Säkerhet är ett stort och viktigt ämne och det lämnas inga garantier för att instruktionerna här ger ett heltäckande skydd. Är säkerhet viktigt så skall man utan tvekan ta hjälp av experter på området. Det som visas här är enkla principer för hur man täpper igen de största hålen i den standardinstallation som är gjord. Jag har inte plats att ta upp alla detaljer jag vill ha med här, men jag kommer att försöka vara mer detaljerad i den kommande boken som sammanfattar och kompletterar alla inlägg i den här serien.
Samba
Det första man kan göra är att ändra rättigheterna på de utdelade katalogerna på servern. Det finns några olika sätt att göra detta och här redovisas endast ett.
Ändra raderna med guest ok = yes till guest ok = no, i filen /etc/samba/smb.conf. När man sedan startat om smbd-tjänsten så kommer man att bli tillfrågad om ett lösenord när man vill ansluta till katalogen.
Samba känner dock inte till detta lösenord, så det måste skapas på servern. Till att börja med så kan man skapa en användare för varje resurs man vill ha ett unikt användarnamn för. Sedan ger man denna användare ett Sambalösenord.
Kommandot useradd lägger till användaren qgisuser och flaggan -M gör att det inte skapas en hemkatalog på servern för användaren. Egentligen behöver man inte sätta ett Unixlösenord som görs i bilden ovan, utan det räcker med att sätta sambalösenordet med kommandot smbdpasswd -a användare. Sedan kan man dessutom lägga till en rad för varje utdelad resurs som styr vilka som skall kunna ansluta till dessa.
valid users = qgisuser, admin
När redigeringen är klar så skall man åter igen starta om smbd-tjänsten.
Nu kan man styra varje resurs till om det krävs inloggning eller om gäster är ok. Det går att bestämma om vilken användare som helst skall komma åt katalogen, eller om det bara är vissa.
PostGIS
Egentligen så är det inte PostGIS utan Postgresql som sätter säkerheten för databaserna. Det går att skapa enskilda användare för varje sak, men om det är en stor organisation så kanske man vill ha flera användare med samma behörigheter och då är användargrupper att föredra.
När man skapat en grupp eller ”roll” så är det dags att skapa användare till denna. Det görs på motsvarande sätt som för grupper/roller, men man anger användarnamn i stället. Grupper och användare är egentligen båda två olika typer av roller, där användarrollen kan ”logga in”.
Sedan sätter man lösenordet på fliken ”Definition” och vilken roll/grupp som användaren tillhör på fliken ”Role membership”.
I egenskaperna för databaserna så kan man sedan lägga till privilegier för olika användargrupper. I bilden ovan så ges gruppen ”qgisusers” alla rättigheter i databasen.
Sedan så sätter man rättigheter på den nivå som behövs för de befintliga resurserna. Det kan vara på tabellnivå eller högre om man vill skilja på vilka användare och grupper som skall ha access till olika resurser.
GeoServer
I GeoServer så kan man vidta ett antal säkerhetsåtgärder ganska enkelt. Alla dessa finns det instruktioner för på startsidan.
De två första är helt enkelt borttagning av två filer på servern. Öppna och läs dock den första filen innan den raderas, där står nämligen det genererade lösenordet för användaren ”root”. Detta kan vara bra att förvara på ett säkert ställe, om olyckan skulle vara framme.
rm /var/lib/opengeo/geoserver/security/masterpw.info rm /var/lib/opengeo/geoserver/security/users.properties.old
Att ändra standardkryptering för lösenorden från ”Week PBE” till rekommenderade ”Digest” görs genom att ändra ”settings” för ”default” under ”User, Group Services”. Klicka på länken ”Users, Groups, Roles” till vänster.
För att ändra lösenordet för admin finns det en länk i varningsmeddelandet och det går att komma åt samma sida via samma länk som ovan, men genom att ändra från fliken ”Services” till ”Users/Groups” i stället.
När man ändå är här så kan man fundera på vilka användare och grupper man behöver för att sköta om GeoServern och tjänsterna där. Man bör hur som helst undvika användarnamnet ”admin” om man är flera som skall jobba med servern. Skapa i stället personliga konton och behåll ”admin” som backup.
Mera säkerhet
Ytterligare detaljer och tips kommer du att kunna läsa om i boken som jag håller på att färdigställa. Jag tror inte det dröjer så länge innan det är dags att släppa den, inte minst då jag använt en annan metod och layout än för förra boken. Det kommer en PDF version som ser ut som jag vill, men även en version i ePub, som kommer att se ut som denna typ av böcker brukar se ut.