Как настроить зашифрованный каталог для монтирования только во время доступа через Samba?

(Это не связано с ограничением доступа клиента, для чего достаточно прав ext3)

Я хотел бы зашифровать данные на своем NAS-диске (Buffalo LinkStation Pro с включенным доступом по SSH, если это важно) удобным для пользователя способом. В настоящее время контейнер TrueCrypt необходимо монтировать вручную через SSH, а затем снова размонтировать (если только вы не решите мой вопрос с таймаутом). Используя SSH-ключ без пароля (но зашифрованный EFS), это сводится к двум ярлыкам на рабочем столе PuTTY и вводу пароля TrueCrypt (до дальнейшего упрощения) для монтирования.

Однако идеальным решением было бы полное прозрачное решение. Сначала я думал попробовать каким-то образом позволить расшариванию использовать EFS-шифрование, но это, вероятно, потребует больше работы, и EFS для нескольких пользователей без сервера Active Directory кажется проблематичным.

Однако теперь моя идея заключается в автоматическом монтировании, например, каталога, зашифрованного с помощью EncFS, которое будет автоматически вызываться при доступе Samba от авторизованных пользователей (с использованием клиентов Windows). Как этого можно добиться? (Бонусные баллы за отображение «ловушки» для неавторизованных пользователей…)

Я вижу набросок решения с использованием “скриптов входа” Samba – код на стороне клиента, который выполняется после входа в Samba – но полное решение должно дополнить набросок деталями. Связаны с этим также “предварительные скрипты” – код на стороне сервера, который выполняется во время входа в Samba.

Ссылаясь на мануал по smb.conf

скрипт входа (G)

Этот параметр указывает пакетный файл (.bat) или файл команд NT (.cmd), который будет загружен и выполнен на машине, когда пользователь успешно войдет в систему. Файл должен содержать завершения строк в стиле DOS. Рекомендуется использовать редактор в стиле DOS для создания файла.

Скрипт должен быть относительным путем к службе [netlogon]. Если служба [netlogon] указывает путь /usr/local/samba/netlogon, а скрипт входа = STARTUP.BAT, то загружается файл:

/usr/local/samba/netlogon/STARTUP.BAT

Содержимое пакетного файла полностью на ваш выбор. Рекомендуемая команда может быть добавление NET TIME \SERVER /SET /YES, чтобы заставить каждую машину синхронизировать часы с одним и тем же сервером времени. Другие применения могут включать добавление NET USE U: \SERVER\UTILS для часто используемых утилит, или

NET USE Q: \\SERVER\ISO9001_QA

например.

Обратите внимание, что особенно важно не разрешать запись в общий доступ [netlogon] или предоставлять пользователям разрешение на запись в пакетные файлы в безопасной среде, так как это позволит произвольно изменять пакетные файлы и нарушить безопасность.

Эта опция принимает стандартные замены, позволяя иметь отдельные скрипты входа для каждого пользователя или машины.

и также

preexec (S)

Эта опция указывает команду, которая будет выполнена каждый раз, когда происходит подключение к службе. Она принимает обычные замены.

Интересным примером может быть отправка пользователям приветственного сообщения каждый раз, когда они входят в систему. Может быть сообщение дня? Вот пример:

preexec = csh -c 'echo \"Добро пожаловать в %S!\" | /usr/local/samba/bin/smbclient -M %m -I %I' &

В вашем случае вы действительно хотите скрипты входа (нешифрованная форма монтируется на клиенте), поэтому набросок решения может включать:

1. убедиться, что на каждом компьютере установлен аналог EncFS
2. написать скрипт входа (.bat формат), который вызывает encfs на клиенте и запрашивает у пользователя вход. Команда encfs тем самым монтирует нешифрованную форму локально, при этом удаленное хранилище остается зашифрованным.

3. настроить smb.conf так, чтобы соответствующие пользователи выполняли скрипт входа. например, что-то вроде

   скрипт входа = runencfs.bat

4. Для бонусных баллов ваш скрипт входа может автоматизировать установку Encfs (из общего доступа Samba) и запускать монтирование только в том случае, если он установлен!

Однако скрипты на стороне клиента могут вызвать головную боль из-за языка cmd, обеспечения установки encfs и обхода особенностей Windows, как, например, Windows 8.1 и выше, не выполняют скрипты входа в течение пяти минут, если не настроено иное.

Если вас беспокоит безопасность данных в покое, вы можете найти решение шифрования на NAS вместо этого (FreeNAS и Synology делают это). При загрузке вам необходимо ввести ключ для разблокировки тома, но после этого он работает точно так же, как незашифрованный общий доступ, поэтому конфигурация на стороне клиента не требуется.

Если, с другой стороны, вас беспокоит уязвимость данных, которые могут быть извлечены с сервера во время его работы, наличие шифрования на стороне клиента может решить вашу проблему. Что-то вроде EncFS или Cryptomator может быть самыми простыми решениями для вашей проблемы?

• https://wiki.archlinux.org/index.php/EncFS
• https://cryptomator.org

Или, возможно, я неправильно понял проблему?

Я также пытаюсь смонтировать зашифрованную папку encfs в общий доступ samba, но это не работало. После многих попыток я выяснил, что это была проблема с разрешениями на папку. Пользователь Samba не мог получить доступ к visible_folder.

encfs -o allow_other ~/encrypted_folder ~/visible_folder

Опция allow_other решила проблему.