Ja mitināt Samba serveri, ir svarīgi pievērst īpašu uzmanību servera aizsardzībai no pretiniekiem.

Key Takeaways

  • Iespējojiet SMB trafika šifrēšanu, lai novērstu nesankcionētu piekļuvi un kiberuzbrukumus. Izmantojiet transporta slāņa drošību (TLS), lai nodrošinātu sava Linux Samba servera trafiku.
  • Ieviesiet stingras piekļuves kontroles un atļaujas koplietotajiem resursiem, izmantojot /etc/samba/smb.conf konfigurācijas failu. Definējiet piekļuves, atļauju un ierobežojumu noteikumus, lai nodrošinātu, ka tikai pilnvaroti lietotāji var piekļūt resursiem.
  • Ieviesiet spēcīgas un unikālas paroles MVU lietotāju kontiem, lai uzlabotu drošību. Regulāri atjauniniet Linux un Samba, lai aizsargātu pret ievainojamību un kiberuzbrukumiem, un izvairieties no nedrošā SMBv1 protokola izmantošanas.
  • Konfigurējiet ugunsmūra noteikumus, lai ierobežotu piekļuvi SMB portiem, un apsveriet tīkla segmentāciju, lai izolētu SMB trafiku no neuzticamiem tīkliem. Pārraugiet SMB žurnālus, lai atklātu aizdomīgas darbības un drošības incidentus, un ierobežojiet viesu piekļuvi un anonīmus savienojumus.
  • Ieviesiet uz resursdatoriem balstītus ierobežojumus, lai kontrolētu piekļuvi noteiktiem resursdatoriem un liegtu piekļuvi citiem. Veiciet papildu drošības pasākumus, lai stiprinātu tīklu un nostiprinātu Linux serverus.

SMB (Server Message Block) protokols ir failu un printeru koplietošanas stūrakmens savienotās vidēs. Tomēr Samba noklusējuma konfigurācija var radīt ievērojamus drošības riskus, padarot jūsu tīklu neaizsargātu pret nesankcionētu piekļuvi un kiberuzbrukumiem.

Ja mitināt Samba serveri, jums jābūt īpaši piesardzīgam attiecībā uz iestatītajām konfigurācijām. Šeit ir norādītas 10 svarīgas darbības, lai nodrošinātu jūsu SMB servera drošību un aizsardzību.

1. Iespējot SMB trafika šifrēšanu

Pēc noklusējuma SMB trafika nav šifrēta. Jūs varat to pārbaudīt, izmantojot tīkla pakešu uztveršana ar tcpdump vai Wireshark. Ir ļoti svarīgi šifrēt visu trafiku, lai neļautu uzbrucējam pārtvert un analizēt trafiku.

Ieteicams iestatīt transporta slāņa drošību (TLS), lai šifrētu un aizsargātu Linux Samba servera trafiku.

2. Ieviesiet stingras piekļuves kontroles un atļaujas koplietotajiem resursiem

Jums ir jāievieš stingras piekļuves kontroles un atļaujas, lai nodrošinātu, ka saistītie lietotāji nevar piekļūt nevēlamiem resursiem. Samba izmanto centrālo konfigurācijas failu /etc/samba/smb.conf kas ļauj definēt piekļuves un atļauju noteikumus.

Izmantojot īpašu sintaksi, varat definēt koplietojamos resursus, lietotājus/grupas, kas nodrošina piekļuvi šiem resursiem, un to, vai resursu(s) var pārlūkot, rakstīt vai lasīt no tiem. Tālāk ir sniegts sintakses paraugs resursa deklarēšanai un piekļuves vadīklu ieviešanai tajā:

[sambashare]
comment= Samba Example
path = /home/your_username/sambashare
browseable = yes
writable = yes
valid users = @groupname

Iepriekš minētajās rindās mēs pievienojam jaunu koplietošanas vietu ar ceļu un ar derīgiem lietotājiem mēs ierobežojam piekļuvi koplietojumam tikai vienai grupai. Ir vairāki citi veidi, kā definēt vadīklas un piekļuvi koplietojumam. Vairāk par to varat uzzināt mūsu īpašajā rokasgrāmatā par to, kā iestatīt a tīkla koplietojama mape operētājsistēmā Linux ar Samba.

3. Izmantojiet spēcīgas un unikālas paroles MVU lietotāju kontiem

Spēcīgu paroļu politiku ieviešana MVU lietotāju kontiem ir drošības paraugprakse. Kā sistēmas administratoram jums vajadzētu izveidot vai mudināt visus lietotājus izveidot spēcīgas un unikālas paroles saviem kontiem.

Varat arī paātrināt šo procesu, ja automātiski ģenerējot spēcīgas paroles, izmantojot rīkus. Pēc izvēles varat arī regulāri mainīt paroles, lai mazinātu datu noplūdes un nesankcionētas piekļuves risku.

4. Regulāri atjauniniet Linux un Samba

Vienkāršākais pasīvās aizsardzības veids pret visa veida kiberuzbrukumiem ir nodrošināt, ka izmantojat atjauninātas kritiskās programmatūras versijas. MVU ir tendence uz ievainojamību. Tas vienmēr ir ienesīgs mērķis uzbrucējiem.

Ir bijuši vairāki kritiskās MVU ievainojamības pagātnē kas noved pie pilnīgas sistēmas pārņemšanas vai konfidenciālu datu zaudēšanas. Jums ir jāatjaunina gan operētājsistēma, gan tajā esošie svarīgie pakalpojumi.

5. Neizmantojiet SMBv1 protokolu

SMBv1 ir nedrošs protokols. Vienmēr, kad izmantojat SMB, neatkarīgi no tā, vai tas ir operētājsistēmā Windows vai Linux, jums vajadzētu izvairīties no SMBv1 un izmantot tikai SMBv2 un jaunākas versijas. Lai atspējotu SMBv1 protokolu, pievienojiet šo rindiņu konfigurācijas failam:

min protocol = SMB2

Tas nodrošina, ka minimālais izmantotā protokola līmenis ir SMBv2.

6. Ieviesiet ugunsmūra noteikumus, lai ierobežotu piekļuvi SMB portiem

Konfigurējiet tīkla ugunsmūri, lai atļautu piekļuvi SMB portiem, parasti portam 139 un portam 445, tikai no uzticamiem avotiem. Tas palīdz novērst nesankcionētu piekļuvi un samazina uz SMB balstītu uzbrukumu risku no ārējiem draudiem.

Jums vajadzētu arī apsvērt IDS risinājuma instalēšana kopā ar īpašu ugunsmūri, lai labāk kontrolētu un reģistrētu trafiku. Vai neesat pārliecināts, kuru ugunsmūri izmantot? Jūs varat atrast sev piemērotu no saraksta labākie lietojamie bezmaksas Linux ugunsmūri.

7. Ieviesiet tīkla segmentāciju, lai izolētu SMB trafiku no neuzticamiem tīkliem

Tīkla segmentēšana ir paņēmiens, kā vienu monolītu datortīkla modeli sadalīt vairākos apakštīklos, no kuriem katru sauc par tīkla segmentu. Tas tiek darīts, lai uzlabotu tīkla drošību, veiktspēju un vadāmību.

Lai izolētu SMB trafiku no neuzticamiem tīkliem, varat izveidot atsevišķu tīkla segmentu SMB trafikam un konfigurēt ugunsmūra noteikumus, lai atļautu tikai SMB trafiku uz šo segmentu un no tā. Tas ļauj mērķtiecīgi pārvaldīt un pārraudzīt SMB trafiku.

Operētājsistēmā Linux varat izmantot iptables vai līdzīgu tīkla rīku, lai konfigurētu ugunsmūra noteikumus, lai kontrolētu trafika plūsmu starp tīkla segmentiem. Varat izveidot kārtulas, lai atļautu SMB trafiku uz un no SMB tīkla segmenta, vienlaikus bloķējot visu pārējo trafiku. Tas efektīvi izolēs SMB trafiku no neuzticamiem tīkliem.

8. Pārraugiet SMB žurnālus, lai atklātu aizdomīgas darbības un drošības incidentus

SMB žurnālu pārraudzība, lai atklātu aizdomīgas darbības un drošības incidentus, ir svarīga tīkla drošības uzturēšanas sastāvdaļa. SMB žurnālos ir informācija par SMB trafiku, tostarp piekļuvi failiem, autentifikāciju un citus notikumus. Regulāri pārraugot šos žurnālus, varat identificēt iespējamos drošības apdraudējumus un tos mazināt.

Operētājsistēmā Linux varat izmantot komanda journalctl un novadiet tā izvadi uz grep komanda lai skatītu un analizētu SMB žurnālus.

journalctl -u smbd.service

Tiks parādīti žurnāli smbd.service vienība, kas ir atbildīga par MVU trafika pārvaldību. Jūs varat izmantot -f iespēja sekot žurnāliem reāllaikā vai izmantot -r iespēja vispirms skatīt jaunākos ierakstus.

Lai žurnālos meklētu konkrētus notikumus vai modeļus, ievadiet komandas journalctl izvadi uz grep. Piemēram, lai meklētu neveiksmīgus autentifikācijas mēģinājumus, palaidiet:

journalctl -u smbd.service | grep -i "authentication failure"

Tiks parādīti visi žurnāla ieraksti, kuros ir teksts "autentifikācijas kļūme", kas ļauj ātri identificēt aizdomīgas darbības vai brutāla spēka mēģinājumus.

9. Ierobežojiet viesu piekļuves un anonīmo savienojumu izmantošanu

Viesu piekļuves iespējošana ļauj lietotājiem izveidot savienojumu ar Samba serveri, nenorādot lietotājvārdu vai parole, savukārt anonīmie savienojumi ļauj lietotājiem izveidot savienojumu, nenodrošinot nekādu autentifikāciju informāciju.

Abas šīs iespējas var radīt drošības risku, ja tās netiek pareizi pārvaldītas. Ieteicams izslēgt abus. Lai to izdarītu, Samba konfigurācijas failā ir jāpievieno vai jāmaina dažas rindiņas. Lūk, kas jums jāpievieno/ jāmaina globālajā sadaļā smb.conf fails:

map to guest = never
restrict anonymous = 2

10. Ieviesiet uz saimniekdatora balstītus ierobežojumus

Pēc noklusējuma atklātajam Samba serverim var piekļūt jebkurš saimniekdators (IP adrese) bez ierobežojumiem. Ar piekļuvi ir paredzēts izveidot savienojumu, nevis burtiski piekļūt resursiem.

Lai atļautu piekļuvi noteiktiem saimniekiem un liegtu atpūtu, varat izmantot saimnieki atļauj un saimnieki noliedz iespējas. Tālāk ir norādīta sintakse, kas jāpievieno konfigurācijas failam, lai atļautu/liegtu saimniekdatorus:

hosts allow = 127.0.0.1 192.168.1.0/24
hosts deny = 0.0.0.0/0

Šeit jūs pavēlējat Samba liegt visus savienojumus, izņemot vietējā resursdatora un 192.168.1.0/24 tīkla savienojumus. Tas ir viens no pamatprincipiem veidi, kā nodrošināt SSH serveri arī.

Tagad jūs zināt, kā nodrošināt savu Samba Linux serveri

Linux ir lieliski piemērots serveru mitināšanai. Tomēr ikreiz, kad jums ir darīšana ar serveriem, jums ir jārīkojas uzmanīgi un jābūt īpaši uzmanīgiem, jo ​​Linux serveri vienmēr ir ienesīgs mērķis apdraudējuma dalībniekiem.

Ir ļoti svarīgi, lai jūs pieliktu patiesas pūles tīkla stiprināšanai un Linux serveru nostiprināšanai. Papildus pareizai Samba konfigurēšanai ir arī daži citi pasākumi, kas jums jāveic, lai nodrošinātu, ka jūsu Linux serveris ir drošībā no pretinieku krustpunkta.