En el artículo anterior expliqué cómo crear y configurar jails en FreeBSD. Ahora, contando con nuestros primeros jails en funcionamiento, llega el momento de instalar y configurar un servicio para que corra dentro de un jail: en este caso, Samba.
Este artículo explica cómo instalar y configurar Samba dentro de un jail en un sistema FreeBSD 10.
Tal como se explica en el artículo Jails en FreeBSD, el comando jls permite listar jails en ejecución:
root@j05:~ # jls
JID IP Address Hostname Path
1 192.168.177.214 smb.linuxito.com /zjails/jail/compartido
2 192.168.177.215 datos.linuxito.com /zjails/jail/datos
root@j05:~ # jexec 1
root@smb:/ #
En este caso se desea instalar un servidor Samba en el jail "smb.linuxito.com", por ende se utiliza jexec para pasar abrir una sesión dentro de dicho jail.
Instalación de Samba dentro de un jail
La instalación se realiza desde paquete (si se desea compilar, utilizar portmaster, el port es "net/samba44" para la versión 4.4). La primera vez que se corre pkg, se instala automáticamente:
root@smb:/ # pkg search samba The package management tool is not yet installed on your system. Do you want to fetch and install it now? [y/N]:
Actualmente es posible escoger entre las versiones
root@smb:/ # pkg search samba | grep server samba36-3.6.25_3 Free SMB and CIFS client and server for Unix samba42-4.2.14 Free SMB/CIFS and AD/DC server and client for Unix samba43-4.3.13_1 Free SMB/CIFS and AD/DC server and client for Unix samba44-4.4.8_1 Free SMB/CIFS and AD/DC server and client for Unix
La última versión disponible es la 4.4. Para instalar dicha versión desde paquete, ejecutar:
# pkg install samba44
Creación de un usuario local para acceso mediante Samba
Luego de instalar Samba, es necesario agregar un usuario Unix con el cual conectarse a los shares. Recurrir a la herramienta adduser, la cual es muy amigable pues es interactiva y no requiere parámetros:
root@smb:/ # adduser Username: compartido Full name: Usuario para acceso SMB Uid (Leave empty for default): Login group [compartido]: Login group is compartido. Invite compartido into other groups? []: Login class [default]: Shell (sh csh tcsh nologin) [sh]: nologin Home directory [/home/compartido]: Home directory permissions (Leave empty for default): Use password-based authentication? [yes]: Use an empty password? (yes/no) [no]: Use a random password? (yes/no) [no]: yes Lock out the account after creation? [no]: Username : compartido Password : <random> Full Name : Usuario para acceso SMB Uid : 1001 Class : Groups : compartido Home : /home/compartido Home Mode : Shell : /usr/sbin/nologin Locked : no OK? (yes/no): yes adduser: INFO: Successfully added (compartido) to the user database. adduser: INFO: Password for (compartido) is: **** Add another user? (yes/no): no Goodbye!
Las opciones dependen para cada caso particular. En este ejemplo se deshabilita el acceso a una consola/terminal ("nologin") pues será utilizado sólo para autenticación. Además se genera una contraseña aleatoria para dicho usuario.
El siguiente paso consiste en crear una contraseña de Samba para este usuario:
root@smb:/ # pdbedit -a -u compartido
Luego, se crea un directorio en el $HOME del nuevo usuario, donde alojar un directorio que será compartido poor la red a través del protocolo Samba:
root@smb:/ # mkdir /home/compartido/samba root@smb:/ # chown compartido /home/compartido/samba root@smb:/ # ls -ld /home/compartido/samba/ drwxr-xr-x 2 compartido compartido 2 Feb 13 14:33 /home/compartido/samba/ root@smb:/ # echo "Hola mundo!" > /home/compartido/samba/prueba
Además se crea un archivo de prueba.
Configuración de Samba
Ahora sólo resta configurar el servicio Samba. Editar el archivo smb4.conf:
root@smb:/ # nano /usr/local/etc/smb4.conf
Las opciones globales dependen de cada servidor y red. Lo más importante es que el grupo de trabajo es "Linuxito", se utiliza el nivel de seguridad user, no se comparten impresoras, y sólo se permite el acceso a hosts en la misma subred:
[global] workgroup = Linuxito server string = %h server wins support = no dns proxy = no interfaces = 127.0.0.0/8 192.168.177.214/32 em0 bind interfaces only = yes log file = /var/log/samba/log.%m max log size = 1000 syslog = 0 security = user encrypt passwords = true passdb backend = tdbsam obey pam restrictions = yes map to guest = bad user load printers = no socket options = TCP_NODELAY hosts deny = ALL hosts allow = 192.168.177.0/24 [compartido] comment = Directorio compartido path = /home/compartido/samba read only = no browseable = no guest ok = no nt acl support = yes
Luego de la sección global se define el share "compartido", el cual apunta al directorio creado anteriormente (/home/compartido/samba). Para el mismo, se habilita el acceso de escritura (siempre que el sistema de archivos subyacente lo permita) y se impide el acceso para el usuario "invitado".
Guardar los cambios en la configuración del servidor Samba y reinicar el servicio:
root@smb:/ # service samba_server start Performing sanity check on Samba configuration: OK Starting nmbd. Starting smbd.
Al ejecutar ps, se observan los procesos de Samba corriendo en el jail:
root@smb:/ # ps aux USER PID %CPU %MEM VSZ RSS TT STAT STARTED TIME COMMAND root 775 0.0 0.0 14520 584 - SsJ Fri01PM 0:00.83 /usr/sbin/syslogd -s root 846 0.0 0.0 61312 476 - IsJ Fri01PM 0:00.00 /usr/sbin/sshd root 850 0.0 0.0 16624 532 - SsJ Fri01PM 0:02.91 /usr/sbin/cron -s root 39910 0.0 0.7 237844 13760 - SsJ 2:38PM 0:00.01 /usr/local/sbin/nmbd --daemon --configfile=/usr/local/etc/ root 39914 0.0 1.0 306896 20872 - SsJ 2:38PM 0:00.04 /usr/local/sbin/smbd --daemon --configfile=/usr/local/etc/ root 39916 0.0 0.9 305012 18236 - IJ 2:38PM 0:00.00 /usr/local/sbin/smbd --daemon --configfile=/usr/local/etc/ root 39917 0.0 0.9 305004 18096 - IJ 2:38PM 0:00.00 /usr/local/sbin/smbd --daemon --configfile=/usr/local/etc/ root 39918 0.0 1.0 307420 20920 - IJ 2:38PM 0:00.00 /usr/local/sbin/smbd --daemon --configfile=/usr/local/etc/ nobody 39919 0.0 1.1 315748 22220 - SJ 2:38PM 0:00.02 /usr/local/sbin/smbd --daemon --configfile=/usr/local/etc/ root 39921 0.0 0.2 23600 3224 0 SJ 2:39PM 0:00.02 /bin/csh -i root 39924 0.0 0.1 18768 2076 0 R+J 2:39PM 0:00.00 ps aux
Además, con la herramienta netstat es posible verificar qué puertos TCP y UDP han sido abiertos:
root@smb:/ # netstat -anp tcp netstat: kvm not available: /dev/mem: No such file or directory Active Internet connections (including servers) Proto Recv-Q Send-Q Local Address Foreign Address (state) tcp4 0 0 192.168.177.214.139 *.* LISTEN tcp4 0 0 192.168.177.214.445 *.* LISTEN tcp4 0 0 192.168.177.214.22 *.* LISTEN root@smb:/ # netstat -anp udp netstat: kvm not available: /dev/mem: No such file or directory Active Internet connections (including servers) Proto Recv-Q Send-Q Local Address Foreign Address (state) udp4 0 0 192.168.177.214.138 *.* udp4 0 0 192.168.177.214.138 *.* udp4 0 0 192.168.177.214.137 *.* udp4 0 0 192.168.177.214.137 *.* udp4 0 0 192.168.177.214.138 *.* udp4 0 0 192.168.177.214.137 *.* udp4 0 0 192.168.177.214.514 *.*
Tal como se observa en las salidas de netstat, es necesario abrir los puertos TCP 139 (NETBIOS Session Service) y 445 (Microsoft Directory Services), y los puertos UDP 137 (NETBIOS Name Service) y 138 (NETBIOS Datagram Service) en el firewall del host (para la dirección IP correspondiente al jail). Cabe recordar que no se puede configurar un firewall dentro de un jail, pues no se tiene acceso al kernel. Por ello, se utiliza el mismo firewall del host. La configuración depende del firewall utilizado (pf, ipfw, ipf).
(El puerto UDP 514 corresponde al servicio syslogd.)
Verificación
Finalmente, es posible comprobar el correcto funcionamiento del servidor de archivos desde cualquier cliente Windows/Linux/Unix. En este ejemplo, se accede al recurso compartido mediante el protocolo Samba desde un cliente FreeBSD.
Crear un punto de montaje:
root@hal9000:/usr/home/emi # mkdir /mnt/test
Montar el directorio compartido utilizando el comando mount_smbfs:
root@hal9000:/usr/home/emi # mount_smbfs -I smb.linuxito.com //compartido@smb/compartido /mnt/test/ Password:
Al momento de montar, solicita la contraseña para el usuario "compartido".
Verificar el acceso:
root@hal9000:/usr/home/emi # mount | grep smb //COMPARTIDO@SMB/COMPARTIDO on /mnt/test (smbfs) root@hal9000:/usr/home/emi # cat /mnt/test/prueba Hola mundo!
No olvidar verificar el acceso de escritura.
Referencias
man jls man jexec man pkg man adduser man pdbedit man samba man smb.conf man mount_smbfs
Tal vez pueda interesarte
