Če gostite strežnik Samba, je pomembno, da dodatno pozornost posvetite zaščiti strežnika pred nasprotniki.

Ključni zaključki

  • Omogočite šifriranje za promet SMB, da preprečite nepooblaščen dostop in kibernetske napade. Uporabite Transport Layer Security (TLS) za zaščito prometa strežnika Linux Samba.
  • Implementirajte strog nadzor dostopa in dovoljenja za vire v skupni rabi z uporabo konfiguracijske datoteke /etc/samba/smb.conf. Določite pravila za dostop, dovoljenja in omejitve, da zagotovite, da lahko samo pooblaščeni uporabniki dostopajo do virov.
  • Za večjo varnost uveljavite močna in edinstvena gesla za uporabniške račune SMB. Redno posodabljajte Linux in Sambo za zaščito pred ranljivostmi in kibernetskimi napadi ter se izogibajte uporabi nevarnega protokola SMBv1.
  • Konfigurirajte pravila požarnega zidu, da omejite dostop do vrat SMB, in razmislite o segmentaciji omrežja, da izolirate promet SMB od nezaupljivih omrežij. Spremljajte dnevnike SMB glede sumljivih dejavnosti in varnostnih incidentov ter omejite dostop gostov in anonimne povezave.
    • instagram viewer
  • Izvedite omejitve na podlagi gostitelja za nadzor dostopa do določenih gostiteljev in onemogočanje dostopa drugim. Sprejmite dodatne varnostne ukrepe, da okrepite svoje omrežje in okrepite svoje strežnike Linux.

Protokol SMB (Server Message Block) je temelj skupne rabe datotek in tiskalnikov v povezanih okoljih. Vendar lahko privzeta konfiguracija Sambe predstavlja veliko varnostno tveganje, zaradi česar je vaše omrežje ranljivo za nepooblaščen dostop in kibernetske napade.

Če gostite strežnik Samba, morate biti še posebej previdni pri konfiguracijah, ki ste jih nastavili. Tukaj je 10 kritičnih korakov za zagotovitev, da vaš strežnik SMB ostane varen in zaščiten.

1. Omogoči šifriranje za promet SMB

Privzeto promet SMB ni šifriran. To lahko preverite z zajemanje omrežnih paketov s tcpdump ali Wireshark. Zelo pomembno je, da šifrirate ves promet, da preprečite napadalcu prestrezanje in analizo prometa.

Priporočamo, da nastavite varnost transportnega sloja (TLS) za šifriranje in zaščito prometa strežnika Linux Samba.

2. Izvedite strog nadzor dostopa in dovoljenja za vire v skupni rabi

Uvesti morate strog nadzor dostopa in dovoljenja, da zagotovite, da povezani uporabniki ne morejo dostopati do nezaželenih virov. Samba uporablja osrednjo konfiguracijsko datoteko /etc/samba/smb.conf ki vam omogoča, da določite pravila za dostop in dovoljenja.

S posebno sintakso lahko definirate vire za skupno rabo, uporabnike/skupine, ki jim omogočite dostop do teh virov, in ali je po virih mogoče brskati, vanje pisati ali brati. Tukaj je vzorčna sintaksa za deklariranje vira in izvajanje nadzora dostopa do njega:

[sambashare]
comment= Samba Example
path = /home/your_username/sambashare
browseable = yes
writable = yes
valid users = @groupname

V zgornje vrstice dodamo novo deljeno mesto s potjo in z veljavnimi uporabniki omejimo dostop do deljenja samo eni skupini. Obstaja več drugih načinov za definiranje kontrolnikov in dostopa do skupne rabe. Več o tem lahko izveste iz našega posebnega vodnika o tem, kako nastaviti a omrežna mapa v skupni rabi v sistemu Linux s programom Samba.

3. Uporabite močna in edinstvena gesla za uporabniške račune SMB

Uveljavljanje robustnih politik gesel za uporabniške račune SMB je najboljša temeljna varnostna praksa. Kot skrbnik sistema bi morali ustvariti ali pozvati vse uporabnike, da ustvarijo močna in edinstvena gesla za svoje račune.

Ta postopek lahko tudi pospešite tako, da samodejno generiranje močnih gesel z uporabo orodij. Po želji lahko tudi redno izmenjujete gesla, da zmanjšate tveganje uhajanja podatkov in nepooblaščenega dostopa.

4. Redno posodabljajte Linux in Sambo

Najenostavnejša oblika pasivne obrambe pred vsemi vrstami kibernetskih napadov je zagotavljanje, da uporabljate posodobljene različice kritične programske opreme. SMB je nagnjena k ranljivostim. Vedno je donosna tarča za napadalce.

Bilo jih je več kritične ranljivosti SMB v preteklosti ki vodijo do popolnega prevzema sistema ali izgube zaupnih podatkov. Svoj operacijski sistem in kritične storitve v njem morate posodabljati.

5. Izogibajte se uporabi protokola SMBv1

SMBv1 je nevaren protokol. Vedno je priporočljivo, da se vedno, ko uporabljate SMB, naj bo to v sistemu Windows ali Linux, izogibate uporabi SMBv1 in uporabljate samo SMBv2 in novejše. Če želite onemogočiti protokol SMBv1, dodajte to vrstico v konfiguracijsko datoteko:

min protocol = SMB2

To zagotavlja, da bo najnižja uporabljena raven protokola SMBv2.

6. Uveljavite pravila požarnega zidu za omejitev dostopa do vrat SMB

Konfigurirajte požarni zid svojega omrežja tako, da dovoli dostop do vrat SMB, na splošno do vrat 139 in vrat 445 samo iz zaupanja vrednih virov. To pomaga preprečiti nepooblaščen dostop in zmanjša tveganje za napade zunanjih groženj, ki temeljijo na SMB.

Upoštevati morate tudi namestitev rešitve IDS skupaj z namenskim požarnim zidom za boljši nadzor in beleženje prometa. Niste prepričani, kateri požarni zid uporabiti? Morda boste na seznamu našli tisto, ki vam ustreza najboljši brezplačni požarni zidovi Linux za uporabo.

7. Izvedite segmentacijo omrežja, da izolirate promet SMB od nezaupljivih omrežij

Segmentacija omrežja je tehnika razdelitve enega samega monolitnega modela računalniškega omrežja na več podomrežij, od katerih se vsako imenuje omrežni segment. To se naredi za izboljšanje varnosti, zmogljivosti in vodljivosti omrežja.

Če želite izolirati promet SMB od omrežij, ki jim ni zaupanja vredna, lahko ustvarite ločen omrežni segment za promet SMB in konfigurirate pravila požarnega zidu, da dovoljujejo samo promet SMB do in iz tega segmenta. To vam omogoča osredotočeno upravljanje in spremljanje prometa SMB.

V sistemu Linux lahko uporabite iptables ali podobno omrežno orodje za konfiguracijo pravil požarnega zidu za nadzor pretoka prometa med segmenti omrežja. Ustvarite lahko pravila, s katerimi dovolite promet SMB v segment omrežja SMB in iz njega, medtem ko blokirate ves drug promet. To bo učinkovito izoliralo promet SMB od nezaupljivih omrežij.

8. Spremljajte dnevnike SMB za sumljive dejavnosti in varnostne incidente

Spremljanje dnevnikov SMB za sumljive dejavnosti in varnostne incidente je pomemben del vzdrževanja varnosti vašega omrežja. Dnevniki SMB vsebujejo informacije o prometu SMB, vključno z dostopom do datotek, preverjanjem pristnosti in drugimi dogodki. Z rednim spremljanjem teh dnevnikov lahko prepoznate morebitne varnostne grožnje in jih ublažite.

V sistemu Linux lahko uporabite ukaz journalctl in napeljite njegov izhod na ukaz grep za ogled in analizo dnevnikov SMB.

journalctl -u smbd.service

To bo prikazalo dnevnike za smbd.service enota, ki je odgovorna za upravljanje SMB prometa. Lahko uporabite -f možnost spremljanja dnevnikov v realnem času ali uporabe -r možnost, da si najprej ogledate najnovejše vnose.

Če želite v dnevnikih poiskati določene dogodke ali vzorce, napeljite izhod ukaza journalctl v grep. Če želite na primer poiskati neuspešne poskuse preverjanja pristnosti, zaženite:

journalctl -u smbd.service | grep -i "authentication failure"

To bo prikazalo vse vnose v dnevnik, ki vsebujejo besedilo "napaka pri preverjanju pristnosti", kar vam bo omogočilo, da hitro prepoznate kakršno koli sumljivo dejavnost ali poskuse brutalne uporabe.

9. Omejite uporabo gostujočega dostopa in anonimnih povezav

Omogočanje gostujočega dostopa omogoča uporabnikom povezavo s strežnikom Samba brez podajanja uporabniškega imena oz geslo, medtem ko anonimne povezave uporabnikom omogočajo povezovanje brez kakršnega koli preverjanja pristnosti informacije.

Obe možnosti lahko predstavljata varnostno tveganje, če ju ne upravljate pravilno. Priporočljivo je, da oboje izklopite. Če želite to narediti, morate dodati ali spremeniti nekaj vrstic v konfiguracijski datoteki Samba. Tukaj je tisto, kar morate dodati/spremeniti v globalnem razdelku smb.conf mapa:

map to guest = never
restrict anonymous = 2

10. Izvedite omejitve na podlagi gostitelja

Privzeto lahko do izpostavljenega strežnika Samba dostopa kateri koli gostitelj (naslov IP) brez omejitev. Z dostopom je mišljeno vzpostaviti povezavo in ne dobesedno dostopati do virov.

Če želite dovoliti dostop do določenih gostiteljev in zavrniti počitek, lahko uporabite gostitelji dovoljujejo in gostitelji zanikajo opcije. Tukaj je sintaksa, ki jo je treba dodati konfiguracijski datoteki za dovoljenje/zavrnitev gostiteljev:

hosts allow = 127.0.0.1 192.168.1.0/24
hosts deny = 0.0.0.0/0

Tu ukazujete Sambi, da zavrne vse povezave razen povezav lokalnega gostitelja in omrežja 192.168.1.0/24. To je eden temeljnih načine za zaščito vašega strežnika SSH preveč.

Zdaj veste, kako zavarovati strežnik Samba Linux

Linux je odličen za gostovanje strežnikov. Kadarkoli imate opravka s strežniki, morate ravnati previdno in biti še posebej pozorni, saj so strežniki Linux vedno donosen cilj za akterje groženj.

Najpomembneje je, da se iskreno potrudite za utrjevanje omrežja in utrjevanje strežnikov Linux. Poleg pravilne konfiguracije Sambe morate sprejeti še nekaj drugih ukrepov, da zagotovite, da bo vaš strežnik Linux varen pred očmi nasprotnikov.