Ако хостујете Самба сервер, важно је да посветите додатну пажњу заштити сервера од противника.

Кључне Такеаваис

  • Омогућите шифровање за СМБ саобраћај да бисте спречили неовлашћени приступ и сајбер нападе. Користите безбедност транспортног слоја (ТЛС) да бисте заштитили саобраћај вашег Линук Самба сервера.
  • Имплементирајте строге контроле приступа и дозволе за дељене ресурсе користећи /етц/самба/смб.цонф конфигурациону датотеку. Дефинишите правила за приступ, дозволе и ограничења како бисте осигурали да само овлашћени корисници могу да приступе ресурсима.
  • Примените јаке и јединствене лозинке за СМБ корисничке налоге да бисте побољшали безбедност. Редовно ажурирајте Линук и Самбу да бисте се заштитили од рањивости и сајбер напада и избегавајте коришћење несигурног СМБв1 протокола.
  • Конфигуришите правила заштитног зида да бисте ограничили приступ СМБ портовима и размотрите сегментацију мреже да бисте изоловали СМБ саобраћај од непоузданих мрежа. Надгледајте евиденцију СМБ-а за сумњиве активности и безбедносне инциденте и ограничите приступ гостију и анонимне везе.
    • instagram viewer
  • Примените ограничења заснована на хосту да бисте контролисали приступ одређеним хостовима и забранили приступ другима. Предузмите додатне мере безбедности да бисте ојачали своју мрежу и ојачали своје Линук сервере.

СМБ (Сервер Мессаге Блоцк) протокол је камен темељац дељења датотека и штампача у повезаним окружењима. Међутим, подразумевана конфигурација Самбе може представљати значајне безбедносне ризике, остављајући вашу мрежу рањивом на неовлашћени приступ и сајбер нападе.

Ако хостујете Самба сервер, морате бити посебно опрезни са конфигурацијама које сте поставили. Ево 10 критичних корака како бисте осигурали да ваш СМБ сервер остане безбедан и заштићен.

1. Омогући шифровање за СМБ саобраћај

Подразумевано, СМБ саобраћај није шифрован. Ово можете проверити путем хватање мрежних пакета помоћу тцпдумп или Виресхарк. Најважније је да шифрујете сав саобраћај како бисте спречили нападача да пресретне и анализира саобраћај.

Препоручује се да подесите Транспорт Лаиер Сецурити (ТЛС) да шифрујете и обезбедите саобраћај вашег Линук Самба сервера.

2. Примените строге контроле приступа и дозволе за дељене ресурсе

Требало би да примените строге контроле приступа и дозволе како бисте осигурали да повезани корисници не могу да приступе нежељеним ресурсима. Самба користи централну конфигурациону датотеку /etc/samba/smb.conf који вам омогућава да дефинишете правила за приступ и дозволе.

Користећи специјалну синтаксу, можете дефинисати ресурсе за дељење, кориснике/групе да дају приступ тим ресурсима и да ли се ресурси могу претраживати, уписивати или читати из њих. Ево примера синтаксе за декларисање ресурса и имплементацију контрола приступа на њему:

[sambashare]
comment= Samba Example
path = /home/your_username/sambashare
browseable = yes
writable = yes
valid users = @groupname

У горњим редовима додајемо нову локацију дељења са путањом и са важећим корисницима ограничавамо приступ дељењу само на једну групу. Постоји много других начина да дефинишете контроле и приступ дељењу. Можете сазнати више о томе из нашег наменског водича о томе како да подесите а мрежна дељена фасцикла на Линук-у са Самбом.

3. Користите јаке и јединствене лозинке за СМБ корисничке налоге

Примена чврстих политика лозинки за СМБ корисничке налоге је основна најбоља безбедносна пракса. Као систем администратор, требало би да креирате или подстакнете све кориснике да креирају јаке и јединствене лозинке за своје налоге.

Такође можете убрзати овај процес аутоматско генерисање јаких лозинки помоћу алата. Опционо, такође можете редовно да ротирате лозинке да бисте смањили ризик од цурења података и неовлашћеног приступа.

4. Редовно ажурирајте Линук и Самбу

Најједноставнији облик пасивне одбране од свих врста сајбер напада је осигурање да користите ажуриране верзије критичног софтвера. СМБ је склона рањивостима. То је увек уносна мета за нападаче.

Било их је вишеструко критичне рањивости малих и средњих предузећа у прошлости које доводе до потпуног преузимања система или губитка поверљивих података. Морате да ажурирате и свој оперативни систем и критичне услуге на њему.

5. Избегавајте коришћење СМБв1 протокола

СМБв1 је несигуран протокол. Увек се препоручује да када год користите СМБ, било да је то на Виндовс-у или Линук-у, избегавате коришћење СМБв1 и користите само СМБв2 и новије. Да бисте онемогућили СМБв1 протокол, додајте овај ред у конфигурациону датотеку:

min protocol = SMB2

Ово осигурава да минимални ниво протокола који се користи буде СМБв2.

6. Примените правила заштитног зида да бисте ограничили приступ СМБ портовима

Конфигуришите заштитни зид ваше мреже да бисте дозволили приступ СМБ портовима, обично порту 139 и порту 445 само из поузданих извора. Ово помаже у спречавању неовлашћеног приступа и смањује ризик од спољних претњи од СМБ базираних напада.

Такође би требало да размислите инсталирање ИДС решења заједно са наменским заштитним зидом за бољу контролу и евидентирање саобраћаја. Нисте сигурни који заштитни зид да користите? Можете пронаћи ону која вам одговара са листе најбољи бесплатни Линук заштитни зидови за употребу.

7. Имплементирајте сегментацију мреже да бисте изоловали СМБ саобраћај од непоузданих мрежа

Сегментација мреже је техника поделе једног монолитног модела рачунарске мреже на више подмрежа, од којих се свака назива мрежни сегмент. Ово се ради да би се побољшала безбедност, перформансе и управљивост мреже.

Да бисте изоловали СМБ саобраћај од непоузданих мрежа, можете да креирате посебан мрежни сегмент за СМБ саобраћај и да конфигуришете правила заштитног зида да дозвољавају само СМБ саобраћај ка и из овог сегмента. Ово вам омогућава да управљате и надгледате СМБ саобраћај на фокусиран начин.

На Линук-у можете користити иптаблес или сличан алат за умрежавање да бисте конфигурисали правила заштитног зида за контролу тока саобраћаја између сегмената мреже. Можете да креирате правила која дозвољавају СМБ саобраћај ка и из сегмента СМБ мреже док блокирате сав други саобраћај. Ово ће ефикасно изоловати СМБ саобраћај од непоузданих мрежа.

8. Пратите евиденцију малих и средњих предузећа за сумњиве активности и безбедносне инциденте

Надгледање евиденције СМБ за сумњиве активности и безбедносне инциденте је важан део одржавања безбедности ваше мреже. СМБ евиденције садрже информације о СМБ саобраћају, укључујући приступ датотекама, аутентификацију и друге догађаје. Редовним праћењем ових евиденција можете идентификовати потенцијалне безбедносне претње и ублажити их.

На Линук-у можете користити команда јоурналцтл и доводе свој излаз до греп команда за преглед и анализу СМБ евиденције.

journalctl -u smbd.service

Ово ће приказати евиденцију за смбд.сервице јединица која је одговорна за управљање СМБ саобраћајем. Можете користити опцију да пратите евиденцију у реалном времену или користите опцију да прво видите најновије уносе.

Да бисте претражили евиденције за одређене догађаје или обрасце, пренесите излаз наредбе јоурналцтл у греп. На пример, да бисте потражили неуспеле покушаје аутентификације, покрените:

journalctl -u smbd.service | grep -i "authentication failure"

Ово ће приказати све уносе дневника који садрже текст „неуспех аутентификације“, што вам омогућава да брзо идентификујете било коју сумњиву активност или покушаје грубе силе.

9. Ограничите употребу гостујућег приступа и анонимних веза

Омогућавање приступа госту омогућава корисницима да се повежу на Самба сервер без давања корисничког имена или лозинку, док анонимне везе омогућавају корисницима да се повежу без обезбеђивања икакве аутентификације информације.

Обе ове опције могу представљати безбедносни ризик ако се њима правилно не управља. Препоручује се да искључите оба. Да бисте то урадили, потребно је да додате или измените неколико редова у Самба конфигурационој датотеци. Ево шта треба да додате/измените у глобалном одељку смб.цонф фајл:

map to guest = never
restrict anonymous = 2

10. Примените ограничења заснована на хосту

Подразумевано, изложеном Самба серверу може приступити било који хост (ИП адреса) без ограничења. Под приступом, подразумева се успостављање везе, а не буквално приступање ресурсима.

Да бисте дозволили приступ одређеним домаћинима и забранили одмор, можете да користите домаћини дозвољавају и домаћини поричу Опције. Ево синтаксе коју треба додати у конфигурациону датотеку да бисте дозволили/одбили хостове:

hosts allow = 127.0.0.1 192.168.1.0/24
hosts deny = 0.0.0.0/0

Овде наређујете Самби да одбије све везе осим оних на локалном хосту и 192.168.1.0/24 мреже. Ово је једно од основних начине да обезбедите свој ССХ сервер такође.

Сада знате како да обезбедите свој Самба Линук сервер

Линук је одличан за хостовање сервера. Међутим, кад год имате посла са серверима, морате пажљиво да ходате и да будете посебно свесни пошто су Линук сервери увек уносна мета за актере претњи.

Најважније је да уложите искрене напоре да ојачате своју мрежу и ојачате своје Линук сервере. Поред правилног конфигурисања Самбе, постоји неколико других мера које треба да предузмете да бисте осигурали да ваш Линук сервер буде безбедан од напада противника.