En Mac OS X se pueden compartir archivos por la red con SMB - compatible en redes Microsoft Windows, por FTP o mediante el protocolo AFP (Apple Filling Protocol). Este sistema de compartición de archivos puede jugar malas pasadas a la seguridad de un sistema, ya que muchas aplicaciones pueden dejar activada la compartición de algunas carpetas por defecto, como por ejemplo las carpetas públicas de Dropbox.
Para gestionar la compartición de archivos desde la consola de Mac OS X se puede utilizar el comando sharing, solo disponible para usuarios con permisos de root. Dicho comando permite compartir de una vez una carpeta para los servicios SMB, AFP y FTP, permitiendo gestionar el aspecto del recurso en cada una de las redes.
Recursos compartidos
Para compartir una carpeta del sistema se usa el modificador -a y para elegir el protocolo de red se necesita especificar con -s la máscara de protocolos, siendo la primera posición para AFP, la segunda para FTP y la tercera para SMB. Así -s 101 significaría que la carpeta se comparte en la red por AFP y la red SMB pero no por FTP.
Para acceder a la lista de recursos compartidos en cada red utilizamos el modificador -l, donde se sabrá por cada carpeta compartida si lo está por AFP, FTP o SMB, siendo un 0 un equivalente a no compartida y un 1 un equivalente a sí está compartida.
Permisos de acceso
De igual forma que se crea una máscara para especificar los protocolos por los que se comparte con -s, se hace de igual forma para determinar si el acceso invitado está permitido o no a una carpeta con una mascara en el modificador -g.
En el protocolo AFP se pueden heredar los permisos de las carpetas contenedoras, que es el comportamiento por defecto. Con el modificador -i se puede usar el flag 10 (heredar) o 00 (no heredar) para gestionar esto.
Como se puede ver, no hay una lista de permisos a usuarios concretos, y prevalecerán los que estén configurados a nivel de recurso en el sistema de ficheros. Para hacer una configuración granular de seguridad, es conveniente hacer uso de las listas de control de accesos en Mac OS X.
Nombres de los recursos compartidos
Cada recurso compartido tiene un nombre de registro - normalmente el nombre de la carpeta compartida - con el que se manipula con el comando sharing usando el modificador -n, pero además puede tener un nombre diferente en las redes AFP, SMB y FTP, que es configurado con los modificadores -A para AFP, -F para FTP y -S para SMB.
Por ejemplo, podríamos compartir la carpeta /test_sharing en las tres redes, ponerle como nombre de registro para manipularla compartida, y llamarla en las redes AFP como afp_compartida, en FTP como ftp_compartida y en SMB como smb_compartida y deshabilitar el acceso de invitado con el siguiente comando:
Por último, los recursos compartidos se pueden editar con -e y eliminar con -r en cualquier momento.
Para gestionar la compartición de archivos desde la consola de Mac OS X se puede utilizar el comando sharing, solo disponible para usuarios con permisos de root. Dicho comando permite compartir de una vez una carpeta para los servicios SMB, AFP y FTP, permitiendo gestionar el aspecto del recurso en cada una de las redes.
Recursos compartidos
Para compartir una carpeta del sistema se usa el modificador -a y para elegir el protocolo de red se necesita especificar con -s la máscara de protocolos, siendo la primera posición para AFP, la segunda para FTP y la tercera para SMB. Así -s 101 significaría que la carpeta se comparte en la red por AFP y la red SMB pero no por FTP.
Figura 1: Compartiendo una carpeta con opciones por defecto |
Para acceder a la lista de recursos compartidos en cada red utilizamos el modificador -l, donde se sabrá por cada carpeta compartida si lo está por AFP, FTP o SMB, siendo un 0 un equivalente a no compartida y un 1 un equivalente a sí está compartida.
Permisos de acceso
De igual forma que se crea una máscara para especificar los protocolos por los que se comparte con -s, se hace de igual forma para determinar si el acceso invitado está permitido o no a una carpeta con una mascara en el modificador -g.
En el protocolo AFP se pueden heredar los permisos de las carpetas contenedoras, que es el comportamiento por defecto. Con el modificador -i se puede usar el flag 10 (heredar) o 00 (no heredar) para gestionar esto.
Figura 2: La carpeta se comparte solo por AFP y SMB sin acceso invitado |
Como se puede ver, no hay una lista de permisos a usuarios concretos, y prevalecerán los que estén configurados a nivel de recurso en el sistema de ficheros. Para hacer una configuración granular de seguridad, es conveniente hacer uso de las listas de control de accesos en Mac OS X.
Nombres de los recursos compartidos
Cada recurso compartido tiene un nombre de registro - normalmente el nombre de la carpeta compartida - con el que se manipula con el comando sharing usando el modificador -n, pero además puede tener un nombre diferente en las redes AFP, SMB y FTP, que es configurado con los modificadores -A para AFP, -F para FTP y -S para SMB.
Por ejemplo, podríamos compartir la carpeta /test_sharing en las tres redes, ponerle como nombre de registro para manipularla compartida, y llamarla en las redes AFP como afp_compartida, en FTP como ftp_compartida y en SMB como smb_compartida y deshabilitar el acceso de invitado con el siguiente comando:
Figura 3: Compartición de carpeta con personalización de nombres y permisos |
Por último, los recursos compartidos se pueden editar con -e y eliminar con -r en cualquier momento.
Compartición desde Finder
Es posible acceder a las opciones de compartición de recursos en red también desde Finder, desde la información de una carpeta. Desde allí se accederá también a la información de si están habilitados los servicios AFP, FTP y SMB en el sistema Mac OS X.
Figura 4: Compartir carpeta desde el Finder y servicios de compartición |
Por último, hay que recordar que a pesar de que estén habilitados los servicios, puede que el firewall esté bloqueando el acceso desde la red, y haya que confirguarlo. Para eso, os dejamos una entrada hace tiempo y un sencillo programa para sacarle más partido al firewall de Mac OS X.
Figura 5: Aplicaciones permitidas en el Firewall |
Sea como fuere, no te conectes a una red pública sin tener claro cuáles son las carpetas que estás compartiendo, así que antes de unir tu equipo a una nueva WiFi, revisa qué tienes compartido y qué no tienes compartido. Para hacerlo, usar un sharing -l como comprobación es una opción muy rápida.
No hay comentarios:
Publicar un comentario