ネットワークドライブをインターネット経由で利用できるようにしますか？

私は最近、Ubuntu ServerとSambaを使用してファイルサーバーとして機能する小さなサーバーマシンを構築し、家族全員がWindowsマシンからネットワーク経由で特定のファイルにアクセスできるようにしました。しかし、私はこれをさらに一歩進めて、家から離れて、インターネットを介して共有にアクセスできるようにしたいと思います。どうすればいいですか？Windowsネットワーク共有システムがどのように機能するかについてはほとんど知らないので、どこから始めればいいのかわかりません。

— サーシャ・チェディゴフ
ソース

あなたは本当にSCPを使うべきです。

— kzh

@kzh：それは私の家族にとってはちょっと複雑すぎる。

— サーシャチェディゴフ

受け入れられた答えに関して個人的なことは何もありませんが、それはあなたの質問に技術的に答えているかもしれませんが、私は決してそうしません。特にネットワーク上で機密性の高いものがある場合は、本当に自分自身を公開しています。正しい方法は、家族が接続するためのシンプルなPPTP VPNをセットアップしてから、家族にアクセスを許可することです。

— -KCotreau

@KCotreau：この質問には、単純化のために省略したものがたくさんあります。私たちが公開するデータは決して機密ではないと言ってみましょう。セキュリティリスクを理解し、受け入れます。特定の質問に対する簡単な答えが欲しかったのです。

— サーシャチェディゴフ

@musicfreak私の懸念は、それがコンピューターの他の領域、またはネットワーク全体への攻撃ポイントであるということです。明らかに、あなたはあなたが望むように自由にそれをすることができますが、少なくとも共有だけでなく、コンピュータ上に何もなければ、私はまだそれをお勧めしません。非常にクールな本は「Hacking Exposed」です。これらのプロトコルを攻撃するハッカーの量を示しています。

— KCotreau

回答:

Sambaでは、ポート139 / tcpおよび445 / tcpを外部に公開する必要があります。通常、これにはルーターでの「ポート転送」の構成が含まれます。さらに、外部IPアドレスが外部からping可能であることを確認する必要があります。

この後\\youraddress、ExplorerのアドレスバーまたはStart-Runに入力して、共有にアクセスできるようになります。（ここで、youraddressは、外部IPアドレスまたはDNS名（ある場合）です。）

ただし、Windowsファイル共有で使用されるCIFSおよびSMBv2プロトコルはデータ暗号化を提供しないため（パケットスニッファーを使用するユーザーはファイル転送を監視できます）、その認証も特に強力ではありません。SMBv3のみが暗号化サポートを取得しました。

また、WindowsのSMBサービスが過去に非常に頻繁に感染対象になったことを忘れないでください。ほとんどのWindowsエクスプロイトはSambaに影響を与えませんが、これは覚えておく価値があります（多くの場合、ISPレベルでSMBポートがブロックされることを意味します）。

また、Windowsマシンはデフォルトでローカルセッション全体のログイン資格情報を記憶していることに注意してください。「ゲスト」としてSambaに接続している場合を除き、パブリックマシンでは特別な注意が必要ですnet use \\address。Explorerで開く前に/ net use \\address /delを切断するために必ず使用してください。（これは、パーソナルコンピューターでは必要ありません。）

セキュリティを強化するために、次の一般セクションに以下を追加しますsmb.conf。

LANMAN auth = no
NTLM auth = no
invalid users = root

— 悲しみ
ソース

ええ、それよりもはるかに複雑になると思いました。アドバイスありがとう！

— サーシャチェディゴフ

副次的に、データ暗号化の欠如を問題の少ないものにするための推奨事項はありますか？私は接続するすべてのネットワークを信頼していますが、たとえば、ガールフレンド（信頼できないネットワーク上にいる可能性がある）のアカウントを作成して、彼女が私の音楽/写真などにアクセスできるようにすることができます。私はいつも彼女に読み取り専用のアカウントを与えてそれを良いと呼ぶことができましたが、おそらくあなたはより具体的なアドバイスを持っているのではないかと思っています。再度、感謝します！

— サーシャチェディゴフ

読み取り専用アクセスの場合、HTTPSサーバー（StartSSL / CAcert）をセットアップできます。ファイルをアップロードするには、これをWebDAVに拡張できますが、CIFSが利用可能な場合、WindowsはWebDAVを使用せず、ほとんどのWindowsバージョンにはSSLで保護されたWebDAVに問題があります。他のソリューションには、外部ソフトウェア（WinSCPを使用したSFTP）またはVPN構成が必要です。

— -grawity

まあ、バージョンベースのバックアップシステム（Mac OS XのTime Machineのようなもの）のセットアップを計画していたので、誰かが共有にアクセスしてすべてを消去したとしても、それは安全です。これで十分だと思いますか？もちろん、そもそもこのようなことが起こらないようにしたいと思います。

— サーシャチェディゴフ

ご注意：カナダのISPでは、ビジネスアカウントを持っていない限り、SMBポートはブロックされます。SMBのみを使用している場合は、ISPがポートのブロックを解除していることを確認してください

— カナダのルークREINSTATE MONICA

家族がWinSCPを使用して処理できる場合：

SSHのインストールとセットアップ
あなたの家族にあなたのサーバーのローカルアカウントを与えます
ファイルストアをこれらのディレクトリにシンボリックリンクします。たとえば、/srv/samba_filesSamba を介して公開しているln -s /home/{user}/files /srv/samba_files場合、各アカウントに対して同様の操作を行います。多くのアカウントでこれを行う必要がある場合は、それを行うスクリプトを作成できます。
家族のコンピューターにWinSCPをインストールする

そうすれば、使用するのがそれほど難しくない、非常に安全なファイル転送方法が得られます。

ただし、Windowsとの「ネットワークドライブ」の統合が本当に必要な場合は、OpenVPNについて学習し、ホームネットワークへのブリッジトンネルを設定します。このようなトンネルで動作するWindowsファイル共有を正常に取得できました。

PoPToP（pptpd）を使用して、WindowsシステムがPPTP vpnを介してUbuntuボックスに接続できるようにすることもできます。（IPSec / L2TPトンネルはより良いセキュリティを提供しますが、セットアップは困難です）。

— ローレンスC
ソース

直接files指す共有を作成しないのはなぜ/srv/samba_filesですか？

— -grawity

Samba共有はLAN側でのみ表示されます。インターネット側では、WinSCPを使用します。

— ローレンス

@LawrenceCこの "openvpn"メソッドは、raspberry piのようなシングルボードコンピューターのヘビーウェイトを共有していますか？

— Bhavesh Gangani

OpenVPNはARM 1.3Ghzシステムで20％のCPUを使用し、512MBのRAMが不足することはありませんでした。これは、ルーター、DHCP、およびDNSサーバーとしても機能していました。スペックの少ないSOHOルーターが実行します。それは問題ないはずですが、リソースをいくらか消費します。

— ローレンス

提供するファイルの種類によって異なります。これらがドキュメントである場合、またはリモートでアクセスする必要があるファイルだけの場合は、UbuntuサーバーでFTPサーバーを実行するだけです。適切なパスワードを使用し、ルートではなくファイルディレクトリのみにアクセスして、セキュリティで保護してください。

ただし、メディアファイル（曲、映画）をストリーミングする場合は、ストリーミングサーバーの実行を検討しています。そのための解決策はたくさんあります（ここに1つあります）。

最後に、DropboxやSkyDriveなどの既存の「クラウド」ドライブソリューション、またはAmazon Cloud Playerをいつでも使用できます。ファイルをそれらのサービスの1つと同期するだけで、インターネットアクセス（高速なもの）が保証されます。

— Traveling Tech Guy
ソース