Làm cho một ổ đĩa mạng có sẵn qua internet?


19

Gần đây tôi đã xây dựng một máy chủ nhỏ, sử dụng Ubuntu Server và Samba, để hoạt động như một máy chủ tệp (trong số những thứ khác) để cả gia đình tôi có thể truy cập một số tệp qua mạng từ máy Windows. Tuy nhiên, tôi rất muốn tiến thêm một bước này và có thể truy cập cổ phiếu qua internet, xa nhà. Làm thế nào tôi có thể làm điều này? Tôi biết rất ít về cách hệ thống chia sẻ mạng Windows hoạt động, vì vậy tôi không biết bắt đầu từ đâu.


Bạn thực sự nên sử dụng SCP.
kzh

@kzh: Điều đó hơi phức tạp đối với một số thành viên trong gia đình tôi.
Sasha Chedygov

1
Không có gì cá nhân liên quan đến câu trả lời được chấp nhận, nhưng trong khi điều đó có thể đã trả lời về mặt kỹ thuật câu hỏi của bạn, tôi KHÔNG BAO GIỜ làm điều này. Bạn đang thực sự phơi bày bản thân, đặc biệt nếu bạn có bất cứ điều gì nhạy cảm trên mạng của bạn. Tôi muốn nói đúng cách là thiết lập VPN PPTP đơn giản để gia đình bạn kết nối và sau đó cho phép họ có quyền truy cập.
KCotreau

1
@KCotreau: Có rất nhiều điều cho câu hỏi này mà tôi đã bỏ qua vì đơn giản. Chúng ta hãy nói rằng dữ liệu mà chúng ta sẽ tiết lộ không theo bất kỳ cách nào nhạy cảm. Tôi hiểu và chấp nhận các rủi ro bảo mật - tôi chỉ muốn một câu trả lời đơn giản cho câu hỏi cụ thể của mình.
Sasha Chedygov

1
@musicfreak Mối quan tâm của tôi là nó là một điểm tấn công vào các khu vực khác của máy tính, hoặc thậm chí là toàn bộ mạng. Rõ ràng, bạn có thể tự do làm điều đó theo cách bạn muốn, nhưng tôi vẫn không khuyến khích điều đó trừ khi không có gì trên máy tính, ít nhất, không chỉ là chia sẻ. Một cuốn sách rất hay là "Hacking Exposed". Nó cho thấy có bao nhiêu tin tặc tấn công các giao thức này.
KCotreau

Câu trả lời:


12

Với Samba, bạn sẽ phải để các cổng 139 / tcp445 / tcp ra bên ngoài - thông thường, điều này liên quan đến việc định cấu hình "chuyển tiếp cổng" trong bộ định tuyến của bạn. Ngoài ra, bạn phải đảm bảo rằng địa chỉ IP bên ngoài của bạn có thể ping được từ bên ngoài.

Sau đó, bạn sẽ có thể truy cập vào cổ phiếu bằng cách nhập \\youraddresstrong Explorer thanh địa chỉ 's hoặc trong Start - Run . (Ở đây youraddressđịa chỉ IP bên ngoài hoặc tên DNS của bạn, nếu bạn có.)

Tuy nhiên, lưu ý rằng giao thức CIFS và SMBv2 được sử dụng để chia sẻ tệp Windows không cung cấp mã hóa dữ liệu (vì vậy bất kỳ ai có trình thám thính gói đều có thể theo dõi chuyển tệp của bạn) và xác thực của nó cũng không đặc biệt mạnh. Chỉ SMBv3 đạt được hỗ trợ mã hóa.

Ngoài ra, đừng quên rằng dịch vụ SMB của Windows trước đây là mục tiêu lây nhiễm rất thường xuyên. Mặc dù hầu hết các khai thác Windows không ảnh hưởng đến Samba theo bất kỳ cách nào, điều này vẫn đáng để ghi nhớ (và thường có nghĩa là các cổng SMB bị chặn ở cấp ISP).

Cũng lưu ý rằng các máy Windows theo mặc định ghi nhớ thông tin đăng nhập cho toàn bộ phiên cục bộ. Trừ khi bạn kết nối với Samba với tư cách là "Khách", bạn phải đặc biệt cẩn thận trên các máy công cộng: luôn luôn sử dụng net use \\addresstrước khi mở trong Explorer / net use \\address /delđể ngắt kết nối. (Điều này là không cần thiết trên máy tính cá nhân.)

Để bảo mật hơn, hãy thêm phần sau vào phần chung trong smb.conf:

LANMAN auth = no
NTLM auth = no
invalid users = root

Huh, tôi đoán nó sẽ phức tạp hơn thế nhiều. Cám ơn bạn đã cho lời khuyên!
Sasha Chedygov

2
Bên cạnh đó, bạn có bất kỳ khuyến nghị nào để làm cho việc thiếu mã hóa dữ liệu trở thành vấn đề không? Tôi tin tưởng tất cả các mạng mà tôi kết nối, nhưng tôi có thể muốn, ví dụ, tạo một tài khoản cho bạn gái của tôi (người có thể ở trên một mạng không đáng tin cậy), để cô ấy có thể truy cập nhạc / ảnh / v.v. Tôi luôn có thể chỉ cho cô ấy một tài khoản chỉ đọc và gọi nó là tốt, nhưng tôi chỉ tự hỏi liệu bạn có thể có một lời khuyên cụ thể hơn không. Cảm ơn một lần nữa!
Sasha Chedygov

Để truy cập chỉ đọc, bạn có thể thiết lập máy chủ HTTPS (StartSSL / CAcert). Để tải lên các tệp, điều này có thể được mở rộng sang WebDAV ... nhưng Windows sẽ không sử dụng WebDAV nếu CIFS khả dụng và hầu hết các phiên bản Windows có một số vấn đề với WebDAV được bảo mật SSL. Các giải pháp khác yêu cầu phần mềm bên ngoài (SFTP sử dụng WinSCP) hoặc thậm chí cấu hình VPN.
grawity

Vâng, tôi đã lên kế hoạch thiết lập một hệ thống sao lưu dựa trên phiên bản (giống như Time Machine trên Mac OS X), để ngay cả khi ai đó có quyền truy cập vào cổ phiếu và xóa sạch mọi thứ, nó vẫn an toàn. Bạn có nghĩ rằng điều này là đủ? Tất nhiên, tôi muốn ngăn chặn điều gì đó như thế này xảy ra ngay từ đầu.
Sasha Chedygov

2
Xin lưu ý: với các ISP Canada, các cổng SMB bị chặn trừ khi bạn có tài khoản doanh nghiệp. Đảm bảo ISP của bạn mở khóa các cổng nếu bạn đang sử dụng JUST SMB
Luke Luke REINSTATE MONICA của Canada

8

Nếu gia đình bạn có thể xử lý bằng WinSCP thì:

  • cài đặt và thiết lập SSH
  • cung cấp cho các thành viên gia đình của bạn các tài khoản địa phương trên máy chủ của bạn
  • symlink lưu trữ tập tin của bạn vào các thư mục này. Ví dụ: nếu bạn đang hiển thị /srv/samba_filesthông qua Samba, bạn muốn thực hiện một ln -s /home/{user}/files /srv/samba_fileshoặc tương tự cho mỗi tài khoản. Nếu bạn phải làm điều này cho nhiều tài khoản, bạn có thể viết một tập lệnh để làm điều đó.
  • cài đặt WinSCP trên máy tính của gia đình bạn

Sau đó, bạn sẽ có một phương pháp truyền tệp rất an toàn mà không quá khó sử dụng.

Tuy nhiên, nếu bạn thực sự muốn tích hợp "ổ đĩa mạng" với Windows, tôi sẽ tìm hiểu về OpenVPN và sau đó thiết lập một đường hầm bắc cầu đến mạng gia đình của bạn. Tôi đã thành công nhận được các tập tin Windows để làm việc trên các đường hầm như vậy.

Bạn cũng có thể sử dụng PoPToP (pptpd) để cho phép hệ thống Windows kết nối trở lại hộp Ubuntu của bạn thông qua PPTP vpn. (Một đường hầm IPSec / L2TP sẽ cung cấp bảo mật tốt hơn nhưng rất khó để thiết lập).


Tại sao không chỉ tạo một fileschia sẻ trỏ đến /srv/samba_filestrực tiếp?
grawity

Cổ phiếu Samba sẽ chỉ hiển thị ở phía mạng LAN. Về phía Internet, bạn sẽ sử dụng WinSCP.
LawrenceC

@LawrenceC Đây có phải là phương pháp "openvpn" chia sẻ hạng nặng cho các máy tính bảng đơn như raspberry pi không?
Bhavesh Gangani

OpenVPN chiếm 20% CPU trên hệ thống ARM 1.3Ghz và không làm tôi mất RAM 512mb. Điều này cũng hoạt động như một bộ định tuyến, DHCP và máy chủ DNS. Một số bộ định tuyến SOHO với ít thông số kỹ thuật chạy nó. Nó sẽ ổn nhưng sẽ tiêu thụ một số tài nguyên.
LawrenceC

1

Nó phụ thuộc vào loại tệp bạn định phục vụ. Nếu đây là các tài liệu hoặc chỉ các tệp bạn cần truy cập từ xa, chỉ cần chạy máy chủ FTP trên máy chủ Ubuntu của bạn. Hãy chắc chắn rằng bạn bảo mật nó tốt, với mật khẩu tốt và chỉ truy cập vào thư mục tệp chứ không phải root.

Tuy nhiên, nếu bạn có ý định truyền phát các tệp phương tiện (bài hát, phim), bạn đang xem việc chạy một máy chủ phát trực tuyến. Có rất nhiều giải pháp cho điều đó ( đây là một ).

Cuối cùng, bạn luôn có thể sử dụng giải pháp ổ đĩa "đám mây" hiện có như Dropbox hoặc SkyDrive hoặc Amazon Cloud Player - chỉ cần đồng bộ hóa các tệp của bạn với một trong những dịch vụ và truy cập internet (một tốc độ nhanh chóng) được đảm bảo.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.