Подробный гайд: настройка и подключение к общей папке на Astra Linux SE 1.6

Инструкция по настройке Samba-шары в Astra Linux SE 1.6: установка, конфиг, фаервол, клиенты Win/Linux/macOS и учёт мандатного контроля PARSEC.

2026.04.02                  

Подробный гайд: настройка и подключение к общей папке на Astra Linux SE 1.6Подробный гайд: настройка и подключение к общей папке на Astra Linux SE 1.6

Важно:

  • Astra Linux Special Edition 1.6 построена на базе Debian 9 и использует строгую модель безопасности PARSEC (мандатный контроль доступа). Стандартные инструкции для Ubuntu/Debian могут требовать корректировок. Гайд учитывает особенности сертифицированной ОС.

Подготовка сервера (Astra Linux)

Установка Samba

sudo apt update
sudo apt install samba samba-common-bin

Включение и запуск служб

sudo systemctl enable smbd nmbd
sudo systemctl start smbd nmbd

Примечание: nmbd отвечает за сетевое обнаружение (NetBIOS), в Astra 1.6 он ещё используется.

Создание пользователя Samba

Samba использует собственную базу паролей, отдельную от системной:

# Добавить пользователя (должен существовать в системе)
sudo smbpasswd -a your_username
# Разблокировать учётную запись
sudo smbpasswd -e your_username

Настройка общей папки

Создание директории

sudo mkdir -p /srv/share
sudo chown -R your_username:your_username /srv/share
sudo chmod 755 /srv/share

Редактирование конфигурации Samba

sudo nano /etc/samba/smb.conf

В конец файла добавьте:

[shared_folder]
   comment = Общая папка Astra Linux
   path = /srv/share
   browseable = yes
   read only = no
   valid users = your_username
   create mask = 0644
   directory mask = 0755
   force user = your_username
   server min protocol = SMB2
   server max protocol = SMB3
   vfs objects = full_audit
   full_audit:prefix = %u|%I|%m|%S
   full_audit:success = mkdir rename unlink rmdir
   full_audit:failure = none
   full_audit:facility = LOCAL5
   full_audit:priority = NOTICE

Примечания:

  • server min protocol = SMB2 обязателен для корректной работы с Windows 10/11.
  • vfs objects = full_audit включает аудит действий (требуется по требованиям ИБ Astra).

Проверьте синтаксис:

testparm

Перезапустите службы:

sudo systemctl restart smbd nmbd

Настройка межсетевого экрана

Astra Linux 1.6 по умолчанию использует iptables. Разрешите порты SMB:

sudo iptables -A INPUT -p tcp --dport 139 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 445 -j ACCEPT
sudo iptables -A INPUT -p udp --dport 137 -j ACCEPT
sudo iptables -A INPUT -p udp --dport 138 -j ACCEPT

Сохраните правила (зависит от вашей конфигурации):

# Если используется astra-firewall:
sudo service astra-firewall save

# Или через iptables-persistent:
sudo apt install iptables-persistent
sudo netfilter-persistent save

Подключение клиентов

Windows 10/11

  1. Откройте Проводник
  2. В адресной строке введите: \<IP_адрес_астры>\shared_folder
  3. Введите логин и пароль пользователя Samba

4. Если возникает ошибка "Отказано в доступе":

  • Включите поддержку SMB2/3 в Windows (по умолчанию включено)
  • В smb.conf убедитесь, что server min protocol = SMB2
  • Проверьте, что пользователь добавлен через smbpasswd

Linux (Astra/Debian/Ubuntu)

Установите клиент:

sudo apt install cifs-utils

Создайте точку монтирования и подключитесь:

sudo mkdir -p /mnt/astra_share
sudo mount -t cifs //<IP_астры>/shared_folder /mnt/astra_share \
  -o username=your_username,password=your_password,vers=3.0,iocharset=utf8

Для постоянного подключения добавьте в /etc/fstab:

//<IP_астры>/shared_folder /mnt/astra_share cifs credentials=/etc/samba/cred,vers=3.0,iocharset=utf8 0 0

Файл /etc/samba/cred (права 600):

username=your_username
password=your_password

macOS

  1. Finder -> Cmd+K (Подключиться к серверу)
  2. Введите: smb://<IP_астры>/shared_folder
  3. Авторизуйтесь как "Зарегистрированный пользователь"

5. Критически важные особенности Astra Linux SE 1.6

Проблема Решение
Отказ в доступе при верных паролях Проверьте метки конфиденциальности PARSEC. Файлы в шаре должны иметь уровень 0 (публичный) или соответствовать уровню пользователя.
Сброс меток для тестирования sudo pdpl-file 0:0:0:e:0 /srv/share (только в тестовых контурах!)
Аудит не работает Убедитесь, что rsyslog слушает LOCAL5. Добавьте в /etc/rsyslog.d/samba.conf: local5.notice /var/log/samba/audit.log
Интеграция с AD/LDAP Требует настройки winbind/sssd и realm join. В Astra 1.6 рекомендуется использовать altlinux-adclient или sssd.
Режим "Закрытый" В некоторых конфигурациях PARSEC блокирует сетевой доступ к файлам вне разрешённых контекстов. Требуется настройка политик через fly-admin-sec или pdp.

Важно:

  • В сертифицированных системах изменение меток или отключение PARSEC может нарушить аттестацию. Всегда согласовывайте настройки с офицером ИБ.

Диагностика проблем

# Проверка доступности шары с сервера
smbclient -L //localhost -U your_username

# Просмотр логов Samba
sudo journalctl -u smbd -f
sudo tail -f /var/log/samba/log.smbd

# Проверка прав доступа
ls -ld /srv/share
ls -Z /srv/share  # вывод меток PARSEC (если включено)

# Проверка firewall
sudo iptables -L INPUT -n | grep -E '139|445'

# Тест сетевого пути
smbclient \\\\<IP_астры>\\shared_folder -U your_username

Итоговый чек-лист

  • [ ] Samba установлен и запущен (systemctl status smbd)
  • [ ] Пользователь добавлен через smbpasswd
  • [ ] В smb.conf указаны min protocol = SMB2 и force user
  • [ ] Firewall открыл порты 139, 445 (TCP), 137, 138 (UDP)
  • [ ] Метки PARSEC не блокируют доступ (или настроены корректно)
  • [ ] Аудит включен (при требованиях ИБ)
×

Полный размер Слайдшоу Предыдущий Следующий