Ha Samba szervert üzemeltet, fontos, hogy fokozott figyelmet fordítson a szerver megvédésére az ellenfelektől.
Kulcs elvitelek
- Engedélyezze az SMB-forgalom titkosítását az illetéktelen hozzáférés és a kibertámadások megelőzése érdekében. Használja a Transport Layer Security (TLS) szolgáltatást a Linux Samba szerver forgalmának biztosításához.
- Az /etc/samba/smb.conf konfigurációs fájl használatával szigorú hozzáférés-ellenőrzéseket és engedélyeket hajtson végre a megosztott erőforrásokhoz. Határozzon meg szabályokat a hozzáférésre, engedélyekre és korlátozásokra annak biztosítása érdekében, hogy csak a jogosult felhasználók férhessenek hozzá az erőforrásokhoz.
- Erős és egyedi jelszavak kényszerítése az SMB felhasználói fiókokhoz a biztonság fokozása érdekében. Rendszeresen frissítse a Linuxot és a Sambát a sebezhetőségek és a kibertámadások elleni védelem érdekében, és kerülje a nem biztonságos SMBv1 protokoll használatát.
- Állítsa be a tűzfalszabályokat az SMB-portokhoz való hozzáférés korlátozására, és fontolja meg a hálózati szegmentálást, hogy elszigetelje az SMB-forgalmat a nem megbízható hálózatoktól. Figyelemmel kíséri az SMB-naplókat a gyanús tevékenységek és biztonsági incidensek keresésére, valamint korlátozza a vendégek hozzáférését és az anonim kapcsolatokat.
- A gazdagép alapú korlátozások végrehajtása az egyes gazdagépekhez való hozzáférés szabályozásához és mások hozzáférésének megtagadásához. Tegyen további biztonsági intézkedéseket a hálózat megerősítése és a Linux-kiszolgálók keményítése érdekében.
Az SMB (Server Message Block) protokoll a fájl- és nyomtatómegosztás sarokköve a csatlakoztatott környezetekben. A Samba alapértelmezett konfigurációja azonban jelentős biztonsági kockázatokat rejthet magában, így a hálózat sebezhetővé válik az illetéktelen hozzáféréssel és a kibertámadásokkal szemben.
Ha Samba szervert üzemeltet, fokozott óvatossággal kell eljárnia a beállított konfigurációkkal. Íme 10 fontos lépés annak biztosítására, hogy SMB-kiszolgálója továbbra is biztonságos és védett maradjon.
1. Engedélyezze az SMB-forgalom titkosítását
Alapértelmezés szerint az SMB-forgalom nincs titkosítva. Ezzel ellenőrizheti hálózati csomagok rögzítése tcpdump segítségével vagy Wireshark. Rendkívül fontos, hogy minden forgalmat titkosítson, nehogy egy támadó elfogja és elemezze a forgalmat.
Javasoljuk, hogy állítsa be a Transport Layer Security (TLS) szolgáltatást a Linux Samba szerver forgalmának titkosításához és biztonságához.
2. Szigorú hozzáférés-szabályozás és engedélyek alkalmazása a megosztott erőforrásokhoz
Szigorú hozzáférés-ellenőrzéseket és engedélyeket kell bevezetnie annak biztosítására, hogy a csatlakoztatott felhasználók ne férhessenek hozzá a kéretlen erőforrásokhoz. A Samba egy központi konfigurációs fájlt használ /etc/samba/smb.conf amely lehetővé teszi a hozzáférési és engedélyek szabályainak meghatározását.
Speciális szintaxis használatával meghatározhatja a megosztandó erőforrásokat, a felhasználókat/csoportokat, amelyek hozzáférést biztosítanak ezekhez az erőforrásokhoz, és hogy az erőforrás(ok) tallózhatók-e, ráírhatók-e vagy olvashatók-e. Íme a minta szintaxisa egy erőforrás deklarálásához és a hozzáférés-vezérlés megvalósításához:
[sambashare]
comment= Samba Example
path = /home/your_username/sambashare
browseable = yes
writable = yes
valid users = @groupname
A fenti sorokban egy új megosztási helyet adunk hozzá útvonallal, és érvényes felhasználókkal csak egyetlen csoportra korlátozzuk a megosztáshoz való hozzáférést. Számos más módja is van a vezérlők és a megosztásokhoz való hozzáférés meghatározásának. Erről többet megtudhat az a. beállításáról szóló, dedikált útmutatónkban hálózati megosztott mappa Linuxon a Sambával.
3. Használjon erős és egyedi jelszavakat az SMB felhasználói fiókokhoz
A robusztus jelszóházirendek betartatása az SMB felhasználói fiókokhoz alapvető biztonsági bevált gyakorlat. Rendszergazdaként létre kell hoznia, vagy minden felhasználót arra kell ösztönöznie, hogy hozzon létre erős és egyedi jelszavakat a fiókjaihoz.
Ezt a folyamatot úgy is felgyorsíthatja erős jelszavak automatikus generálása eszközök segítségével. Opcionálisan rendszeresen váltogathatja a jelszavakat az adatszivárgás és az illetéktelen hozzáférés kockázatának csökkentése érdekében.
4. Rendszeresen frissítse a Linuxot és a Sambát
A passzív védekezés legegyszerűbb formája mindenféle kibertámadással szemben, ha gondoskodik a kritikus szoftverek frissített verzióiról. Az SMB hajlamos a sebezhetőségekre. Mindig jövedelmező célpont a támadók számára.
Több is volt már kritikus SMB biztonsági rések a múltban amelyek a rendszer teljes átvételéhez vagy a bizalmas adatok elvesztéséhez vezetnek. Az operációs rendszert és a rajta lévő kritikus szolgáltatásokat is naprakészen kell tartania.
5. Kerülje az SMBv1 protokoll használatát
Az SMBv1 egy nem biztonságos protokoll. Mindig ajánlott, hogy amikor SMB-t használ, legyen az Windows vagy Linux rendszeren, kerülje az SMBv1 használatát, és csak az SMBv2-t és újabbakat használja. Az SMBv1 protokoll letiltásához adja hozzá ezt a sort a konfigurációs fájlhoz:
min protocol = SMB2Ez biztosítja, hogy a használt protokoll minimális szintje az SMBv2 legyen.
6. Tűzfalszabályok érvényesítése az SMB-portokhoz való hozzáférés korlátozása érdekében
Állítsa be a hálózat tűzfalát úgy, hogy az SMB-portokhoz – általában a 139-es és a 445-ös portokhoz – csak megbízható forrásból férhessen hozzá. Ez segít megelőzni az illetéktelen hozzáférést, és csökkenti a külső fenyegetések SMB-alapú támadásainak kockázatát.
Azt is mérlegelnie kell IDS megoldás telepítése dedikált tűzfallal együtt a forgalom jobb ellenőrzése és naplózása érdekében. Nem biztos abban, hogy melyik tűzfalat használja? A listából megtalálhatja az Önnek megfelelőt a legjobb ingyenes Linux tűzfalak.
7. Hálózati szegmentáció megvalósítása az SMB-forgalom nem megbízható hálózatoktól való elkülönítésére
A hálózati szegmentáció egy számítógépes hálózat egyetlen monolitikus modelljének több alhálózatra történő felosztásának technikája, amelyek mindegyikét hálózati szegmensnek nevezik. Ennek célja a hálózat biztonságának, teljesítményének és kezelhetőségének javítása.
Az SMB-forgalom nem megbízható hálózatoktól való elkülönítéséhez külön hálózati szegmenst hozhat létre az SMB-forgalom számára, és úgy konfigurálhatja a tűzfalszabályokat, hogy csak ebbe a szegmensbe engedjék át az SMB-forgalmat. Ez lehetővé teszi az SMB-forgalom célzott kezelését és figyelését.
Linuxon az iptables vagy egy hasonló hálózati eszköz segítségével tűzfalszabályokat konfigurálhat a hálózati szegmensek közötti forgalom szabályozására. Létrehozhat olyan szabályokat, amelyek lehetővé teszik az SMB-forgalmat az SMB-hálózati szegmens felé és onnan, miközben blokkolja az összes többi forgalmat. Ez hatékonyan elszigeteli az SMB-forgalmat a nem megbízható hálózatoktól.
8. Figyelje az SMB-naplókat a gyanús tevékenységek és biztonsági események miatt
Az SMB-naplók gyanús tevékenységek és biztonsági incidensek figyelése fontos része a hálózat biztonságának megőrzésének. Az SMB-naplók információkat tartalmaznak az SMB-forgalomról, beleértve a fájlhozzáférést, a hitelesítést és más eseményeket. A naplók rendszeres figyelésével azonosíthatja a lehetséges biztonsági fenyegetéseket, és mérsékelheti azokat.
Linuxon használhatod a Journalctl parancs és a kimenetét a grep parancsot az SMB-naplók megtekintéséhez és elemzéséhez.
journalctl -u smbd.serviceEz megjeleníti a naplókat smbd.service az SMB forgalom kezeléséért felelős egység. Használhatja a -f lehetőség a naplók valós idejű követésére, vagy a -r lehetőséget, hogy először a legfrissebb bejegyzéseket tekintse meg.
Ha konkrét eseményeket vagy mintákat szeretne keresni a naplókban, írja be a journalctl parancs kimenetét a grepbe. Például a sikertelen hitelesítési kísérletek kereséséhez futtassa a következőt:
journalctl -u smbd.service | grep -i "authentication failure"Ez megjeleníti az összes olyan naplóbejegyzést, amely a „hitelesítési hiba” szöveget tartalmazza, lehetővé téve a gyanús tevékenységek vagy a brutális erőszakos kísérletek gyors azonosítását.
9. Korlátozza a vendéghozzáférés és az anonim kapcsolatok használatát
A vendég hozzáférés engedélyezése lehetővé teszi a felhasználók számára, hogy felhasználói név megadása nélkül csatlakozzanak a Samba szerverhez jelszót, míg az anonim kapcsolatok lehetővé teszik a felhasználók számára, hogy hitelesítés nélkül csatlakozzanak információ.
Mindkét lehetőség biztonsági kockázatot jelenthet, ha nem kezelik megfelelően. Javasoljuk, hogy mindkettőt kapcsolja ki. Ehhez hozzá kell adni vagy módosítani kell néhány sort a Samba konfigurációs fájljában. Íme, mit kell hozzáadnia/módosítania a globális részében smb.conf fájl:
map to guest = never
restrict anonymous = 210. Host-alapú korlátozások alkalmazása
Alapértelmezés szerint a kitett Samba-kiszolgálót bármely gazdagép (IP-cím) korlátozás nélkül elérheti. A hozzáférés alatt azt értjük, hogy kapcsolatot hozunk létre, nem pedig szó szerint az erőforrásokhoz való hozzáférést.
Adott gazdagépekhez való hozzáférés engedélyezéséhez és a pihenés megtagadásához használhatja a a házigazdák megengedik és a házigazdák tagadják lehetőségek. Az alábbi szintaxist kell hozzáadni a konfigurációs fájlhoz a gazdagépek engedélyezéséhez/megtagadásához:
hosts allow = 127.0.0.1 192.168.1.0/24
hosts deny = 0.0.0.0/0Itt megparancsolja a Sambának, hogy tiltson le minden kapcsolatot, kivéve a helyi gazdagép és a 192.168.1.0/24 hálózat kapcsolatait. Ez az egyik alapvető az SSH-kiszolgáló biztonságának módjait is.
Most már tudja, hogyan védheti meg Samba Linux szerverét
A Linux kiválóan alkalmas szerverek tárolására. Ha azonban szerverekkel van dolgod, óvatosan kell járnod, és fokozottan ügyelned kell, mivel a Linux-kiszolgálók mindig jövedelmező célpontok a fenyegetések szereplői számára.
Rendkívül fontos, hogy őszinte erőfeszítéseket tegyen a hálózat megerősítésére és a Linux-kiszolgálók keményítésére. A Samba megfelelő beállításán kívül van néhány egyéb intézkedés, amelyet meg kell tennie annak biztosítására, hogy Linux-kiszolgálója biztonságban legyen az ellenfelek célkeresztjétől.