• 关于

    samba相关文件

    的搜索结果

问题

[CVE-2015-0240] Samba全版本远程命令执行漏洞

    Samba是利用SMB协议实现文件共享的一款著名开源工具套件。近日Samba曝出一个严重安全漏洞,该漏洞允许攻击者远程执行任意代码。     漏洞细节可参考:     https://www....
少丰 2019-12-01 21:37:43 9379 浏览量 回答数 0

问题

在阿里云部署samba,为何windows 连接不了,配置没问题

本人想在阿里云 部署samba来存放文件什么的方便使用,但在linux里 部署 完成时  ,在window 测试时却发现连接不上  研究了一上午也没有解决  故发帖求助。 下面我我会发些相关截图...
opman 2019-12-01 22:01:44 2575 浏览量 回答数 6

问题

#技塑人生# 专题:软件分享 - Linux主机简单文件夹共享

专题:软件分享 - Linux主机简单文件夹共享(SSHFS 远程挂载系统文件软件) 阿里云技术服务团队:蒋金城 还在为文件夹共享烦恼,担心网络上有限制&#...
qiujin2012 2019-12-01 22:02:56 9313 浏览量 回答数 3

阿里云爆款特惠专场,精选爆款产品低至0.95折!

爆款ECS云服务器8.1元/月起,云数据库低至1.5折,限时抢购!

回答

本文介绍如何在本地文件网关控制台上管理SMB共享,包括创建/删除/关闭/修改SMB共享、设置AD/LDAP、添加SMB用户等操作。 前提条件 已添加缓存,详情请参见添加缓存。 已绑定云资源,详情请参见绑定云资源。 背景信息 SMB(Server Message Block,用于Web连接和客户端与服务器之间的信息沟通的协议)是面向网络连接的共享协议,用于实现文件共享功能。它使用客户端/服务器模式。 云存储网关作为SMB的服务器端提供文件共享服务。您在Windows操作系统的客户端上进行访问,云存储网关将获得客户端请求并返回响应。 使用云存储网关SMB服务,您需要先在云存储网关上配置共享目录以及能访问这个目录的用户和访问权限。 创建SMB共享 在浏览器中,输入https://<文件网关IP地址>访问本地文件网关控制台。 输入用户名和密码,单击确认。 选择SMB,单击创建。 在创建SMB对话框中,完成如下配置。 参数 说明 共享名称 SMB共享名称。 只读权限用户 允许只读访问SMB网关的用户列表。 读写权限用户 允许读写访问SMB网关的用户列表。 启用 启用SMB共享。 如果您暂时不想使用该SMB共享,您可以选择否,关闭该SMB共享。 可浏览 可在网络邻居被发现。 模式 包括缓存模式和复制模式。 复制模式:所有数据都会保存两份拷贝,一份保存在本地缓存,另一份保存在OSS。 缓存模式:本地缓存全量元数据和经常访问的用户数据。OSS侧保持全量数据。 反向同步 将OSS上的元数据同步回本地。适用于网关容灾和数据恢复/共享场景。 说明 反向同步会扫描Bucket下的所有对象,如果对象数量较多,会产生OSS API请求费用。具体费用,请参见对象存储 OSS 详细价格信息中的请求费用。 加密类型 包括不加密和服务端加密。 如果选择服务端加密,还需设置密钥ID。您可以在密钥管理服务控制台中创建密钥,详情请参见创建密钥。 开启OSS服务端加密后,允许用户自带密钥,目前支持从密钥管理服务中导入KMS密钥。 开启服务端加密后,通过共享目录上云的文件会在OSS端自动利用KMS密钥进行加密。您可以通过Get Object API验证当前文件是否已经加密,如果返回的Header中x-oss-server-side-encryption字段值为KMS,x-oss-server-side-encryption-key-id字段值为密钥ID,则表示已加密。 说明 白名单用户才能使用此功能。 在密钥管理服务控制台创建密钥时,需选择与OSS Bucket一样的区域。 Bucket名称 选择已创建的Bucket。 子目录 输入Bucket下的子目录。 子目录只支持英文和数字。 说明 从1.0.38版本开始支持将文件系统的根目录对接到OSS Bucket的某个子目录,便于用户做访问隔离。 子目录可以为OSS Bucket中已存在的目录也可以为OSS Bucket中还未创建的目录,创建共享完成后,将以该子目录为根目录,后续的文件和目录都会创建该目录下。 使用元数据盘 使用元数据盘后,将数据盘与元数据盘分离,元数据盘用于存放共享文件夹元数据信息。 选择是,需选择对应的元数据盘和数据盘。 选择否,需选择对应的缓存路径。 说明 白名单用户才能使用此功能。 忽略删除 文件删除操作不同步至OSS防止误操作。OSS侧保持全量数据。 同步延迟 设置同步延迟,在关闭文件会延迟一段时间再上传,防止频繁的本地修改操作造成OSS碎片。缺省值为5s,最大值120s。 最大写入速度 允许的最大写入速度为1280MB/s。默认为0,表示不限制速度。 最大上传速度 允许的最大上传速度为1280MB/s。默认为0,表示不限制速度。 说明 在限制速度的情况下,最大上传速度不能小于最大写入速度。 碎片优化 针对某些反复随机小IO读写的应用,启用此配置可提升性能,请根据场景谨慎选择。 上传优化 实时缓存回收,适用于数据纯备份上云场景。 AD/LADP介绍 活动目录(AD)与轻量级目录访问协议(LDAP)是标准的应用协议,用于在互联网协议(IP)网络中,访问与更改目录服务的数据。选择您想要加入的AD服务或LDAP服务进行配置。 完成DNS服务器配置后,才能加入AD。 AD和LDAP不能同时加入。 当前AD域用户/LDAP用户/本地用户同时只能生效一种。在加入/离开AD域或者连接/断开LDAP服务器时,会自动删除CIFS共享中已配置的用户权限。 AD功能支持的服务器版本:64位Windows Server 2016数据中心版、Windows Server 2012 R2数据中心版。 LDAP功能支持的服务器版本:基于64位CentOS 7.4的openldap server 2.4.44。 配置AD 设置DNS服务器。 在本地网关控制台中,单击关于。 找到网络配置区域,单击切换DNS服务器。 在切换DNS服务器对话框中,添加DNS服务器,单击确认。 在DNS服务器框中,添加AD Server的IP地址,用来解析AD域名。 加入AD。 选择SMB > AD/LDAP。 在Windows活动目录(AD)区域,单击加入AD。 在加入Windows活动目录(AD)对话框中,完成如下配置并单击确认。 服务器IP:输入AD服务器的IP地址。 用户名:输入管理员用户名。 密码:输入管理员密码。 连接成功后,Windows活动目录(AD)区域中的已连接显示为是。 说明 加入Windows活动目录(AD)后,当前SMB共享里配置的本地用户权限将被移除。 配置LDAP 在本地网关控制台中,选择SMB > AD/LDAP。 在轻量目录访问协议(LDAP)区域,单击加入LDAP。 在连接LDAP服务器对话框中,完成如下配置并单击确认。 服务器IP:输入LDAP服务器的IP地址(目录系统代理)。 TLS支持:指定系统与LDAP服务器通信的方式。 Base DN:指定LDAP域,例如:dc=iftdomain,dc=ift.local。 Root DN:指定LDAP根,例如:cn=admin, dc=iftdomain,dc=ift.local。 密码:输入根目录密码。 连接成功后,轻量目录访问协议(LDAP)区域中的已连接显示为是。 说明 加入轻量目录访问协议后,当前SMB共享里配置的本地用户权限将被移除。 添加SMB用户 在未加入任何域的情况下,您可创建SMB用户用于访问云存储网关。 如果已加入AD域,在SMB用户页面,会显示所有的AD用户。 如果已加入LDAP域,在SMB用户页面,会显示所有配置了Samba密码的LDAP用户。 如果已加入LDAP域但未配置Samba密码,您可在SMB用户页面,单击创建,为LDAP用户添加Samba密码。 建议Samba密码与LDAP密码设置一致。 在本地网关控制台中,选择SMB > SMB用户。 单击创建。 在添加SMB用户对话框中,配置名称和密码。 单击确认,完成创建。 相关操作 在SMB页面,您还可以进行如下配置。 操作 说明 关闭SMB共享 在SMB页面中,单击页面左上角的关闭按钮,关闭SMB共享。 如果您想关闭单个SMB共享,可通过以下方式。 在SMB列表页签中,找到目标SMB共享,单击设置,将启动选项设置为否。 删除SMB共享 在SMB列表页签中,找到目标SMB共享,单击删除,删除该SMB共享。 说明 删除SMB共享后,windows挂载点或者映射的网络驱动器会立即失效。 修改SMB共享 在SMB列表页签中,找到目标SMB共享,单击设置或高级设置,修改SMB共享。 缓存刷新 在SMB列表页签中,找到目标SMB共享,单击缓存刷新,刷新缓存。 删除SMB用户 在SMB用户页签中,找到目标用户,单击删除,删除SMB用户。 关闭连接 在AD/LDAP页签中,单击关闭连接,可关闭AD或LDAP连接。
1934890530796658 2020-03-31 11:41:44 0 浏览量 回答数 0

问题

#技塑料人生#&nbsp;&nbsp;Linux下触发式文件同步的实现

Linux下触发式文件同步的实现 阿里云技术支持中心:章阿贵 当大家使用阿里云的SLB的时候就会遇到文件同步的问题,一般我们会选择Rsync进行定期同步,单这样的同步频率和效率对...
qiujin2012 2019-12-01 20:56:46 13123 浏览量 回答数 5

回答

1、端口扫描 第一步就是尽可能多地了解你的“敌人”,并且尽量不要惊动它们。 这时候,我开始启动计时器计时。 这次扫描花了大概两分钟。 扫描发现了很多开放的端口!通过 FTP(port 21) 和 SMB(ports 139/445),我们可以猜出这个服务器是用于保存文件和共享文件的。 与此同时,它还是一个 Web 服务器 (port 80/443 和相应的代理 8080/8081) 。 如果上面的信息不够,我可能还会做一个 UDP 端口的扫描。现在唯一允许我们与之交互的端口 (不需要登录服务器) 是 80/443。 没有浪费一点儿时间,我启动了 gobuster 来探索这个 Web 服务器上让我“感兴趣”的文件。与此同时,我也通过手工的方式开始挖掘。 $gobuster -u http://example.com -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 100 /admin /login 我发现/admin这个路径对应这“管理工具”,通过认证的用户可以修改这个 web 服务器上的东西,由于我没有用户名和密码,在这里走不下去了。(剧透:gobuster 也没有发现什么有价值的东西) 已经过去三分钟了,还没有发现有用的东西。 2、获取 Webshell 浏览这个网站的时候,它需要我登录,没问题,用一个假的 e-mail 创建一个账户,点击确认邮件,几秒钟后就登录了。 这个网站对我的登录表示欢迎,提示我到个人主页去修改头像,很贴心嘛! 网站看起来像是自己开发的,要不要“试试不受限的文件上传”漏洞? 我迅速在本机生成了一个文件: 然后试着把它当作图像文件上传, 成功了! 为了避免这个漏洞,上传者一定要对上传的文件做处理,检查文件扩展名,把它替换成.jpeg、.jpg,这样可以避免远程代码执行。 当然,我上传的文件没有缩略图: 通过“复制图片地址”的功能,我得到了这个 URL ,在浏览器中运行一下: 看起来我们已经有一个可以工作的 webshell 了。 这个 web 服务器居然运行着 Perl 脚本,我从我最喜欢的备忘录中找了一个 reverse shell 脚本,设置好了 IP 和端口,这样我就获得了一个低权限的 shell ——抱歉,没有屏幕截图。 大约 5 分钟以后,我获得了一个低权限的 shell。 3、拿下数据库 让我十分惊奇的是,这个服务器不仅 host 一个 web 站点,而是 40 个! $ ls /var/www access.log site1/ site2/ site3/ {… 更多的 sites} 你也许猜到了,我具备这些 web 站点目录读的权限,可以读任意的后端代码。 我把注意力集中到example.com的代码中,很明显,在cgi-admin/pages目录中,所有的 perl 脚本都是用 root 来连接 MySQL 数据库的,密码也是明文存放的, 我们假设它们是 root:pwned42 执行这条命令: mysql -u root -p -h localhost victimdbname Password: pwned42 我就以 root 权限登录了数据库。 仅仅 7 分钟, 我具备了对 35 个数据库完全的读写权限! 在这里,我有道德义务停下来,潜在的损害非常巨大。一个攻击者可以做这些事情: dump 这些数据库,这将导致 35 家公司的数据泄露。 删除所有数据库。 使用 cronjob 在 apache 里留个后门 该休息一下了,停止计时器。 4、还会有什么问题呢? 我告诉朋友这些发现,获得进一步挖掘的许可。 在将权限升级到威力巨大的 root 之前,我先看看我这个有限权力的用户能访问哪些有趣的文件。 此时我想起来那个开放的 SMB 端口,这意味着系统中应该有个文件夹在用户之间共享,经过一番探索,我找到了这个目录/home/samba/secured,里边的内容如下(请原谅为了隐私,我隐去了大量信息) 在这些目录中发现了大量的属于公司用户的敏感数据,包括: .psd/.ai files (设计师应该知道这些文件多重要,这是它们的工作成果) Cookie sqlite files 发票 盗版的电子书 (我看到这些的时候不由得笑了,谁说老外不看盗版?) Wifi 密码 攻击者就可以做这些事情: 到这些公司办公室的外边“露营”, 登录公司的内网,然后做各种各样有趣的、能在内网实施的攻击。 把这些敏感数据泄露出去。 这些目录花费了我不少时间,这个漏洞后果非常严重。 最后一击 用 apache 这个账户在四周看了很久以后,我决定是时候去钓个大鱼了:获取 root 权限。 通常,操作系统是打过补丁的,只有那些配置错误的服务才有可能给你想要的 root 权限, 但是在现实的世界中,人们很少给操作系统打补丁! 这个服务器运行的是什么操作系统呢? 内核是什么版本? 看起来这是一个老版本!这个版本有个漏洞,叫 Dirty Cow,可以提升用户的访问权限。 网上有篇博客讲述了如何测试内核是否有这个漏洞,并且提供了一个脚本。 执行这个脚本,root 最终到手! 游戏结束了 我立刻给朋友写了一封邮件,全面地告诉他这些渗透测试的细节和每一步的可能影响,然后结束了当晚的活动。 一个攻击者可以做的事情: 读 / 写服务器上所有的文件 植入一个持久的后门 安装恶意软件,并且传播到内网 安装勒索软件(劫持 35 家公司的数据库和相关数据可不是一件小事) 把这个服务器当作矿机 把服务器当作僵尸网络的一部分 把服务器当作 C2C 服务器 … (发挥你的想象力) 第二天,朋友联系了我,说他联系了负责那个服务器的公司,那个文件上传的漏洞已经 fix 了。 总结 有文件上传漏洞的 Web 应用可能导致黑客获得一个低权限的 shell 要仔细设计文件上传组件 明文的密码,让我们可以读写 35 个 Mysql 数据库 所有的数据库都用同一种密码可不是什么好事情 有很多的敏感数据可以阅读 要小心地给用户分配文件访问权限,遵循最小权限原则 内核的漏洞让我们获得了 root 权限, 记住给操作系统打补丁
游客pklijor6gytpx 2019-12-27 10:06:49 0 浏览量 回答数 0

云产品推荐

上海奇点人才服务相关的云产品 小程序定制 上海微企信息技术相关的云产品 国内短信套餐包 ECS云服务器安全配置相关的云产品 开发者问答 阿里云建站 自然场景识别相关的云产品 万网 小程序开发制作 视频内容分析 视频集锦 代理记账服务 阿里云AIoT