10 начина да обезбедите свој Самба сервер на Линук-у

by
Tweet
Share
Share
Pin

Кључне Такеаваис

  • Омогућите шифровање за СМБ саобраћај да бисте спречили неовлашћени приступ и сајбер нападе. Користите безбедност транспортног слоја (ТЛС) да бисте заштитили саобраћај вашег Линук Самба сервера.
  • Имплементирајте строге контроле приступа и дозволе за дељене ресурсе користећи /етц/самба/смб.цонф конфигурациону датотеку. Дефинишите правила за приступ, дозволе и ограничења како бисте осигурали да само овлашћени корисници могу да приступе ресурсима.
  • Примените јаке и јединствене лозинке за СМБ корисничке налоге да бисте побољшали безбедност. Редовно ажурирајте Линук и Самбу да бисте се заштитили од рањивости и сајбер напада и избегавајте коришћење несигурног СМБв1 протокола.
  • Конфигуришите правила заштитног зида да бисте ограничили приступ СМБ портовима и размотрите сегментацију мреже да бисте изоловали СМБ саобраћај од непоузданих мрежа. Надгледајте евиденцију СМБ-а за сумњиве активности и безбедносне инциденте и ограничите приступ гостију и анонимне везе.
  • Примените ограничења заснована на хосту да бисте контролисали приступ одређеним хостовима и забранили приступ другима. Предузмите додатне мере безбедности да бисте ојачали своју мрежу и ојачали своје Линук сервере.

СМБ (Сервер Мессаге Блоцк) протокол је камен темељац дељења датотека и штампача у повезаним окружењима. Међутим, подразумевана конфигурација Самбе може представљати значајне безбедносне ризике, остављајући вашу мрежу рањивом на неовлашћени приступ и сајбер нападе.

Ако хостујете Самба сервер, морате бити посебно опрезни са конфигурацијама које сте поставили. Ево 10 критичних корака како бисте осигурали да ваш СМБ сервер остане безбедан и заштићен.

  Како играти модерне Виндовс игре на Линук-у са Стеам Плаи-ом

1. Омогућите шифровање за СМБ саобраћај

Подразумевано, СМБ саобраћај није шифрован. Ово можете да проверите тако што ћете ухватити мрежне пакете помоћу тцпдумп или Виресхарк-а. Најважније је да шифрујете сав саобраћај како бисте спречили нападача да пресретне и анализира саобраћај.

Препоручује се да подесите Транспорт Лаиер Сецурити (ТЛС) да шифрујете и обезбедите саобраћај вашег Линук Самба сервера.

2. Имплементирајте строге контроле приступа и дозволе за заједничке ресурсе

Требало би да примените строге контроле приступа и дозволе како бисте осигурали да повезани корисници не могу да приступе нежељеним ресурсима. Самба користи централну конфигурациону датотеку /етц/самба/смб.цонф која вам омогућава да дефинишете правила за приступ и дозволе.

Користећи специјалну синтаксу, можете дефинисати ресурсе за дељење, кориснике/групе да дају приступ тим ресурсима и да ли се ресурси могу претраживати, уписивати или читати из њих. Ево примера синтаксе за декларисање ресурса и имплементацију контрола приступа на њему:

 [sambashare]
comment= Samba Example
path = /home/your_username/sambashare
browseable = yes
writable = yes
valid users = @groupname

У горњим редовима додајемо нову локацију дељења са путањом и са важећим корисницима ограничавамо приступ дељењу само на једну групу. Постоји много других начина да дефинишете контроле и приступ дељењу. Можете сазнати више о томе из нашег наменског водича о томе како да подесите мрежни дељени фолдер на Линук-у помоћу Самбе.

3. Користите јаке и јединствене лозинке за СМБ корисничке налоге

Примена чврстих политика лозинки за СМБ корисничке налоге је основна најбоља безбедносна пракса. Као систем администратор, требало би да креирате или подстакнете све кориснике да креирају јаке и јединствене лозинке за своје налоге.

Такође можете убрзати овај процес аутоматским генерисањем јаких лозинки помоћу алата. Опционо, такође можете редовно да ротирате лозинке да бисте смањили ризик од цурења података и неовлашћеног приступа.

4. Редовно ажурирајте Линук и Самбу

Најједноставнији облик пасивне одбране од свих врста сајбер напада је осигурање да користите ажуриране верзије критичног софтвера. СМБ је склона рањивостима. То је увек уносна мета за нападаче.

У прошлости је било више критичних рањивости малих и средњих предузећа које су довеле до потпуног преузимања система или губитка поверљивих података. Морате да ажурирате и свој оперативни систем и критичне услуге на њему.

  Како направити Дропбок резервни сервер на Линук-у

5. Избегавајте коришћење СМБв1 протокола

СМБв1 је несигуран протокол. Увек се препоручује да када год користите СМБ, било да је то на Виндовс-у или Линук-у, избегавате коришћење СМБв1 и користите само СМБв2 и новије. Да бисте онемогућили СМБв1 протокол, додајте овај ред у конфигурациону датотеку:

 min protocol = SMB2

Ово осигурава да минимални ниво протокола који се користи буде СМБв2.

6. Примените правила заштитног зида да бисте ограничили приступ СМБ портовима

Конфигуришите заштитни зид ваше мреже да бисте дозволили приступ СМБ портовима, обично порту 139 и порту 445 само из поузданих извора. Ово помаже у спречавању неовлашћеног приступа и смањује ризик од спољних претњи од СМБ базираних напада.

Такође би требало да размислите о инсталирању ИДС решења заједно са наменским заштитним зидом да бисте имали бољу контролу и евидентирање саобраћаја. Нисте сигурни који заштитни зид да користите? На листи најбољих бесплатних Линук заштитних зидова можете пронаћи онај који вам одговара.

7. Имплементирајте сегментацију мреже да бисте изоловали СМБ саобраћај од непоузданих мрежа

Сегментација мреже је техника поделе једног монолитног модела рачунарске мреже на више подмрежа, од којих се свака назива мрежни сегмент. Ово се ради да би се побољшала безбедност, перформансе и управљивост мреже.

Да бисте изоловали СМБ саобраћај од непоузданих мрежа, можете да креирате посебан мрежни сегмент за СМБ саобраћај и да конфигуришете правила заштитног зида да дозвољавају само СМБ саобраћај ка и из овог сегмента. Ово вам омогућава да управљате и надгледате СМБ саобраћај на фокусиран начин.

На Линук-у можете користити иптаблес или сличан алат за умрежавање да бисте конфигурисали правила заштитног зида за контролу тока саобраћаја између сегмената мреже. Можете да креирате правила која дозвољавају СМБ саобраћај ка и из сегмента СМБ мреже док блокирате сав други саобраћај. Ово ће ефикасно изоловати СМБ саобраћај од непоузданих мрежа.

8. Надгледајте евиденцију малих и средњих предузећа за сумњиве активности и безбедносне инциденте

Надгледање евиденције СМБ за сумњиве активности и безбедносне инциденте је важан део одржавања безбедности ваше мреже. СМБ евиденције садрже информације о СМБ саобраћају, укључујући приступ датотекама, аутентификацију и друге догађаје. Редовним праћењем ових евиденција можете идентификовати потенцијалне безбедносне претње и ублажити их.

  Како организовати фотографије на Линук-у са Дигикам-ом

На Линук-у можете користити команду јоурналцтл и пренети њен излаз у команду греп да бисте прегледали и анализирали СМБ евиденције.

 journalctl -u smbd.service

Ово ће приказати евиденцију за јединицу смбд.сервице која је одговорна за управљање СМБ саобраћајем. Можете да користите опцију -ф да пратите евиденцију у реалном времену или да користите опцију -р да прво видите најновије уносе.

Да бисте претражили евиденције за одређене догађаје или обрасце, пренесите излаз наредбе јоурналцтл у греп. На пример, да бисте потражили неуспеле покушаје аутентификације, покрените:

 journalctl -u smbd.service | grep -i "authentication failure"

Ово ће приказати све уносе дневника који садрже текст „неуспех аутентификације“, што вам омогућава да брзо идентификујете било коју сумњиву активност или покушаје грубе силе.

9. Ограничите употребу гостујућег приступа и анонимних веза

Омогућавање приступа госту омогућава корисницима да се повежу на Самба сервер без давања корисничког имена или лозинке, док анонимне везе омогућавају корисницима да се повежу без давања икаквих информација о аутентификацији.

Обе ове опције могу представљати безбедносни ризик ако се њима правилно не управља. Препоручује се да искључите оба. Да бисте то урадили, потребно је да додате или измените неколико редова у Самба конфигурационој датотеци. Ево шта треба да додате/измените у глобалном делу датотеке смб.цонф:

 map to guest = never
restrict anonymous = 2

10. Примените ограничења заснована на хосту

Подразумевано, изложеном Самба серверу може приступити било који хост (ИП адреса) без ограничења. Под приступом, подразумева се успостављање везе, а не буквално приступање ресурсима.

Да бисте дозволили приступ одређеним хостовима и забранили одмор, можете користити опције дозвољавања и одбијања хостова. Ево синтаксе коју треба додати у конфигурациону датотеку да бисте дозволили/одбили хостове:

 hosts allow = 127.0.0.1 192.168.1.0/24
hosts deny = 0.0.0.0/0

Овде наређујете Самби да одбије све везе осим оних на локалном хосту и 192.168.1.0/24 мреже. Ово је један од основних начина да обезбедите и ваш ССХ сервер.

Сада знате како да обезбедите свој Самба Линук сервер

Линук је одличан за хостовање сервера. Међутим, кад год имате посла са серверима, морате да ходате пажљиво и да будете посебно свесни пошто су Линук сервери увек уносна мета за актере претњи.

Најважније је да уложите искрене напоре да ојачате своју мрежу и ојачате своје Линук сервере. Осим правилног конфигурисања Самбе, постоји неколико других мера које треба да предузмете да бисте осигурали да ваш Линук сервер буде безбедан од напада противника.