Bloqueando a gravação de arquivos no Samba por extensão

Saiba como bloquear a gravação de arquivos .exe, .pif, .mp3 ou qualquer outro em seu compartilhamento Samba. Resolvi escrever esse artigo depois de 4 meses buscando a solução e como vi que esse era um tipo de informação de difícil acesso, segue a contribuição.

[ Hits: 52.415 ]

Por: Apropos em 01/12/2004


Descrição



Olá colegas!!!

Há algum tempo eu estava atrás de uma solução para um problema "teoricamente" fácil, porém no decorrer deste artigo vocês irão descobrir o por que deste "teoricamente".

Tenho uma rede aqui com uns 300 usuários usando um (extinto) servidor Windows como PDC e servidor de arquivos.

Numa das minhas rotineiras inspeções pelos compartilhamentos, descobri uma pasta de um usuário com 3.000 arquivos .mp3. Aí veio a dúvida:

Como bloquear a gravação de arquivos .mp3 no meu server?
  • Usando Win? Impossível!!!
  • Talvez usando Linux, mais bloquear via "o quê?"
  • IPTables?, SAMBA?

O iptables até tem um módulo chamado "string" que bloqueia o acesso de determinados arquivos em seu servidor, mais detalhe: teria que recompilar o kernel (coisa chata!).

Vamos pelo SAMBA então, mas como? Sem brincadeira, acho que apanhei quase 4 meses por essa solução, não por ser ignorante, mas por 2 únicos motivos:
  • Ninguém sabia como fazer;
  • Essa opção está descrita somente no HOW-TO do SAMBA, porém super mal descrita!!!

Melhor deixar de conversa e ir direto a sintaxe da opção.

    Próxima página

Páginas do artigo
   1. Descrição
   2. Configurando o Samba
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Ubuntu 12.04 autenticando no Active Directory com Samba/Kerberos/Winbind

Samba 4 como controlador de domínio

Servidor Samba com autenticação no Windows XP e troca de senha automática

Samba - Configurado como PDC

Gerando arquivos PDF através do SAMBA

  
Comentários
[1] Comentário enviado por cvs em 01/12/2004 - 08:08h

Não sei muito de samba, como havia compilado um esses dias, vi o esquema de acl, viajei, quando li o titulo do artigo, logo pensei "ACL", mas aquelas acls estilo o squid saca... heheheheh Mas é teoricamente e praticamente facil, não? hehehehe só foi dificil vc encontrar o jeito de fazer... Mas parabens, muito boa essa solução, irei aplicar nos servidores... hehehehe :D nota 10.

[2] Comentário enviado por edilson em 01/12/2004 - 08:31h

Só um complemento pessoal, essa sintaxe impede que sejam gravados no Servidor os arquivos que vcs quiserem, PORÉM, ele oculta os que já foram gravados.
Eu tenho um File Server aqui e bloqueei a gravação de .exe's, no entanto quando fui buscar a instalação de um software que estava gravado lá, ele estava oculto. Isso pode ser facilmente resolvido se ao invés de inserir a sintaxe no [GLOBAL], colocarmos separadamente em cada compartilhamento que queiramos que obedeça a política.
Falow!

[3] Comentário enviado por wronieri em 02/12/2004 - 02:50h

cara muito bom este seu artigo eu estava fazendo um programa em shell onde ele lia todas as mp3, grava em um arquivo e depois as apagava mas ele soh estava apagando os arquivos sem espaços.... valeu mesmo vai ser de grande ajuda para mim.

[4] Comentário enviado por rafaelgc em 02/12/2004 - 10:13h

Ae,
Tirou onda, muito bom, nota 100!!!

[5] Comentário enviado por gelemeurer em 03/12/2004 - 13:48h

Valeu por compartilhar a dica!!!

[]s

[6] Comentário enviado por lrezende em 08/03/2005 - 18:00h

muito boa a dica! só não funciona se o usuário salvar o(s) arquivo(s) com uma extensão diferente...

[7] Comentário enviado por edilson em 09/03/2005 - 07:33h

Realmente...rs, rs.. Mais o usuário (em tese) não precisa saber que o Servidor está bloqueando pela extensão. Ele vai ver que não consegue e pronto. Desiste. Mais caso ele ficar tentando (você descobrirá pelos log's), descobrir que é por extensão e jogar mp3 com extensão trocada (.dav, por exemplo). Terão que ser tomadas medidas administrativas, mais isso não é questão para ser discutida aqui, pois varia de empresa para empresa. Valeu?!

[8] Comentário enviado por diego_maia em 29/11/2005 - 09:06h

Valeu pela dica edilson!
To usando aki e ta funcionando blz!!!
Nota 10 pra esse artigo....
Falow.. valeu cara!!!

[9] Comentário enviado por rnetmail em 17/05/2006 - 11:09h

Parabéns pela dica. Nota 10 mesmo. Mas lrezende tem razão. Se o usuário for avançado (tendo em vista que hoje a maioria faz ou fez um curso básico) ou mesmo tiver um conhecimento além do básico, ele facilmente quebra essa regra apenas renomeando a extensão. Digo isso pois existem usuários que se não detém o conhecimento, conhecem pessoas que possuem. Dou como exemplo domínios bloqueados em regras contidas em firewalls que são quebradas digitando o IP do site. Como explicar pra um diretor de T.I. que está bloqueando se conseguem acessar o site da mesma forma. Será que existe uma maneira de saber qual a extensão original do arquivo?
Desculpem por ser tão longo o texto.
Obrigado e um abração a todos.

[10] Comentário enviado por _m4n14c_ em 17/07/2006 - 22:56h

existe um programinha chamado file, que vem em muitas distros (pelo menos sei que vem no debian e no slackware), que te diz o formato do arquivo, independentemente da extensao, apenas analisando os cabecalhos dos arquivos.. Ele eh meio capenga (identifica o formato mp3 como uma abstrato "data"), mas eh software livre e qualquer um com um pouco de conhecimento em C pode melhora-lo.

[11] Comentário enviado por alexandrebchaves em 28/11/2006 - 13:06h

Cara ... parabéns por compartilhar isso!!!!

parece ser fácil mas todos sabemos o trabalho que é achar uma informação desse tipo

parabéns

[12] Comentário enviado por robingelomar em 03/12/2010 - 14:02h

Eae , muito boa dica, montei um Server pra um mercado mas a rede tava das piores virus pra tds os lados, ai li o artigo, apaguei os arquivos e vetei, restartei o samba e ja era, rede novinha..rsrsrs

Valew

[13] Comentário enviado por luisfpo em 06/04/2015 - 09:01h

Muito Bom, ajudou muito vlw !

[14] Comentário enviado por maoflaric em 03/11/2015 - 12:28h

Feito esse comando a regra vai valer para todas as pastas no servidor. Agora pergunto.. tem como esse comando ser aplicado somente para uma pasta específica?


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts