Ak hosťujete server Samba, je dôležité, aby ste venovali zvýšenú pozornosť zabezpečeniu servera pred protivníkmi.

Kľúčové informácie

  • Povoľte šifrovanie pre prevádzku SMB, aby ste zabránili neoprávnenému prístupu a kybernetickým útokom. Použite Transport Layer Security (TLS) na zabezpečenie prevádzky vášho Linux Samba servera.
  • Implementujte prísne kontroly prístupu a povolenia pre zdieľané prostriedky pomocou konfiguračného súboru /etc/samba/smb.conf. Definujte pravidlá pre prístup, povolenia a obmedzenia, aby ste zabezpečili, že k zdrojom budú mať prístup iba oprávnení používatelia.
  • Vynucujte si silné a jedinečné heslá pre používateľské účty SMB na zvýšenie bezpečnosti. Pravidelne aktualizujte Linux a Sambu, aby ste sa chránili pred zraniteľnosťami a kybernetickými útokmi a vyhnite sa používaniu nezabezpečeného protokolu SMBv1.
  • Nakonfigurujte pravidlá brány firewall na obmedzenie prístupu k portom SMB a zvážte segmentáciu siete na izoláciu prenosu SMB od nedôveryhodných sietí. Monitorujte protokoly SMB pre podozrivé aktivity a bezpečnostné incidenty a obmedzte prístup hostí a anonymné pripojenia.
    instagram viewer
  • Implementujte obmedzenia založené na hostiteľoch na kontrolu prístupu ku konkrétnym hostiteľom a odmietnutie prístupu ostatným. Urobte ďalšie bezpečnostné opatrenia na posilnenie vašej siete a posilnenie serverov Linux.

Protokol SMB (Server Message Block) je základným kameňom zdieľania súborov a tlačiarní v prepojených prostrediach. Predvolená konfigurácia Samby však môže predstavovať značné bezpečnostné riziká, vďaka čomu bude vaša sieť zraniteľná voči neoprávnenému prístupu a kybernetickým útokom.

Ak hosťujete server Samba, musíte byť mimoriadne opatrní pri konfiguráciách, ktoré ste nastavili. Tu je 10 dôležitých krokov, ktoré zabezpečia, že váš server SMB zostane bezpečný a chránený.

1. Povoliť šifrovanie pre prevádzku SMB

V predvolenom nastavení nie je prenos SMB šifrovaný. Môžete si to overiť pomocou zachytávanie sieťových paketov pomocou tcpdump alebo Wireshark. Je dôležité, aby ste zašifrovali všetku komunikáciu, aby ste zabránili útočníkovi zachytiť a analyzovať prenos.

Odporúča sa, aby ste si nastavili Transport Layer Security (TLS) na šifrovanie a zabezpečenie prevádzky vášho Linux Samba servera.

2. Implementujte prísne kontroly prístupu a povolenia pre zdieľané zdroje

Mali by ste implementovať prísne kontroly prístupu a povolenia, aby ste zaistili, že pripojení používatelia nebudú môcť pristupovať k nevyžiadaným zdrojom. Samba používa centrálny konfiguračný súbor /etc/samba/smb.conf ktorý vám umožňuje definovať pravidlá pre prístup a povolenia.

Pomocou špeciálnej syntaxe môžete definovať prostriedky na zdieľanie, používateľov/skupiny, ktorým chcete poskytnúť prístup k týmto zdrojom, a to, či je možné zdroje prehliadať, zapisovať do nich alebo z nich čítať. Tu je vzorová syntax na deklarovanie zdroja a implementáciu riadenia prístupu k nemu:

[sambashare]
comment= Samba Example
path = /home/your_username/sambashare
browseable = yes
writable = yes
valid users = @groupname

Vo vyššie uvedených riadkoch pridávame nové umiestnenie zdieľania s cestou a s platnými používateľmi obmedzujeme prístup k zdieľaniu iba na jednu skupinu. Existuje niekoľko ďalších spôsobov, ako definovať ovládacie prvky a prístup k zdieľanej zložke. Viac sa o tom môžete dozvedieť z nášho špecializovaného sprievodcu, ako nastaviť a sieťovo zdieľaný priečinok v systéme Linux so Sambou.

3. Používajte silné a jedinečné heslá pre používateľské účty SMB

Presadzovanie robustných zásad hesiel pre používateľské účty SMB je základným osvedčeným postupom zabezpečenia. Ako správca systému by ste mali vytvoriť alebo vyzvať všetkých používateľov, aby vytvorili silné a jedinečné heslá pre svoje účty.

Tento proces môžete tiež urýchliť automatické generovanie silných hesiel pomocou nástrojov. Voliteľne môžete tiež pravidelne striedať heslá, aby ste znížili riziko úniku údajov a neoprávneného prístupu.

4. Pravidelne aktualizujte Linux a Sambu

Najjednoduchšou formou pasívnej obrany proti všetkým druhom kybernetických útokov je zabezpečiť, aby ste používali aktualizované verzie kritického softvéru. SMB sú náchylné na zraniteľnosti. Pre útočníkov je to vždy lukratívny cieľ.

Bolo ich viacero kritické zraniteľnosti SMB v minulosti ktoré vedú k úplnému prevzatiu systému alebo strate dôverných údajov. Váš operačný systém aj kritické služby v ňom musíte udržiavať aktuálne.

5. Vyhnite sa používaniu protokolu SMBv1

SMBv1 je nezabezpečený protokol. Vždy sa odporúča, aby ste sa vždy, keď používate SMB, či už v systéme Windows alebo Linux, vyhýbali používaniu SMBv1 a používali iba SMBv2 a vyššie. Ak chcete zakázať protokol SMBv1, pridajte tento riadok do konfiguračného súboru:

min protocol = SMB2

Tým sa zabezpečí, že minimálna používaná úroveň protokolu bude SMBv2.

6. Presadzujte pravidlá brány firewall na obmedzenie prístupu k portom SMB

Nakonfigurujte bránu firewall vašej siete tak, aby umožňovala prístup k portom SMB, zvyčajne portom 139 a 445, iba z dôveryhodných zdrojov. Pomáha to zabrániť neoprávnenému prístupu a znižuje riziko útokov externých hrozieb založených na SMB.

Mali by ste tiež zvážiť inštalácia riešenia IDS spolu s vyhradenou bránou firewall pre lepšiu kontrolu a zaznamenávanie prevádzky. Nie ste si istí, ktorý firewall použiť? Môžete nájsť ten, ktorý vám vyhovuje zo zoznamu najlepšie bezplatné linuxové brány firewall na použitie.

7. Implementujte segmentáciu siete na izolovanie návštevnosti malých a stredných podnikov od nedôveryhodných sietí

Segmentácia siete je technika rozdelenia jedného monolitického modelu počítačovej siete do viacerých podsietí, z ktorých každá sa nazýva segment siete. Toto sa robí s cieľom zlepšiť bezpečnosť, výkon a spravovateľnosť siete.

Ak chcete izolovať prenos SMB od nedôveryhodných sietí, môžete vytvoriť samostatný segment siete pre prenos SMB a nakonfigurovať pravidlá brány firewall tak, aby umožňovali prenos SMB iba do tohto segmentu az neho. To vám umožňuje cielene riadiť a monitorovať prevádzku SMB.

V systéme Linux môžete použiť iptables alebo podobný sieťový nástroj na konfiguráciu pravidiel brány firewall na riadenie toku prevádzky medzi segmentmi siete. Môžete vytvoriť pravidlá, ktoré povolia návštevnosť SMB do a zo segmentu siete SMB a zároveň zablokujú všetku ostatnú prevádzku. Tým sa účinne izoluje prevádzka SMB od nedôveryhodných sietí.

8. Monitorujte protokoly SMB pre podozrivé aktivity a bezpečnostné incidenty

Sledovanie podozrivých aktivít a bezpečnostných incidentov v protokoloch SMB je dôležitou súčasťou udržiavania bezpečnosti vašej siete. Protokoly SMB obsahujú informácie o prevádzke SMB vrátane prístupu k súborom, overovania a iných udalostí. Pravidelným sledovaním týchto protokolov môžete identifikovať potenciálne bezpečnostné hrozby a zmierniť ich.

V systéme Linux môžete použiť príkaz journalctl a jeho výstup potrubím do príkaz grep na zobrazenie a analýzu denníkov SMB.

journalctl -u smbd.service

Tým sa zobrazia protokoly pre smbd.service jednotka, ktorá je zodpovedná za riadenie prevádzky SMB. Môžete použiť -f možnosť sledovať denníky v reálnom čase alebo použiť -r možnosť zobraziť ako prvé najnovšie záznamy.

Ak chcete v protokoloch vyhľadať špecifické udalosti alebo vzory, prepojte výstup príkazu journalctl do grep. Ak chcete napríklad vyhľadať neúspešné pokusy o overenie, spustite:

journalctl -u smbd.service | grep -i "authentication failure"

Zobrazia sa všetky záznamy denníka, ktoré obsahujú text „zlyhanie overenia“, čo vám umožní rýchlo identifikovať akúkoľvek podozrivú aktivitu alebo pokusy hrubou silou.

9. Obmedzte používanie hosťovského prístupu a anonymných pripojení

Povolenie prístupu hosťa umožňuje používateľom pripojiť sa k serveru Samba bez poskytnutia používateľského mena alebo heslo, zatiaľ čo anonymné pripojenia umožňujú používateľom pripojiť sa bez poskytnutia akejkoľvek autentifikácie informácie.

Obe tieto možnosti môžu predstavovať bezpečnostné riziko, ak nie sú správne spravované. Odporúča sa vypnúť obe tieto možnosti. Ak to chcete urobiť, musíte pridať alebo upraviť niekoľko riadkov v konfiguračnom súbore Samba. Tu je to, čo musíte pridať/upraviť v globálnej časti súboru smb.conf súbor:

map to guest = never
restrict anonymous = 2

10. Implementujte obmedzenia založené na hostiteľoch

V predvolenom nastavení môže byť k exponovanému serveru Samba pristupovaný akýkoľvek hostiteľ (IP adresa) bez obmedzení. Prístupom sa myslí nadviazanie spojenia a nie doslova prístup k zdrojom.

Ak chcete povoliť prístup ku konkrétnym hostiteľom a zakázať odpočinok, môžete použiť hostitelia umožňujú a hostitelia popierajú možnosti. Tu je syntax na pridanie do konfiguračného súboru na povolenie/zakázanie hostiteľov:

hosts allow = 127.0.0.1 192.168.1.0/24
hosts deny = 0.0.0.0/0

Tu prikazujete Sambe, aby zamietla všetky pripojenia okrem pripojenia lokálneho hostiteľa a siete 192.168.1.0/24. Toto je jeden zo základných spôsoby zabezpečenia vášho SSH servera tiež.

Teraz viete, ako zabezpečiť svoj server Samba Linux

Linux je skvelý na hosťovanie serverov. Avšak vždy, keď máte čo do činenia so servermi, musíte postupovať opatrne a byť obzvlášť vedomí, pretože servery Linux sú vždy lukratívnym cieľom pre aktérov hrozieb.

Je prvoradé, aby ste vynaložili úprimné úsilie na posilnenie vašej siete a posilnenie vašich serverov Linux. Okrem správnej konfigurácie Samby existuje niekoľko ďalších opatrení, ktoré by ste mali urobiť, aby ste sa uistili, že váš server Linux je v bezpečí pred zameriavačom protivníkov.