Flashcards: 304.2 - Clientes Cifs Linux
44 tarjetas de repaso. Usa el sistema de repeticion espaciada para memorizar.
P: ¿Cuál es la forma más segura de proporcionar credenciales al montar un share CIFS?
R: b) mount -t cifs //srv/share /mnt -o credentials=/etc/samba/creds. Usar un archivo de credenciales con la opción credentials= es la forma más segura porque el archivo puede protegerse con permisos 0600. Las contraseñas en línea de comandos son visibles con ps y en /etc/fstab son legibles por cualquier usuario.
P: ¿Qué opción sec= proporciona Kerberos con cifrado de datos?
R: c) sec=krb5p. sec=krb5p proporciona autenticación Kerberos con cifrado de datos (privacidad). krb5 solo autentica, krb5i añade verificación de integridad, y krb5p añade cifrado completo de los datos transmitidos.
P: ¿Qué opción en /etc/fstab indica al sistema que espere a que la red esté disponible antes de montar un share CIFS?
R: c) _netdev. _netdev es la opción estándar que indica al sistema que el montaje depende de la red. Sin esta opción, el sistema podría intentar montar el share CIFS antes de que la interfaz de red esté activa, causando un fallo en el arranque.
P: ¿Qué formato se utiliza en el archivo de mapa de autofs para especificar un recurso CIFS?
R: b) share -fstype=cifs ://servidor/share. En autofs, el formato para recursos CIFS incluye dos puntos antes de la ruta: ://servidor/share. Los dos puntos separan el host de la ubicación en el formato estándar de autofs.
P: ¿Qué permite la opción multiuser en un montaje CIFS?
R: b) Que cada usuario acceda al share con sus propias credenciales. Con multiuser, el montaje se realiza una sola vez (generalmente por root), pero cada usuario puede establecer sus propias credenciales mediante cifscreds. El kernel aplica los permisos individuales basándose en las credenciales de cada usuario.
P: ¿Qué comando de smbclient lista los recursos compartidos disponibles en un servidor?
R: b) smbclient -L //servidor -U usuario. La opción -L (o --list) de smbclient lista todos los recursos compartidos disponibles en el servidor especificado, incluyendo shares de archivos, impresoras e IPC$.
P: ¿Qué herramienta se usa para monitorizar las estadísticas de I/O de montajes CIFS?
R: c) cifsiostat. cifsiostat es la herramienta específica para monitorizar estadísticas de I/O de montajes CIFS, mostrando bytes leídos/escritos, operaciones por segundo y aperturas/cierres de archivos.
P: ¿Cuál es el contenido correcto de un archivo de credenciales CIFS?
R: b) username=user\npassword=pass\ndomain=DOM. El archivo de credenciales usa el formato clave=valor con cada campo en una línea separada: username=, password= y opcionalmente domain=. El archivo debe tener permisos 0600.
P: ¿Cómo se ejecuta un comando en modo batch con smbclient?
R: b) smbclient //srv/share -U user -c "ls". La opción -c de smbclient ejecuta los comandos especificados en modo batch (no interactivo) y luego finaliza. Se pueden encadenar múltiples comandos separándolos con punto y coma.
P: Un administrador necesita montar un share CIFS automáticamente solo cuando un usuario accede al directorio, y desmontarlo tras 5 minutos de inactividad. ¿Qué solución es la más adecuada?
R: b) Autofs con --timeout=300. Autofs monta automáticamente el recurso cuando un usuario accede al directorio y lo desmonta tras el período de inactividad especificado por --timeout (en segundos, 300 = 5 minutos). Esto es más eficiente que un montaje permanente y más elegante que un script cron.
P: ¿Qué opción de montaje CIFS especifica la versión del protocolo SMB a utilizar?
R: c) vers=. La opción vers= especifica la versión del protocolo SMB a utilizar (por ejemplo, vers=2.0, vers=2.1, vers=3.0, vers=3.1.1). Es importante para forzar una versión específica cuando hay problemas de compatibilidad o se requiere un nivel mínimo de seguridad.
P: ¿Qué opción de smbclient permite la autenticación Kerberos?
R: b) -k. La opción -k de smbclient activa la autenticación Kerberos. El usuario debe tener un ticket TGT válido (obtenido con kinit) antes de usar esta opción. -N es para acceso sin contraseña y -A es para un archivo de autenticación.
P: ¿Qué comando se usa para gestionar las credenciales individuales de usuario en un montaje CIFS con la opción multiuser?
R: b) cifscreds. cifscreds es el comando que permite a cada usuario gestionar sus credenciales individuales en un montaje CIFS multiusuario. Con cifscreds add servidor se añaden credenciales, con cifscreds update se actualizan y con cifscreds clear se eliminan.
P: ¿Qué diferencia existe entre las opciones sec=ntlmv2 y sec=ntlmssp en mount.cifs?
R: b) ntlmv2 usa autenticación sin negociación; ntlmssp usa el protocolo NTLM Security Support Provider con negociación. ntlmssp encapsula la autenticación NTLMv2 dentro del protocolo SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism), lo que permite la negociación del método de autenticación. Es generalmente más compatible con servidores Windows modernos.
P: En una entrada de autofs para CIFS, ¿qué significa el símbolo & en la siguiente línea?
R: b) Sustituye el valor de la clave accedida por el usuario. En un mapa comodín de autofs, * captura cualquier nombre de directorio accedido y & se reemplaza por ese mismo nombre. Así, acceder a /mnt/cifs/proyectos montaría automáticamente //servidor/proyectos.
P: ¿Qué opción de montaje CIFS permite que systemd monte automáticamente el recurso cuando se accede al punto de montaje?
R: b) x-systemd.automount. La opción x-systemd.automount en /etc/fstab indica a systemd que cree una unidad automount que montará el recurso CIFS bajo demanda la primera vez que se acceda al punto de montaje. Suele combinarse con _netdev para montajes de red.
P: ¿Cuáles son los permisos recomendados para un archivo de credenciales CIFS?
R: c) 0600. El archivo de credenciales debe tener permisos 0600 (lectura y escritura solo para el propietario) para proteger la contraseña que contiene. Permisos más abiertos expondrían las credenciales a otros usuarios del sistema.
P: ¿Qué opción de montaje CIFS asigna un UID propietario específico a todos los archivos del punto de montaje?
R: c) uid=. La opción uid= establece el UID propietario de todos los archivos y directorios del montaje CIFS. Como CIFS no soporta permisos POSIX nativos, esta opción junto con gid=, file_mode= y dir_mode= permite controlar cómo se presentan los permisos en el sistema local.
P: ¿Qué opción de montaje CIFS indica que se deben reintentar indefinidamente si el servidor no responde?
R: c) hard. La opción hard (que es el comportamiento por defecto) hace que las operaciones de I/O se reintenten indefinidamente si el servidor no responde. La opción soft devuelve un error al programa que realizó la operación en lugar de reintentar.
P: ¿Qué opción de smbclient permite conectarse sin proporcionar contraseña para acceso anónimo?
R: b) -N. La opción -N de smbclient suprime la solicitud de contraseña, permitiendo conectarse de forma anónima a shares que permitan acceso sin autenticación. Esto es equivalente a usar sec=none en mount.cifs.
P: Escribe el comando para montar el recurso compartido //fileserver/datos en /mnt/datos usando un archivo de credenciales ubicado en /etc/samba/creds.
R: mount -t cifs //fileserver/datos /mnt/datos -o credentials=/etc/samba/creds. Se utiliza mount -t cifs (o mount.cifs) para montar el share CIFS. La opción credentials= referencia el archivo con las credenciales para evitar exponer la contraseña en la línea de comandos.
P: Escribe el comando para listar los recursos compartidos disponibles en el servidor //fileserver con el usuario admin.
R: smbclient -L //fileserver -U admin. La opción -L de smbclient lista todos los recursos compartidos disponibles en el servidor especificado. -U admin indica el nombre de usuario para la autenticación.
P: Escribe el comando para añadir credenciales CIFS para el servidor fileserver en un montaje multiusuario.
R: cifscreds add fileserver. cifscreds add permite a un usuario individual establecer sus credenciales para acceder a un montaje CIFS configurado con la opción multiuser. El comando solicitará la contraseña de forma interactiva.
P: Escribe el comando para descargar el archivo informe.pdf del share //servidor/docs como el usuario jperez usando smbclient en modo batch.
R: smbclient //servidor/docs -U jperez -c “get informe.pdf”. La opción -c de smbclient permite ejecutar comandos en modo batch sin entrar en el modo interactivo. El comando get descarga el archivo especificado al directorio local actual.
P: Escribe el comando para ver las estadísticas de I/O de montajes CIFS con un intervalo de actualización de 5 segundos.
R: cifsiostat 5. cifsiostat muestra estadísticas de I/O de montajes CIFS como bytes leídos/escritos, operaciones por segundo y aperturas/cierres de archivos. El argumento numérico establece el intervalo de actualización en segundos.
P: Tip de examen: mount.cifs y mount -t cifs son equivalentes. Las opciones se pasan después d…
R: mount.cifs y mount -t cifs son equivalentes. Las opciones se pasan después de -o. Siempre usar credentials= en lugar de password= en línea de comandos para mayor seguridad.
P: Tip de examen: El archivo de credenciales debe tener permisos 0600 para proteger la contraseña…
R: El archivo de credenciales debe tener permisos 0600 para proteger la contraseña. Se referencia con credentials= en las opciones de montaje.
P: Tip de examen: sec=krb5 usa Kerberos simple, krb5i añade integridad, krb5p añade cifrado…
R: sec=krb5 usa Kerberos simple, krb5i añade integridad, krb5p añade cifrado. Para Kerberos el usuario necesita un ticket válido (kinit). ntlmssp es la versión negociada de NTLM.
P: Tip de examen: _netdev es crucial en fstab para montajes CIFS, ya que indica al sistema que e…
R: _netdev es crucial en fstab para montajes CIFS, ya que indica al sistema que espere a que la red esté disponible antes de intentar montar. x-systemd.automount proporciona montaje bajo demanda.
P: Tip de examen: Con multiuser, el montaje inicial se hace con credenciales mínimas (o Kerberos…
R: Con multiuser, el montaje inicial se hace con credenciales mínimas (o Kerberos). Cada usuario establece sus propias credenciales con cifscreds, y el kernel aplica los permisos individuales.
P: Tip de examen: En autofs, el formato para CIFS usa ://servidor/share (con los dos puntos). El…
R: En autofs, el formato para CIFS usa ://servidor/share (con los dos puntos). El --timeout define el tiempo en segundos antes de desmontar por inactividad.
P: Tip de examen: smbclient -L //servidor lista shares. smbclient -c "comando" ejecuta en modo…
R: smbclient -L //servidor lista shares. smbclient -c "comando" ejecuta en modo batch. -k activa Kerberos. -N permite acceso sin contraseña.
P: Tip de examen: cifsiostat es la herramienta para monitorizar el rendimiento de montajes CIFS…
R: cifsiostat es la herramienta para monitorizar el rendimiento de montajes CIFS. Es parte del paquete sysstat en muchas distribuciones.
P: Que hace el comando username=?
R: Nombre de usuario para autenticación
P: Que hace el comando password=?
R: Contraseña (inseguro en línea de comandos)
P: Que hace el comando uid=?
R: UID propietario de los archivos montados
P: Que hace el comando gid=?
R: GID propietario de los archivos montados
P: Que hace el comando file_mode=?
R: Permisos para archivos (ej: 0644)
P: Que es/son Introducción?
R: Los clientes Linux pueden acceder a recursos compartidos SMB/CIFS de servidores Windows o Samba usando varias herramientas: mount.cifs para montaje en el sistema de archivos, smbclient para acceso
P: Que es/son Opciones de seguridad (sec=)?
R: La opción sec= define el método de autenticación:
P: Que es/son Montaje multiusuario?
R: El montaje multiusuario permite que cada usuario acceda al share con sus propias credenciales:
P: Que es/son Autofs para CIFS?
R: Autofs monta recursos compartidos automáticamente cuando se accede a ellos y los desmonta tras un período de inactividad.
P: Que es/son cifsiostat?
R: cifsiostat muestra estadísticas de I/O de montajes CIFS:
P: Que es/son Trampas del examen?
R: > Errores comunes y distinciones criticas que LPI suele evaluar en este subtema: