Необходимо создать пользователя Samba, соответствующего пользователю Linux, долю которого Вы пытаетесь смонтировать. Попытайтесь работать smbpasswd -a user
создать ввод пароля Samba для пользователя user
.
hosts.*
файлы не требуются при использовании iptables. У обоих есть способность отклонить/позволить доступ, но работу совсем другими способами.
Network
|
IPTables
/ \
TCPWrapper Squid/Daemon
Daemon
Iptables является пакетом основы ядра, фильтрующим платформу, работающую на слое ниже tcpwrappers. Если Вы ОТБРАСЫВАЕТЕ или ОТКЛОНЯЕТЕ что-то с iptables
пакет никогда не будет достигать пространства пользователя. Не имеет значения, что программа или как это записано, пакет никогда не будет существовать от, он - точка зрения.
Программы, которые используют TCPwrappers и это hosts.*
функциональность, выполненная в пространстве пользователя и, должна быть создана с libwrap, чтобы использовать файлы или эмулировать его путем чтения файлов hosts и заключительных соединений, которые они получают от отклоненных клиентов.
Сквид не читает hosts.deny|allow
файлы. Это имеет свою собственную реализацию для управления доступом, указанного с acl's в squid.conf
. Таким же образом можно настроить управление доступом сквидов сверху iptables, можно использовать hosts.deny/allow сверху iptables. Те правила только начинают действовать, если iptables имеет, позвольте нам трафик через. Не то, чтобы много программ поддерживают tcp_wrappers в эти дни также, inetd
, супер сервер, был основной один бит, медленно исчезает.
Короткий ответ: да. TCPwrappers (который является тем, что консультируется с hosts.allow и hosts.deny) является отдельным методом управления доступом от iptables, с помощью каждого не требует или препятствует использованию другого. Единственное беспокойство будет состоять в том, чтобы гарантировать, что требуемый доступ предоставляется через обоих, если они оба активны в системе.
Причина, которую Вы все еще можете подключить к SSH с пустым hosts.allow, состоит, вероятно в том, потому что по умолчанию tcpwrappers позволяет все соединения, если Вы явно не отклоняете их.
Один способ получить противоположное (значение по умолчанию отклоняют) поведение состоит в том, чтобы добавить следующую строку к/etc/hosts.deny (осторожный, чтобы не не допустить себя!)
ALL: ALL
Tcpwrappers (hosts.allow и hosts.deny) не работает на каждую сетевую службу, как iptables делает.
Можно часто видеть, поддерживает ли демон tcpwrappers путем проверки, связан ли он против libwrap, как это:
$ ldd /usr/sbin/sshd | grep libwrap
libwrap.so.0 => /lib64/libwrap.so.0 (0x00007f389b5a2000)
Если нет никакого вывода, tcpwrappers, вероятно, не поддерживается тем демоном.
На заключительной ноте я думаю, что очень общая установка должна только использовать iptables и оставить tcpwrappers ненастроенным.
hosts.deny
высказывание остроты ALL: PARANOID
. Я полагаю, что ssh является еще одним сервисом, который не смотрит на hosts.allow|deny
.
– zebonaut
23.02.2013, 17:57
man hosts_access
, Соответствуют любой хост, имя которого не соответствует своему адресу.
– 0xC0000022L
23.02.2013, 19:00
ldd
пример, sshd может на самом деле поддерживать tcpwrappers.
– foo
24.02.2013, 12:45
iptables
работает на хосте, поэтому даже если Вы ОТБРАСЫВАЕТЕ или ОТКЛОНЯЕТЕ пакет, он достиг системы. Это - несколько незначительная деталь, но это иногда важно. исправленный – a CVn 23.02.2013, 15:48