Jei priglobiate „Samba“ serverį, svarbu skirti daugiau dėmesio serverio apsaugai nuo priešų.

Key Takeaways

  • Įgalinkite SMB srauto šifravimą, kad išvengtumėte neteisėtos prieigos ir kibernetinių atakų. Naudokite Transport Layer Security (TLS), kad apsaugotumėte savo Linux Samba serverio srautą.
  • Įdiekite griežtą bendrinamų išteklių prieigos kontrolę ir leidimus naudodami /etc/samba/smb.conf konfigūracijos failą. Apibrėžkite prieigos, leidimų ir apribojimų taisykles, kad tik įgalioti vartotojai galėtų pasiekti išteklius.
  • Įveskite stiprius ir unikalius SMB vartotojų paskyrų slaptažodžius, kad padidintumėte saugumą. Reguliariai atnaujinkite „Linux“ ir „Samba“, kad apsisaugotumėte nuo pažeidžiamumų ir kibernetinių atakų, ir nenaudokite nesaugaus SMBv1 protokolo.
  • Sukonfigūruokite ugniasienės taisykles, kad apribotumėte prieigą prie SMB prievadų, ir apsvarstykite tinklo segmentavimą, kad atskirtumėte SMB srautą nuo nepatikimų tinklų. Stebėkite SMB žurnalus, ar nėra įtartinos veiklos ir saugumo incidentų, ir apribokite svečių prieigą bei anoniminius ryšius.
    • instagram viewer
  • Įdiekite prieglobos apribojimus, kad galėtumėte valdyti prieigą prie konkrečių prieglobų ir uždrausti prieigą kitiems. Imkitės papildomų saugos priemonių, kad sustiprintumėte tinklą ir sustiprintumėte Linux serverius.

SMB (Server Message Block) protokolas yra kertinis failų ir spausdintuvų bendrinimo prijungtose aplinkose akmuo. Tačiau numatytoji „Samba“ konfigūracija gali kelti didelį pavojų saugumui, todėl jūsų tinklas gali būti pažeidžiamas neteisėtos prieigos ir kibernetinių atakų.

Jei priglobiate „Samba“ serverį, turite būti ypač atsargūs su konfigūracijomis, kurias nustatėte. Štai 10 svarbių veiksmų, kad jūsų SMB serveris išliktų saugus ir apsaugotas.

1. Įgalinti SMB srauto šifravimą

Pagal numatytuosius nustatymus SMB srautas nėra užšifruotas. Tai galite patikrinti naudodami tinklo paketų fiksavimas naudojant tcpdump arba Wireshark. Labai svarbu užšifruoti visą srautą, kad užpuolikas negalėtų perimti ir analizuoti srauto.

Norint užšifruoti ir apsaugoti „Linux Samba“ serverio srautą, rekomenduojama nustatyti Transport Layer Security (TLS).

2. Įdiekite griežtą bendrinamų išteklių prieigos kontrolę ir leidimus

Turėtumėte įdiegti griežtą prieigos kontrolę ir leidimus, kad prisijungę vartotojai negalėtų pasiekti nepageidaujamų išteklių. Samba naudoja centrinį konfigūracijos failą /etc/samba/smb.conf kuri leidžia apibrėžti prieigos ir leidimų taisykles.

Naudodami specialią sintaksę galite apibrėžti išteklius, kuriuos norite bendrinti, vartotojus / grupes, kad suteiktų prieigą prie tų išteklių, ir tai, ar išteklius (-ius) galima naršyti, įrašyti ar skaityti. Štai sintaksės pavyzdys, kaip deklaruoti išteklius ir įdiegti jo prieigos valdiklius:

[sambashare]
comment= Samba Example
path = /home/your_username/sambashare
browseable = yes
writable = yes
valid users = @groupname

Aukščiau pateiktose eilutėse pridedame naują bendrinimo vietą su keliu ir su galiojančiais vartotojais apribojame prieigą prie bendrinimo tik vienai grupei. Yra keletas kitų būdų, kaip apibrėžti valdiklius ir prieigą prie bendrinimo. Daugiau apie tai galite sužinoti iš mūsų skirto vadovo, kaip nustatyti a tinklo bendrinamas aplankas „Linux“ su „Samba“..

3. Naudokite stiprius ir unikalius slaptažodžius SMB vartotojų paskyroms

Tvirta slaptažodžių politika SMB vartotojų paskyroms yra pagrindinė geriausia saugumo praktika. Kaip sistemos administratorius, turėtumėte sukurti arba paraginti visus vartotojus sukurti tvirtus ir unikalius savo paskyrų slaptažodžius.

Taip pat galite pagreitinti šį procesą automatiškai generuoja stiprius slaptažodžius naudojant įrankius. Pasirinktinai taip pat galite reguliariai keisti slaptažodžius, kad sumažintumėte duomenų nutekėjimo ir neteisėtos prieigos riziką.

4. Reguliariai atnaujinkite Linux ir Samba

Paprasčiausia pasyvios gynybos nuo visų rūšių kibernetinių atakų forma yra užtikrinti, kad naudojate atnaujintas svarbios programinės įrangos versijas. SMB yra linkęs į pažeidžiamumą. Tai visada yra pelningas užpuolikų taikinys.

Yra buvę keli kritinių SMB pažeidžiamumų praeityje dėl kurių sistema visiškai perima arba prarandami konfidencialūs duomenys. Turite atnaujinti operacinę sistemą ir svarbiausias joje esančias paslaugas.

5. Venkite naudoti SMBv1 protokolą

SMBv1 yra nesaugus protokolas. Visada rekomenduojama, kad naudojant SMB, nesvarbu, ar tai būtų „Windows“ ar „Linux“, turėtumėte vengti naudoti SMBv1 ir naudoti tik SMBv2 ir naujesnes versijas. Norėdami išjungti SMBv1 protokolą, pridėkite šią eilutę prie konfigūracijos failo:

min protocol = SMB2

Tai užtikrina, kad minimalus naudojamas protokolo lygis būtų SMBv2.

6. Vykdykite ugniasienės taisykles, kad apribotumėte prieigą prie SMB prievadų

Sukonfigūruokite tinklo ugniasienę, kad būtų galima pasiekti SMB prievadus, paprastai 139 ir 445 prievadus, tik iš patikimų šaltinių. Tai padeda išvengti neteisėtos prieigos ir sumažina išorinių grėsmių SMB atakų riziką.

Taip pat turėtumėte apsvarstyti įdiegiant IDS sprendimą kartu su specialia užkarda, kad būtų galima geriau valdyti ir registruoti srautą. Nežinote, kurią ugniasienę naudoti? Galite rasti jums tinkantį iš sąrašo geriausios nemokamos Linux ugniasienės.

7. Įdiekite tinklo segmentavimą, kad atskirtumėte SMB srautą nuo nepatikimų tinklų

Tinklo segmentavimas yra vieno monolitinio kompiuterių tinklo modelio padalijimo į kelis potinklius, kurių kiekvienas vadinamas tinklo segmentu, metodas. Tai daroma siekiant pagerinti tinklo saugumą, našumą ir valdymą.

Norėdami atskirti SMB srautą nuo nepatikimų tinklų, galite sukurti atskirą tinklo segmentą SMB srautui ir sukonfigūruoti ugniasienės taisykles, kad SMB srautas būtų leidžiamas tik į šį segmentą ir iš jo. Tai leidžia tiksliai valdyti ir stebėti SMB srautą.

„Linux“ sistemoje galite naudoti „iptables“ arba panašų tinklo įrankį, kad sukonfigūruotumėte ugniasienės taisykles, kad valdytumėte srautą tarp tinklo segmentų. Galite sukurti taisykles, leidžiančias SMB srautą į SMB tinklo segmentą ir iš jo, tuo pačiu blokuodami visą kitą srautą. Tai veiksmingai izoliuos SMB srautą nuo nepatikimų tinklų.

8. Stebėkite SMB žurnalus dėl įtartinos veiklos ir saugumo incidentų

SMB žurnalų stebėjimas, ar nėra įtartinos veiklos ir saugumo incidentų, yra svarbi jūsų tinklo saugumo palaikymo dalis. SMB žurnaluose yra informacijos apie SMB srautą, įskaitant prieigą prie failų, autentifikavimą ir kitus įvykius. Reguliariai stebėdami šiuos žurnalus galite nustatyti galimas saugumo grėsmes ir jas sumažinti.

Linux sistemoje galite naudoti „Journalctl“ komanda ir nukreipkite jo išvestį į grep komanda peržiūrėti ir analizuoti SMB žurnalus.

journalctl -u smbd.service

Bus rodomi žurnalai smbd.service padalinys, atsakingas už SMB srauto valdymą. Galite naudoti -f galimybė sekti žurnalus realiuoju laiku arba naudoti -r galimybė pirmiausia peržiūrėti naujausius įrašus.

Norėdami žurnaluose ieškoti konkrečių įvykių ar šablonų, komandos journalctl išvestį įveskite grep. Pavyzdžiui, norėdami ieškoti nepavykusių autentifikavimo bandymų, paleiskite:

journalctl -u smbd.service | grep -i "authentication failure"

Bus rodomi visi žurnalo įrašai, kuriuose yra tekstas „autentifikavimo klaida“, todėl galėsite greitai atpažinti bet kokią įtartiną veiklą ar žiaurios jėgos bandymus.

9. Apribokite svečio prieigos ir anoniminių ryšių naudojimą

Įjungus svečio prieigą, vartotojai gali prisijungti prie „Samba“ serverio nenurodant vartotojo vardo arba slaptažodį, o anoniminiai ryšiai leidžia vartotojams prisijungti be jokio autentifikavimo informacija.

Abi šios parinktys gali kelti pavojų saugumui, jei nebus tinkamai valdomos. Rekomenduojama išjungti abu. Norėdami tai padaryti, Samba konfigūracijos faile turite pridėti arba modifikuoti keletą eilučių. Štai ką reikia pridėti / modifikuoti globalioje skiltyje smb.conf failas:

map to guest = never
restrict anonymous = 2

10. Įdiekite pagrindiniu kompiuteriu pagrįstus apribojimus

Pagal numatytuosius nustatymus atvirą Samba serverį gali pasiekti bet kuris pagrindinis kompiuteris (IP adresas) be apribojimų. Prieiga reiškia ryšį užmegzti, o ne tiesiogine prasme pasiekti išteklius.

Norėdami leisti pasiekti konkrečius pagrindinius kompiuterius ir neleisti ilsėtis, galite pasinaudoti šeimininkai leidžia ir šeimininkai neigia galimybės. Štai sintaksė, kurią reikia pridėti prie konfigūracijos failo, kad būtų galima leisti / atmesti pagrindinius kompiuterius:

hosts allow = 127.0.0.1 192.168.1.0/24
hosts deny = 0.0.0.0/0

Čia jūs įsakote Samba uždrausti visus ryšius, išskyrus vietinio pagrindinio kompiuterio ir 192.168.1.0/24 tinklo ryšius. Tai vienas iš pagrindinių būdai apsaugoti savo SSH serverį taip pat.

Dabar jūs žinote, kaip apsaugoti savo „Samba Linux“ serverį

„Linux“ puikiai tinka serverių prieglobai. Tačiau, kai susiduriate su serveriais, turite elgtis atsargiai ir būti ypač atsargiems, nes „Linux“ serveriai visada yra pelningas grėsmės veikėjų tikslas.

Labai svarbu nuoširdžiai stengtis sustiprinti tinklą ir sustiprinti Linux serverius. Be tinkamo „Samba“ konfigūravimo, yra keletas kitų priemonių, kurių turėtumėte imtis, kad jūsų „Linux“ serveris būtų saugus nuo priešų kryžkelio.