Malý levný domácí server: zálohování, aktualizace a souborové služby

Seznam kapitol

1. Aktualizace, záloha 2. SSH – vzdálené ovládání, správa souborů 3. Samba – sdílení pomocí protokolu Windows 4. NFS: network file system – sdílení

5. DLNA – multimediální server 6. CUPS – tiskový server 7. Závěr

Dnes se podíváme, co se nám v našem domácím serveru nabízí za výběr zajímavých souborových služeb.

Reklama

Základní standart pro dálkové ovládání systému přes terminál. Též obsahuje možnosti pro přístup k souborovému systému. Jedná se o univerzální a potřebnou službu. Protokol doporučuji instalovat již během instalace serveru. Pokud ještě není nainstalováno zajistí to příkaz pod uživatelem root. V Ubuntu povýšíme uživatele pomocí příkazu sudo su. V Debianu slouží pro přepnutí do uživatele root příkaz su.

apt install ssh

Máme nainstalováno a můžeme se připojit. V linuxu můžeme v terminálu ihned použít příkaz

ssh <uzivatel>@<adresa serveru>

Ve Windows můžeme použít podporu SSH v PowerShellu. V novějších sestaveních Windows 10 a všech 11 je již aktivována. Podrobnější popis jak se propojit najdete v předcházejícím článku.

Jak na malý a levný domácí server: instalace, ovládání a připojení

Připojit se můžeme , ale co zabezpečení? Základní zabezpečení pouze heslem uživatele je vhodné maximálně pro použití ve vnitřní síti. Pokud pomocí firewallu ve vašem routeru otevřete port SSH do internetu je toto zabezpečení nedostatečné. Přístup se sice zabezpečit pomocí složitého hesla. Ovšem toto řešení není pohodlné. Naštěstí protokol SSH umožňuje na straně klienta vytvořit klíče a veřejný klíč předat serveru. Server tímto dostane na srozuměnou, že má tomuto počítači důvěřovat a může z něho právoplatného uživatele přihlásit i bez hesla. Ovšem co když je na počítači více uživatelů? Potom můžeme kombinovat klíč a heslo pomocí SSH passphrases. Více o tomto zabezpečení opět ve výše odkazovaném článku.

Nyní se podíváme na hlavní konfigurační soubor /etc/ssh/sshd-config

# This is the sshd server system-wide configuration file.  See
# sshd_config(5) for more information.

# This sshd was compiled with PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games

# The strategy used for options in the default sshd_config shipped with
# OpenSSH is to specify options with their default value where
# possible, but leave them commented.  Uncommented options override the
# default value.

Include /etc/ssh/sshd_config.d/*.conf

#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key
#HostKey /etc/ssh/ssh_host_ed25519_key

# Ciphers and keying
#RekeyLimit default none

# Logging
#SyslogFacility AUTH
#LogLevel INFO

# Authentication:

#LoginGraceTime 2m
#PermitRootLogin prohibit-password
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10

#PubkeyAuthentication yes

# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile     .ssh/authorized_keys .ssh/authorized_keys2

#AuthorizedPrincipalsFile none

#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
KbdInteractiveAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the KbdInteractiveAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via KbdInteractiveAuthentication may bypass
# the setting of "PermitRootLogin without-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and KbdInteractiveAuthentication to 'no'.
UsePAM yes

#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PermitTTY yes
PrintMotd no
#PrintLastLog yes
#TCPKeepAlive yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS no
#PidFile /run/sshd.pid
#MaxStartups 10:30:100
#PermitTunnel no
#ChrootDirectory none
#VersionAddendum none

# no default banner path
#Banner none

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

# override default of no subsystems
Subsystem       sftp    /usr/lib/openssh/sftp-server

# Example of overriding settings on a per-user basis
#Match User anoncvs
#       X11Forwarding no
#       AllowTcpForwarding no
#       PermitTTY no
#       ForceCommand cvs server

Projdeme si položky, kterým se vyplatí věnovat největší pozornost. Některé defaultní hodnoty jsou zde zakomentované. Prvním krokem při změně je tedy odmazáním znaku # položku odkomentovat. První se podíváme na určení portu na kterém SSH naslouchá. Standardně na portu 22.

#Port 22

Toto nastavení je důležité pro toho, kdo má SSH vyvedeno do vnější sítě. Pokud budeme chtít posílit zabezpečení, můžeme změnit defaultní port na kterém SSH běží. Lze zvolit jakýkoliv aktuálně nevyužívaný port nad 1023 do 65535. Nižší čísla jsou vyhrazeny pro systémové služby. I tak si ověřte, zda zvolený port není již používán. Ověření zda port není používán je možné pomocí příkazu netstat -ltnup | grep "<čislo-portu>". Příkaz pro spojení pod jiným portem vypadá.

ssh -p <číslo portu> <uzivatel>@<adresa serveru>

Proč tohle řešit? Automatické útočné systémy hledají na serverech v internetu otevřený port 22. Potom se zkouší přihlásit a střídají hesla. I v případě použití klíče zbytečně zatěžují server.

#PermitRootLogin prohibit-password

Toto nastavení zajišťuje, že se uživatel root přihlásí akorát pomocí klíče. Přihlášení heslem nefunguje. Povolení přihlašování heslem pro tohoto uživatele doporučuji měnit pouze dočasně v případě potřeby konfigurací. Po skončení nastavování ihned vrátit do zabezpečeného stavu.

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no

Zde nastavíme, zda se mohou uživatelé přihlašovat hesly. Při možnosti přihlášení z vnější sítě doporučuji zakázat a používat klíče. Na závěr nastavení ještě restartujeme službu. Provedeme pod uživatelem root.

service sshd restart

Operace se soubory přes SSH

SSH na sebe navazuje protokoly, které je možno použít pro operací se soubory. Tyto operace se dají dělat v grafickém rozhraní na vašem klientském počítači. Podrobný popis opět v tomto článku.