Kui hostite Samba serverit, on oluline pöörata erilist tähelepanu serveri kaitsmisele vastaste eest.

Võtmed kaasavõtmiseks

  • Lubage SMB-liikluse krüpteerimine, et vältida volitamata juurdepääsu ja küberrünnakuid. Kasutage oma Linuxi Samba serveri liikluse kaitsmiseks transpordikihi turvalisust (TLS).
  • Rakendage jagatud ressurssidele ranged juurdepääsukontrollid ja õigused, kasutades konfiguratsioonifaili /etc/samba/smb.conf. Määrake juurdepääsu, lubade ja piirangute reeglid, et tagada ressurssidele juurdepääs ainult volitatud kasutajatele.
  • Turvalisuse suurendamiseks jõustage SMB kasutajakontode jaoks tugevad ja kordumatud paroolid. Haavatavuste ja küberrünnakute eest kaitsmiseks värskendage regulaarselt Linuxit ja Sambat ning vältige ebaturvalise SMBv1 protokolli kasutamist.
  • Konfigureerige tulemüürireeglid, et piirata juurdepääsu SMB-portidele ja kaaluge võrgu segmenteerimist, et isoleerida SMB-liiklus ebausaldusväärsetest võrkudest. Jälgige SMB logisid kahtlaste tegevuste ja turvaintsidentide suhtes ning piirake külaliste juurdepääsu ja anonüümseid ühendusi.
    • instagram viewer
  • Rakendage hostipõhiseid piiranguid, et kontrollida juurdepääsu konkreetsetele hostidele ja keelata juurdepääs teistele. Võtke oma võrgu tugevdamiseks ja Linuxi serverite tugevdamiseks täiendavaid turvameetmeid.

SMB (Server Message Block) protokoll on failide ja printerite jagamise nurgakivi ühendatud keskkondades. Samas võib Samba vaikekonfiguratsioon kaasa tuua olulisi turvariske, muutes teie võrgu volitamata juurdepääsu ja küberrünnakute suhtes haavatavaks.

Kui hostite Samba serverit, peate olema seadistatud konfiguratsioonidega eriti ettevaatlik. Siin on 10 kriitilist sammu, et tagada teie SMB-serveri turvalisus ja kaitse.

1. Luba SMB liikluse krüpteerimine

Vaikimisi ei ole SMB-liiklus krüptitud. Saate seda kontrollida, kui võrgupakettide hõivamine tcpdumpiga või Wireshark. On ülimalt oluline kogu liiklus krüpteerida, et takistada ründajal liiklust pealtkuulamast ja analüüsimast.

Linuxi Samba serveri liikluse krüptimiseks ja kaitsmiseks on soovitatav seadistada transpordikihi turvalisus (TLS).

2. Rakendage jagatud ressursside jaoks rangeid juurdepääsukontrolle ja õigusi

Peaksite rakendama ranged juurdepääsukontrollid ja -load tagamaks, et ühendatud kasutajad ei pääse juurde soovimatutele ressurssidele. Samba kasutab keskset konfiguratsioonifaili /etc/samba/smb.conf mis võimaldab teil määratleda juurdepääsu ja lubade reeglid.

Spetsiaalse süntaksi abil saate määratleda jagatavad ressursid, neile ressurssidele juurdepääsu andvad kasutajad/rühmad ja selle, kas ressursse saab sirvida, sinna kirjutada või sealt lugeda. Siin on näidissüntaks ressursi deklareerimiseks ja sellele juurdepääsu juhtelementide rakendamiseks.

[sambashare]
comment= Samba Example
path = /home/your_username/sambashare
browseable = yes
writable = yes
valid users = @groupname

Ülaltoodud ridadele lisame uue jagamise asukoha koos teega ja kehtivate kasutajatega piirame juurdepääsu jagamisele ainult ühele rühmale. Juhtelementide ja jagamisele juurdepääsu määratlemiseks on veel mitu võimalust. Selle kohta saate lisateavet meie spetsiaalsest juhendist, kuidas seadistada a võrguga jagatud kaust Linuxis koos Sambaga.

3. Kasutage SMB kasutajakontode jaoks tugevaid ja ainulaadseid paroole

Tugeva paroolipoliitika jõustamine SMB kasutajakontode jaoks on turvalisuse parim tava. Süsteemiadministraatorina peaksite looma või kutsuma kõiki kasutajaid üles looma oma kontodele tugevaid ja kordumatuid paroole.

Samuti saate seda protsessi kiirendada tugevate paroolide automaatne genereerimine tööriistade abil. Valikuliselt saate ka regulaarselt paroole vahetada, et vähendada andmelekete ja volitamata juurdepääsu ohtu.

4. Värskendage regulaarselt Linuxit ja Sambat

Lihtsaim passiivse kaitse vorm igasuguste küberrünnakute vastu on tagada, et kasutate kriitilise tarkvara värskendatud versioone. SMB on haavatavuste suhtes altid. See on ründajatele alati tulus sihtmärk.

Neid on olnud mitu kriitilised SMB haavatavused minevikus mis viivad süsteemi täieliku ülevõtmiseni või konfidentsiaalsete andmete kadumiseni. Peate nii oma operatsioonisüsteemi kui ka sellel olevaid olulisi teenuseid ajakohasena hoidma.

5. Vältige SMBv1 protokolli kasutamist

SMBv1 on ebaturvaline protokoll. Alati on soovitatav, et kui kasutate SMB-d, olgu see siis Windowsis või Linuxis, peaksite vältima SMBv1 kasutamist ja kasutama ainult SMBv2 ja uuemaid. SMBv1 protokolli keelamiseks lisage konfiguratsioonifaili see rida:

min protocol = SMB2

See tagab, et minimaalne kasutatava protokolli tase on SMBv2.

6. Jõustage tulemüürireeglid, et piirata juurdepääsu SMB-portidele

Konfigureerige oma võrgu tulemüür nii, et see võimaldaks juurdepääsu SMB-portidele, tavaliselt pordile 139 ja 445 ainult usaldusväärsetest allikatest. See aitab vältida volitamata juurdepääsu ja vähendab väliste ohtude SMB-põhiste rünnakute ohtu.

Samuti peaksite kaaluma IDS-lahenduse installimine koos spetsiaalse tulemüüriga liikluse paremaks juhtimiseks ja logimiseks. Kas pole kindel, millist tulemüüri kasutada? Võite leida loendist endale sobiva parimad tasuta Linuxi tulemüürid.

7. Rakendage võrgu segmenteerimist, et eraldada SMB-liiklus ebausaldusväärsetest võrkudest

Võrgu segmenteerimine on arvutivõrgu ühe monoliitse mudeli jagamine mitmeks alamvõrguks, millest igaüht nimetatakse võrgusegmendiks. Seda tehakse võrgu turvalisuse, jõudluse ja hallatavuse parandamiseks.

SMB-liikluse eraldamiseks ebausaldusväärsetest võrkudest saate luua SMB-liikluse jaoks eraldi võrgusegmendi ja konfigureerida tulemüürireeglid nii, et see lubaks SMB-liiklust ainult sellesse segmenti ja sealt välja. See võimaldab teil juhtida ja jälgida SMB liiklust keskendunud viisil.

Linuxis saate kasutada iptablesi või sarnast võrgutööriista tulemüürireeglite konfigureerimiseks võrgusegmentide vahelise liiklusvoo juhtimiseks. Saate luua reegleid, et lubada SMB-liiklust SMB-võrgusegmenti ja sealt välja, blokeerides samal ajal kogu muu liikluse. See isoleerib tõhusalt SMB-liikluse ebausaldusväärsetest võrkudest.

8. Jälgige SMB logisid kahtlaste tegevuste ja turvaintsidentide suhtes

SMB logide jälgimine kahtlaste tegevuste ja turvaintsidentide suhtes on teie võrgu turvalisuse säilitamise oluline osa. SMB logid sisaldavad teavet SMB liikluse kohta, sealhulgas juurdepääsu failidele, autentimist ja muid sündmusi. Neid logisid regulaarselt jälgides saate tuvastada võimalikud turvaohud ja neid leevendada.

Linuxis saate kasutada journalctl käsk ja suunake selle väljund seadmesse grep käsk SMB logide vaatamiseks ja analüüsimiseks.

journalctl -u smbd.service

See kuvab logid smbd.service üksus, mis vastutab SMB liikluse haldamise eest. Võite kasutada -f võimalus jälgida logisid reaalajas või kasutada -r võimalus vaadata esimesena viimaseid kirjeid.

Logidest konkreetsete sündmuste või mustrite otsimiseks sisestage käsu journalctl väljund käsku grep. Näiteks ebaõnnestunud autentimiskatsete otsimiseks käivitage:

journalctl -u smbd.service | grep -i "authentication failure"

See kuvab kõik logikirjed, mis sisaldavad teksti "autentimise ebaõnnestumine", mis võimaldab teil kiiresti tuvastada kõik kahtlased tegevused või jõhkra jõuga katsed.

9. Piirake külaliste juurdepääsu ja anonüümsete ühenduste kasutamist

Külalisjuurdepääsu lubamine võimaldab kasutajatel luua ühenduse Samba serveriga ilma kasutajanime või kasutajanime andmata parool, samas kui anonüümsed ühendused võimaldavad kasutajatel ühenduse luua ilma autentimiseta teavet.

Mõlemad valikud võivad korralikult hallatamata tekitada turvariski. Soovitatav on need mõlemad välja lülitada. Selleks peate Samba konfiguratsioonifailis paar rida lisama või muutma. Siin on, mida peate globaalses jaotises lisama/muutma smb.conf fail:

map to guest = never
restrict anonymous = 2

10. Rakendage hostipõhiseid piiranguid

Vaikimisi pääseb avatud Samba serverile piiranguteta juurde mis tahes host (IP-aadress). Juurdepääsu all mõeldakse ühenduse loomist, mitte sõna otseses mõttes ressurssidele juurdepääsu.

Teatud hostidele juurdepääsu lubamiseks ja puhkamise keelamiseks võite kasutada võõrustajad lubavad ja võõrustajad eitavad valikuid. Siin on süntaks, mis lisatakse konfiguratsioonifailile hostide lubamiseks/keelamiseks:

hosts allow = 127.0.0.1 192.168.1.0/24
hosts deny = 0.0.0.0/0

Siin annate Sambal käsu keelata kõik ühendused, välja arvatud kohaliku hosti ja 192.168.1.0/24 võrgu ühendused. See on üks põhilisi viise oma SSH-serveri kaitsmiseks ka.

Nüüd teate, kuidas oma Samba Linuxi serverit kaitsta

Linux sobib suurepäraselt serverite majutamiseks. Kui aga suhtlete serveritega, peate olema ettevaatlik ja olema eriti tähelepanelik, kuna Linuxi serverid on ohustajate jaoks alati tulus sihtmärk.

On ülimalt tähtis, et pingutaksite oma võrgu tugevdamiseks ja Linuxi serverite tugevdamiseks. Lisaks Samba õigele konfigureerimisele on veel mõned meetmed, mida peaksite võtma, et teie Linuxi server oleks kaitstud vastaste ristteest.