Ako namapovať disk z Linuxu pod Windows aby to bolo secure?

Ahojte, riešim takú vec že chceme s kamošom sprístupniť dáta z Linuxového servra na našich domácich kompoch ako sieťový disk, alebo adresár (niečo ako Gdrive). Ideálne riešnie by bolo pouźiť Sambu, ale tá posiela heslá v plain texte a to nechceme, totiž server je na verejnej sieti. Máme jedno riešenie ale má jednu nevýhodu, je potrebné vypnúť vo Windowsoch File Shraing ktorý neiekdy je potrebný: http://www.security-hacks.com/2007/0...e-file-sharing
Viete o nejakom inom riešení ktoré bude tomuto podobné a je možné ho spustiť aj cez iný port ako je 139-ka? Ideálne by bolo neičo free. V najhoršom prípade to môže byť aj na báze SFTP, aj keď to až také praktické nie je. Ide o to že chcem s dátami pohodlne pracovať ako s lokálnym alebo sieťovím diskom.

http://www.sftpdrive.com/

Sorry, zabudol som napísať že potrebujeme niečo free, najlepšie opensource. Inak vďaka.

co treba tunelit sambu pres SSH? kdyz pouzijes certifikat, nemusis ani zadavat heslo do putty :)

Samba rozhodne neposila hesla v plaintextu, je tam nejaky hash, ktery by teoreticky mozna sel nejakym bruteforcem rozlousknout, ale moc sanci bych tomu nedaval.
Pokud jsi ale extremne paranoidni, potrebujes sifrovat i data, pak bych asi sah po OpenVPN a sambu rval zkrz to.

Petrík, toto som ešte neskúšal, máš s tým nejaké skúsenosti?

monsoon, pokial je Samba dobre nastavená, tak to naozaj ide tým hashom, ale vraj to ide práve tým bruteforcem rozlúskať (to ma pri výkone dnešných PC neprekvapuje). Samotné dáta šifrovať nepotrebujem, myslím si že by to bola zbytočná zaťaž aj pre server (je to webový server, má iba jedného 3GHz Xeona), lebo prenosové rýchlosti budú 20Mbps a viac. To už je dosť, nie?

Kdyz to budes necim tunelovat, tak budes muset sifrovat i data, nejde sifrovat jen heslo, ten tunel nepozna, co je heslo a co jsou uz cista data.
20Mbps neni nejak moc, ten muj 3G celeron dava u aesu256 asi 640Mbps, navic je na vyber hromada dalsich jiste mene narocnych sifer. Tu OpenVPN vidim jako nejpohodlnejsi reseni, proste doubleclick na listu a jede se, vse ostatni jede transparentne pres to.

webdav pres https
nejaky ftps (pro windows jsou free implementace ftpfs (FTP Drive) - ale nevim, jestli umi ftps)
samba pres openvpn nebo ssh tunel
nfs pres tunel

se sambou pres ssh tunel by nemel byt problem, pokud na pocitaci nebezi samba server. Pak neni problem presmerovat port 455 z localhostu na server a primountovat \\localhost :)

to uz je lepsi ta openvpn, ne?

Zprovoznit openVPN neni zrovna trivialni, ssh server je na kazdem linuxu. Navic zdaleka ne kazdy router umoznuje VPN pass-trough.

Citace:

---

Původně odeslal Petrik

Zprovoznit openVPN neni zrovna trivialni, ssh server je na kazdem linuxu. Navic zdaleka ne kazdy router umoznuje VPN pass-trough.

---

na openvpn nepotrebujes vpn passthrough a rozbehat openvpn neni nikterak slozite. staci vzit howto a jet krok za krokem.
ssh bude pomale a znamena komplikace na klientovi ...

Pokud mluvime o wokenim klientu VPN, tak ten VPN pass-through na strene serveru potrebuje, musel jsem kvuli tomu koupit klientovi RB411, AirCA-8 nejela. Pokud nemas nejaky super rychly net, tak pri spravne volbe sifry SSH bez problemu stiha.

Citace:

---

Původně odeslal Petrik

Pokud mluvime o wokenim klientu VPN, tak ten VPN pass-through na strene serveru potrebuje, musel jsem kvuli tomu koupit klientovi RB411, AirCA-8 nejela. Pokud nemas nejaky super rychly net, tak pri spravne volbe sifry SSH bez problemu stiha.

---

prosimte, podivej se, co je openvpn a pak tu diskutuj o woeknim klientu vpn ... :(

Samba pres openvpn - rychle, jednoduche a efektivni :) Rozbehnout OpenVPN linux server <-> windows client je otazka peti minut, na windows jsou dokonce generatory configu, kam se jen napise remote ip a protokol - ale myslim, ze neco takoveho nebudes potrebovat :)

Openvpn je opravdu trivialni a da se s tim delat cokoliv ....
Pouzivam vsude kde nemusim IPsec ...

Panove, rika vam neco pojem Kerberos? Pak nejake sifrovani hesel nemusite resit. A propos, vetsina distribuci ma v defaultu zakazanou LANMAN auth, ktera posila hesla nezasifrovane. Upstream samba balicky ji maji sice jeste stale povolenou, ale jakmile opravim jeden zbyvajici bug, globalne se to zakaze ;) (venku byl tusim jeden stable release, co to mel zakazane, ale znovu se to povolilo). NTLM auth by mela byt rozumne odolna, jistotu ale prinese az Samba 4.

Jinak Kerberos je obecny centralizovany system pro spravu pristupu, da se pouzit pekne i s NFS, SSH, HTTP a kopou dalsich sluzeb.

K portum: SMB protokol vyuziva vice portu, dulezite jsou broadcasty a odezvy od jednotlivych klientu (bacha na firewall). Mozna se to da nastavit, ale nemam poneti, jak se s tim poperou windozi klienti.

Citace:

---

Původně odeslal Gargamel

K portum: SMB protokol vyuziva vice portu, dulezite jsou broadcasty a odezvy od jednotlivych klientu (bacha na firewall). Mozna se to da nastavit, ale nemam poneti, jak se s tim poperou windozi klienti.

---

Pro sambu pres IP adresy staci pouze TCP 445, mam to vyzkousene. Automaticke hledani pocitacu samozrejme potrebuje broadcast.

Citace:

---

Původně odeslal Petrik

Pro sambu pres IP adresy staci pouze TCP 445, mam to vyzkousene. Automaticke hledani pocitacu samozrejme potrebuje broadcast.

---

Neni tak uplne pravda.

Pro sambu staci 139, 445 pouzivaji pouze 2000/XP klienti ... tzn. Pres 445 nepojedou Windows 98 napr. Proste 139 se pouzival driveji nez 445 ...

Osobně se přimlouvám za webdav přes https, je to nejelegantnější... a univerzální. Netřeba speciální konfigurace klienta.

Zeby ? http://support.microsoft.com/kb/324055

Jestli to funguje nevim jen sem zagooglil, podle vseho by melo na XP pro, na home nikoli.

XP home ale NENI operacni system .. je to total shit ...
XP prof je tak na puli cesty ....

Citace:

---

Původně odeslal Jezevec

Zeby ? http://support.microsoft.com/kb/324055

Jestli to funguje nevim jen sem zagooglil, podle vseho by melo na XP pro, na home nikoli.

---

Windows Services for Unix je trochu bumbrlicek se slozitou konfiguraci - zacatecnik bude zmaten mapovanim UID/GID, konfiguraci NIS a podobne. Navic to neni rozumne integrovane. Proste typicky dalsi zpraseny produkt MS.

sice nejsem vubec expert na LM 1/2, NTLM, NTLM2 (http://davenport.sourceforge.net/ntlm.html) a implementaci Sambe, ale kde jsi (e1) vzal, ze samba posila hesla v plain textu ? Jen pro test jsem ted proti svoji Samba 3.0.30 PDC ((s)LDAP backend) vzal wireshark z WinXP a vidim normalni NTLM challenge/response.

Na druhou stranu si myslim, ze vystavovat sambu/windows sharing do internetu neni dobry napad. Resenim (ktere jsem po pravde nezkousel, protoze to nepotrebuji) je protahnout to SSL tunelem jak pise Fox!MURDER. Jeste me nepada, ze byste si ty data mohli stahovat lokalne pracovat a pak vratit zpet - samozrejme podle povahy dat a prace nad nima. Jinak - ja tohle resim normalnim VPN spojenim (pod Windows 2k3 srv) a pak normalnim namapovanim \\abcd\slozka na sitovy disk.

Už sme sa rozhodli, na 99% to bude riešené Sambou cez VPN. Žiaľ ešte nebol čas hrajkať sa tým lebo teraz riešime niečo iné, ale dostaneme sa aj k tomu a potom zreferujeme.

Takže máme rozchodenú Sambu cez OpenVPN, ale máme jeden problém. Rýchlosť, resp. pomalosť. Dosahujeme rýchlosť cca. 6Mbps download (upload zatiaľ je ok), napriek tomu že moje domáce pripojenie je 20/2Mbps, server má gigabitovú prípojku, a HW na oboch stranách má dostatočný výkon na šifrovanie. Dosahované rýchlosti sú +/- rovnaké aj u kamoša. Ja používam Vistu 64-bit a som za routrom, kamoš má jabĺčko a má verejnú IP na intráku. Máte nejaký nápad že prečo máme tento problém? Server je Gentoo, cez FTP/HTTP dosahujeme bez problémov aj 10x väčšie rýchlosti.

Citace:

---

Původně odeslal e1

Takže máme rozchodenú Sambu cez OpenVPN, ale máme jeden problém. Rýchlosť, resp. pomalosť. Dosahujeme rýchlosť cca. 6Mbps download (upload zatiaľ je ok), napriek tomu že moje domáce pripojenie je 20/2Mbps, server má gigabitovú prípojku, a HW na oboch stranách má dostatočný výkon na šifrovanie. Dosahované rýchlosti sú +/- rovnaké aj u kamoša. Ja používam Vistu 64-bit a som za routrom, kamoš má jabĺčko a má verejnú IP na intráku. Máte nejaký nápad že prečo máme tento problém? Server je Gentoo, cez FTP/HTTP dosahujeme bez problémov aj 10x väčšie rýchlosti.

---

dojdu si pro vesteckou kouli a zjistim jak to mas nakonfigurovany, pak se ozvu ...

OpenVPN server:

Kód:

---

# allspark

port 1194
proto udp

dev tun

ca allspark/ca.crt
cert allspark/server.crt
key allspark/server.key
dh allspark/dh2048.pem

server 10.10.3.0 255.255.255.0

ifconfig-pool-persist ipp.txt

keepalive 10 120
comp-lzo

user nobody
group nobody

persist-key
persist-tun

cipher AES-256-CBC

status /var/log/openvpn-status.log

verb 5

---

OpenVPN klient:

Kód:

---

##############################################
# Sample client-side OpenVPN 2.0 config file #
# for connecting to multi-client server.    #
#                                            #
# This configuration can be used by multiple #
# clients, however each client should have  #
# its own cert and key files.                #
#                                            #
# On Windows, you might want to rename this  #
# file so it has a .ovpn extension          #
##############################################

# Specify that we are a client and that we
# will be pulling certain config file directives
# from the server.
client

# Use the same setting as you are using on
# the server.
# On most systems, the VPN will not function
# unless you partially or fully disable
# the firewall for the TUN/TAP interface.
;dev tap
dev tun

# Windows needs the TAP-Win32 adapter name
# from the Network Connections panel
# if you have more than one.  On XP SP2,
# you may need to disable the firewall
# for the TAP adapter.
;dev-node MyTap

# Are we connecting to a TCP or
# UDP server?  Use the same setting as
# on the server.
;proto tcp
proto udp

# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote allspark.info 1194
;remote my-server-2 1194

# Choose a random host from the remote
# list for load-balancing.  Otherwise
# try hosts in the order specified.
;remote-random

# Keep trying indefinitely to resolve the
# host name of the OpenVPN server.  Very useful
# on machines which are not permanently connected
# to the internet such as laptops.
resolv-retry infinite

# Most clients don't need to bind to
# a specific local port number.
nobind

# Downgrade privileges after initialization (non-Windows only)
;user nobody
;group nobody

# Try to preserve some state across restarts.
persist-key
persist-tun

# If you are connecting through an
# HTTP proxy to reach the actual OpenVPN
# server, put the proxy server/IP and
# port number here.  See the man page
# if your proxy server requires
# authentication.
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]

# Wireless networks often produce a lot
# of duplicate packets.  Set this flag
# to silence duplicate packet warnings.
;mute-replay-warnings

# SSL/TLS parms.
# See the server config file for more
# description.  It's best to use
# a separate .crt/.key file pair
# for each client.  A single ca
# file can be used for all clients.
ca D:/Documents/keys/ca.crt
cert D:/Documents/keys/e1.crt
key D:/Documents/keys/e1.key


# Verify server certificate by checking
# that the certicate has the nsCertType
# field set to "server".  This is an
# important precaution to protect against
# a potential attack discussed here:
#  http://openvpn.net/howto.html#mitm
#
# To use this feature, you will need to generate
# your server certificates with the nsCertType
# field set to "server".  The build-key-server
# script in the easy-rsa folder will do this.
ns-cert-type server

# If a tls-auth key is used on the server
# then every client must also have the key.
;tls-auth ta.key 1

# Select a cryptographic cipher.
# If the cipher option is used on the server
# then you must also specify it here.
;cipher x

# Enable compression on the VPN link.
# Don't enable this unless it is also
# enabled in the server config file.
comp-lzo

# Set log file verbosity.
verb 3

# Silence repeating messages
;mute 20

cipher AES-256-CBC

---

Samba:

Kód:

---

# allspark

[global]
workgroup = allspark
netbios name = allspark
server string = allspark.info

load printers = no
lanman auth = no
encrypt passwords = yes
preserve case = yes
short preserve case = yes

interfaces = 10.10.3.1/24
bind interfaces only = yes
hosts allow = 10.10.3. 127.
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 IPTOS_THROUGHPUT

browseable = yes
writeable = yes
create mask = 0644

# Name Resolution Options
name resolve order = wins lmhosts host bcast
wins support = yes
wins server = 127.0.0.1
wins proxy = yes
dns proxy = no

log file = /var/log/samba/log.%m
max log size = 50
; log level = 3

[e1]
comment = Home directory
path = /home/e1/
valid users = e1
writable = yes
browseable = yes

---

To ftp co ste testili bylo taky pres tu vpnku ? Pokud ano, je problem vyhradne v sambe.

Napada me nejspis nejaky problem na klientovi - M$ optimalizace ;).

Nie, to je priamo, ale asi testneme FTP cez VPN aby sme vedeli kde je problém, aj keď ja osobne si myslím že hlavnou brzdou bude OpenVPN. Ten TAP drier ktorý inštaluje do Windowsov sa chová ako 10Mbit sieťovka. Aktuálne som ju dokázal vyťažiť maximálne na 69% kopírovaním.

Pochybuju, ze by byl problem v tom, ze se tvari jako 10Mbps sitovka :) Prozen pres ten tunel nesifrovany FTPko a uvidite

Citace:

---

Původně odeslal e1

Nie, to je priamo, ale asi testneme FTP cez VPN aby sme vedeli kde je problém, aj keď ja osobne si myslím že hlavnou brzdou bude OpenVPN. Ten TAP drier ktorý inštaluje do Windowsov sa chová ako 10Mbit sieťovka. Aktuálne som ju dokázal vyťažiť maximálne na 69% kopírovaním.

---

V tom problem neni ... Protoze ve Windows je to VZDY TAP ....
Dulezita je directiva na serveru a tam pokud mas TUN (tedy routing) a jde to pres UDP, tak mas nejvyssi mozny vykon ...

Mam takto propojenou jednu firmu pres celou republiku + 35 prodejen a no problem (tiskarny, soubory, Citrix, RDP, samba, ftp)

Pobocky jedou proti sobe pres linux routery samozrejme a prodejny pres WinXP (bohuzel kepl Lupa IS nejede pres linux ) ..

No, tak dnes som sa dostal k otestovaniu FTP cez VPN tunel. Prenosová rýchlosť (download) dosahovala cca. 80-90% reálneho maxima môjho pripojenia, čo je fajn a toto potvrdilo že problém bude s nastavením Samby a nie OpenVPN. Teraz ostáva otázkou čo sa v tom pár riadkovom konfiguráku dá vlastne zmeniť, čo by aj zlepšilo prenosovú rýchlosť. Nejaký nápad?

Ahoj, ftp , samba ? nebo myslis ftp server + OpenVPN ?

Ako som už dávnejšie písal Samba cez OpenVPN ledva ide 6Mbps. Aby sme zistili či je problém so Sambou alebo s OpenVPN, tak som dnes otestoval FTP cez OpenVPN. Rýchlosť vola lepšia využívala vysoké percento kapacity môjho pripojenia z čoho dedukujem že je problém s nastavením Samby a nie OpenVPN.

o rychlost samby moc neovlivnis ...

Muzes zkusit toto:

socket options = TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192


Ja sambu pres OpenVPN nepouzivam (jen pro jednu firmu v nekolika prodejnach - ale tam jsem rychlost nikdy nemeril), takze nevim ... :-)

Jede ta OpenVPN pres UDP a ne TCP ?

google jeste rika:

http://projectdream.org/wordpress/20...pn-connection/

me jeste napada, nemas ve windows zapnuty QoS na te konekci, zene ?
ona se interne tvari jako 10mbit, coz by mohlo delat problem ...

QoS pozriem, keď budem doma. Čo sa týka tej virtuálnej sieťovky, tak pri FTP prenose cez OpenVPN už prenáša dáta rýchlejšie, reálne dosahuje rýchlosť cca. 14-15Mbps, takže nemyslím si že by to mal byť problém s tým že sa tvári ako 10Mbps ethernet.

Citace:

---

Původně odeslal e1

QoS pozriem, keď budem doma. Čo sa týka tej virtuálnej sieťovky, tak pri FTP prenose cez OpenVPN už prenáša dáta rýchlejšie, reálne dosahuje rýchlosť cca. 14-15Mbps, takže nemyslím si že by to mal byť problém s tým že sa tvári ako 10Mbps ethernet.

---

samo o sobe ne, ale v kombinaci se sambou a QoSem ... kdo vi ...