemas nejaky super rychly net, tak pri spravne volbe sifry SSH bez problemu stiha.

Citace:

---

Původně odeslal Petrik

Pokud mluvime o wokenim klientu VPN, tak ten VPN pass-through na strene serveru potrebuje, musel jsem kvuli tomu koupit klientovi RB411, AirCA-8 nejela. Pokud nemas nejaky super rychly net, tak pri spravne volbe sifry SSH bez problemu stiha.

---

prosimte, podivej se, co je openvpn a pak tu diskutuj o woeknim klientu vpn ... :(

Samba pres openvpn - rychle, jednoduche a efektivni :) Rozbehnout OpenVPN linux server <-> windows client je otazka peti minut, na windows jsou dokonce generatory configu, kam se jen napise remote ip a protokol - ale myslim, ze neco takoveho nebudes potrebovat :)

Openvpn je opravdu trivialni a da se s tim delat cokoliv ....
Pouzivam vsude kde nemusim IPsec ...

Panove, rika vam neco pojem Kerberos? Pak nejake sifrovani hesel nemusite resit. A propos, vetsina distribuci ma v defaultu zakazanou LANMAN auth, ktera posila hesla nezasifrovane. Upstream samba balicky ji maji sice jeste stale povolenou, ale jakmile opravim jeden zbyvajici bug, globalne se to zakaze ;) (venku byl tusim jeden stable release, co to mel zakazane, ale znovu se to povolilo). NTLM auth by mela byt rozumne odolna, jistotu ale prinese az Samba 4.

Jinak Kerberos je obecny centralizovany system pro spravu pristupu, da se pouzit pekne i s NFS, SSH, HTTP a kopou dalsich sluzeb.

K portum: SMB protokol vyuziva vice portu, dulezite jsou broadcasty a odezvy od jednotlivych klientu (bacha na firewall). Mozna se to da nastavit, ale nemam poneti, jak se s tim poperou windozi klienti.

Citace:

---

Původně odeslal Gargamel

K portum: SMB protokol vyuziva vice portu, dulezite jsou broadcasty a odezvy od jednotlivych klientu (bacha na firewall). Mozna se to da nastavit, ale nemam poneti, jak se s tim poperou windozi klienti.

---

Pro sambu pres IP adresy staci pouze TCP 445, mam to vyzkousene. Automaticke hledani pocitacu samozrejme potrebuje broadcast.

Citace:

---

Původně odeslal Petrik

Pro sambu pres IP adresy staci pouze TCP 445, mam to vyzkousene. Automaticke hledani pocitacu samozrejme potrebuje broadcast.

---

Neni tak uplne pravda.

Pro sambu staci 139, 445 pouzivaji pouze 2000/XP klienti ... tzn. Pres 445 nepojedou Windows 98 napr. Proste 139 se pouzival driveji nez 445 ...

Osobně se přimlouvám za webdav přes https, je to nejelegantnější... a univerzální. Netřeba speciální konfigurace klienta.

Zeby ? http://support.microsoft.com/kb/324055

Jestli to funguje nevim jen sem zagooglil, podle vseho by melo na XP pro, na home nikoli.

XP home ale NENI operacni system .. je to total shit ...
XP prof je tak na puli cesty ....

Citace:

---

Původně odeslal Jezevec

Zeby ? http://support.microsoft.com/kb/324055

Jestli to funguje nevim jen sem zagooglil, podle vseho by melo na XP pro, na home nikoli.

---

Windows Services for Unix je trochu bumbrlicek se slozitou konfiguraci - zacatecnik bude zmaten mapovanim UID/GID, konfiguraci NIS a podobne. Navic to neni rozumne integrovane. Proste typicky dalsi zpraseny produkt MS.

sice nejsem vubec expert na LM 1/2, NTLM, NTLM2 (http://davenport.sourceforge.net/ntlm.html) a implementaci Sambe, ale kde jsi (e1) vzal, ze samba posila hesla v plain textu ? Jen pro test jsem ted proti svoji Samba 3.0.30 PDC ((s)LDAP backend) vzal wireshark z WinXP a vidim normalni NTLM challenge/response.

Na druhou stranu si myslim, ze vystavovat sambu/windows sharing do internetu neni dobry napad. Resenim (ktere jsem po pravde nezkousel, protoze to nepotrebuji) je protahnout to SSL tunelem jak pise Fox!MURDER. Jeste me nepada, ze byste si ty data mohli stahovat lokalne pracovat a pak vratit zpet - samozrejme podle povahy dat a prace nad nima. Jinak - ja tohle resim normalnim VPN spojenim (pod Windows 2k3 srv) a pak normalnim namapovanim \\abcd\slozka na sitovy disk.

Už sme sa rozhodli, na 99% to bude riešené Sambou cez VPN. Žiaľ ešte nebol čas hrajkať sa tým lebo teraz riešime niečo iné, ale dostaneme sa aj k tomu a potom zreferujeme.