Защита Samba в Debian 10
Один из способов: используйте crontabдля установки нового файла, см. вариант crontab -.
Очевидно, что вы столкнетесь с проблемами при обновлении crontabs root, но sudoможет позволить вам это сделать.
/var/spool/cron/crontabsбудет использоваться для конечного местоположения вместо /etc/cron.d.
В целях безопасности (не уверен, что это важно в вашей ситуации ), постарайтесь сделать как можно больше с минимальными разрешениями, а затем войдите в систему как пользователь root для окончательного запуска вашего скрипта.
Можно настроить sudo, чтобы позволить www -данным запускать только один конкретный сценарий оболочки от имени пользователя root, который выполняет фактическое обновление. Затем разрешается минимальный минимум. т.е. создать свой файл можно как www -data .
Открытие портов Samba/CIFS для Интернета — очень плохая практика, независимо от настроек Samba. Samba работает под пользователем root (необходимо ), и если есть уязвимости, которые можно использовать удаленно, возрастает вероятность того, что вся ваша система будет скомпрометирована.
Если вам абсолютно необходим удаленный доступ к общим ресурсам Samba, вы можете
- Настройте VPN-сервер и разрешите Samba прослушивать только внутренние/VPN-сети
- Используйте переадресацию портов SSH, но опять же либо защитите Samba от брандмауэра, либо заставьте ее прослушивать только определенные интерфейсы
- Используйте брандмауэр +
knock, чтобы открывать свои порты только доверенным пользователям
knockявляется самым простым в реализации и позволяет получить доступ к вашему устройству практически с любой ОС.