今日の日付が与えられたら、以下を実行してください。Windows 10以上そしてつながるRHEL 8.8以上現在のLinuxシステムとはsamba-4.17.5-3.el8_8
何ですか?ベストプラクティス/etc/samba/smb.conf
パラメーターの場合は、以下を保証する必要があります。最も安全で信頼性の高い接続契約に合格しますか?
以下は私が使用するものです。誰かを編集したり追加したりすることができますか?私は単純なローカルパスワードを使用しsecurity=user
て生成し、passdb backend = tdbsam
簡単なSamba設定をしていますsmbpasswd -a
。smb.conf
Windowsドメインの購読、Active Directory、およびその他のより複雑な事項に関連する共有したいテンプレートがある場合にも役立ちます。
私がほぼ常に行う2つの基本的な共有(ホームとデータ)を紹介します。セキュリティを向上させるためにいくつかのパラメータが必要ですか?
注:ロギングの部分についてはあまり心配しませんが、管理者がそれを読んで構成方法について合理的な決定を下すために改善または説明を提供していただきありがとうございます。
# /etc/samba/smb.conf template, RHEL 8.8
[global]
workgroup = SAMBA
security = user
passdb backend = tdbsam
printing = bsd
printcap name = /dev/null
load printers = no
disable spoolss = yes
log level = 0 vfs:10
log file = /var/log/samba/sambavfs.log
max log size = 0
smb encrypt = required
client min protocol = SMB3
client max protocol = SMB3
client signing = mandatory
server signing = mandatory
[homes]
comment = Home Directories
valid users = %S, %D%w%S
browseable = No
read only = No
inherit acls = Yes
vfs objects = extd_audit
[data]
comment = data
inherit acls = Yes
read only = No
path = /data
directory mask = 770
create mask = 660
vfs objects = extd_audit
メモ:見つけたばかりFIPS=1in(またはRHEL-8で利用可能なアクション)は、WindowsでSamba接続を終了しますGRUB_CMDLINE_LINUX
。バラより/etc/default/grub
fips-mode-setup --enable
https://access.redhat.com/discussions/7022626。 RHEL-7.9でFIPS = 1を実装すると、このような状況は発生しません。
答え1
興味のある方のために、Sambaの現在のマニュアルページを見て、関連性のある内容を抽出しました。以下に定義されているグローバルセクションを使用すると、Windows 10でRHEL-7.9システムでSamba接続を作成できます(rhel 8.8以降と仮定)。マニュアルページの説明によると、これらのほとんどがデフォルト設定であると仮定していますが、実際にどのように見えるかを知ることをお勧めします。
# /etc/samba/smb.conf
# https://www.samba.org/samba/docs/current/man-html/smb.conf.5.html
[global]
server role = standalone
security = user
passdb backend = tdbsam
map to guest = Bad User
# turn off print stuff
printing = bsd
printcap name = /dev/null
load printers = no
disable spoolss = yes
# default deadtime to disconnect after N minutes of inactivity is 10080
deadtime = 5
server min prototcol = SMB3_11
server smb encrypt = required
server signing = mandatory
# server smb3 encryption algorithms = AES-128-GCM, AES-128-CCM, AES-256-GCM, AES-256-CCM
# server smb3 signing algorithms = AES-128-GMAC, AES-128-CMAC, HMAC-SHA256
server smb3 encryption algorithms = AES-256-GCM
server smb3 signing algorithms = AES-128-GMAC
client min protocol = SMB3_11
client smb encrypt = required
client signing = required
client ipc signing = required
client protection = encrypt
# client smb3 encryption algorithms = AES-128-GCM, AES-128-CCM, AES-256-GCM, AES-256-CCM
# client smb3 signing algorithms = AES-128-GMAC, AES-128-CMAC, HMAC-SHA256
client smb3 encryption algorithms = AES-256-GCM
client smb3 signing algorithms = AES-128-GMAC
# client use kerberos = < off | desired | required >
# kerberos encryption types = < all | strong | legacy >
# hosts allow = 192.168.1.0/255.255.255.0
max log size = 0
log level = 0 vfs:10
log file = /var/log/samba/sambavfs.log