Samba сервер на офшорном VPS: SMB-ресурс для Windows и macOS

SMB - родной протокол для Windows-сетей и macOS Finder. Если в офисе или дома стоят Windows-машины и нужно дать им сетевой диск, доступный через стандартное диалоговое окно Подключить сетевой диск или через Finder Connect to Server, Samba - очевидный выбор. Он работает прозрачно: пользователь видит общий ресурс как обычную папку, копирует файлы перетаскиванием и не задумывается о backend. Альтернативы - SFTP и WebDAV - дают похожую функциональность, но менее интегрированы в графические оболочки операционных систем. SFTP требует отдельный клиент вроде FileZilla или WinSCP, либо встроенный в OpenSSH for Windows инструмент. WebDAV нативно поддерживается в Windows и macOS, но работает медленнее SMB на крупных файлах. С другой стороны, Samba имеет недостаток: SMB-протокол не предназначен для работы через открытый интернет, потому что исторически содержал множество уязвимостей. Поэтому Samba на офшорном VPS должна работать только за WireGuard-туннелем или OpenVPN, а порт 445 должен быть закрыт в публичный интернет.

Базовая установка занимает 20 минут. Установите пакет samba из репозитория Debian, Ubuntu или AlmaLinux. Отредактируйте /etc/samba/smb.conf, добавив секцию с описанием шары: путь к каталогу, права доступа, разрешённые пользователи, опция valid users. Создайте Samba-пользователя командой smbpasswd -a username и убедитесь, что соответствующий Unix-пользователь существует с правами на каталог. Перезапустите smbd и nmbd через systemctl restart smbd nmbd. На клиентской машине подключитесь к ресурсу через \\vps-ip\share в Windows или smb://vps-ip/share в Finder macOS. Для production рекомендуется отключить устаревший SMB1, использовать только SMB3 с шифрованием client signing = mandatory и server signing = mandatory, плюс smb encrypt = required. Это защищает трафик между клиентом и сервером на случай, если WireGuard-туннель ляжет или будет неправильно настроен. На NVMe-дисках Anubiz Host Samba работает быстрее, чем большинство офисных NAS-устройств: чтение и запись по WireGuard упирается в скорость интернет-канала клиента, а не в дисковую подсистему.

Главное правило: никогда не открывайте порты 139 и 445 в публичный интернет. SMB-протокол исторически содержал множество уязвимостей, включая EternalBlue, использованный WannaCry, и регулярно обнаруживаются новые проблемы. На VPS Anubiz Host порты SMB должны быть открыты только через WireGuard-интерфейс: правила iptables или nftables разрешают вход на 445 только с подсети WireGuard. Внешний фаервол на уровне дата-центра дополнительно фильтрует трафик. Для аутентификации используются сильные пароли каждого Samba-пользователя, желательно интеграция с PAM и системой управления секретами. Логи Samba отправляются в /var/log/samba/log.smbd и регулярно проверяются на подозрительные попытки доступа. Для критичных шар включается аудит файловых операций через модуль full_audit. Поверх всего этого LUKS-шифрование диска защищает данные в покое: даже если носитель попадёт в чужие руки, без ключа прочитать содержимое невозможно. Такая многослойная защита превращает Samba на офшорном VPS в полноценную замену корпоративного файлового сервера с дополнительной приватностью.