Ako hostirate Samba poslužitelj, važno je da obratite dodatnu pozornost na osiguravanje poslužitelja od neprijatelja.

Ključni zahvati

  • Omogućite enkripciju za SMB promet kako biste spriječili neovlašteni pristup i kibernetičke napade. Upotrijebite Transport Layer Security (TLS) da osigurate promet vašeg Linux Samba poslužitelja.
  • Implementirajte stroge kontrole pristupa i dopuštenja za dijeljene resurse pomoću konfiguracijske datoteke /etc/samba/smb.conf. Definirajte pravila za pristup, dopuštenja i ograničenja kako biste osigurali da samo ovlašteni korisnici mogu pristupiti resursima.
  • Provedite jake i jedinstvene lozinke za SMB korisničke račune kako biste poboljšali sigurnost. Redovito ažurirajte Linux i Sambu kako biste se zaštitili od ranjivosti i kibernetičkih napada te izbjegavajte korištenje nesigurnog SMBv1 protokola.
  • Konfigurirajte pravila vatrozida za ograničavanje pristupa SMB portovima i razmislite o segmentaciji mreže kako biste izolirali SMB promet od nepouzdanih mreža. Pratite SMB zapise radi sumnjivih aktivnosti i sigurnosnih incidenata te ograničite pristup gostiju i anonimne veze.
    instagram viewer
  • Implementirajte ograničenja na temelju hosta kako biste kontrolirali pristup određenim hostovima i zabranili pristup drugima. Poduzmite dodatne sigurnosne mjere kako biste ojačali svoju mrežu i ojačali svoje Linux poslužitelje.

SMB (Server Message Block) protokol temelj je dijeljenja datoteka i pisača u povezanim okruženjima. Međutim, zadana konfiguracija Sambe može predstavljati značajne sigurnosne rizike, ostavljajući vašu mrežu ranjivom na neovlašteni pristup i kibernetičke napade.

Ako hostirate Samba poslužitelj, morate biti posebno oprezni s konfiguracijama koje ste postavili. Evo 10 ključnih koraka kako bi vaš SMB poslužitelj ostao siguran i zaštićen.

1. Omogući enkripciju za SMB promet

Prema zadanim postavkama, SMB promet nije šifriran. To možete provjeriti putem hvatanje mrežnih paketa pomoću tcpdump ili Wireshark. Najvažnije je da šifrirate sav promet kako biste spriječili napadača da presretne i analizira promet.

Preporučuje se da postavite sigurnost transportnog sloja (TLS) za šifriranje i zaštitu prometa vašeg Linux Samba poslužitelja.

2. Implementirajte stroge kontrole pristupa i dopuštenja za dijeljene resurse

Trebali biste implementirati stroge kontrole pristupa i dopuštenja kako biste osigurali da povezani korisnici ne mogu pristupiti neželjenim resursima. Samba koristi središnju konfiguracijsku datoteku /etc/samba/smb.conf koji vam omogućuje definiranje pravila za pristup i dopuštenja.

Pomoću posebne sintakse možete definirati resurse za dijeljenje, korisnike/grupe kojima ćete dati pristup tim resursima i mogu li se resursi pregledavati, pisati na njih ili čitati s njih. Evo primjera sintakse za deklariranje resursa i implementaciju kontrola pristupa na njemu:

[sambashare]
comment= Samba Example
path = /home/your_username/sambashare
browseable = yes
writable = yes
valid users = @groupname

U gornjim redovima dodajemo novu lokaciju dijeljenja s putanjom i s važećim korisnicima ograničavamo pristup dijeljenju samo na jednu grupu. Postoji više drugih načina za definiranje kontrola i pristupa dijeljenju. Više o tome možete saznati iz našeg namjenskog vodiča o tome kako postaviti a mrežno dijeljenu mapu na Linuxu sa Sambom.

3. Koristite snažne i jedinstvene lozinke za SMB korisničke račune

Provođenje robusnih pravila za lozinke za SMB korisničke račune temeljna je najbolja sigurnosna praksa. Kao administrator sustava, trebali biste stvoriti ili potaknuti sve korisnike da stvore jake i jedinstvene lozinke za svoje račune.

Također možete ubrzati ovaj proces automatsko generiranje jakih lozinki pomoću alata. Po želji, također možete redovito rotirati lozinke kako biste smanjili rizik od curenja podataka i neovlaštenog pristupa.

4. Redovito ažurirajte Linux i Sambu

Najjednostavniji oblik pasivne obrane od svih vrsta kibernetičkih napada je osigurati da koristite ažurirane verzije kritičnog softvera. SMB je sklon ranjivostima. To je uvijek unosna meta za napadače.

Bilo ih je više kritične SMB ranjivosti u prošlosti koji dovode do potpunog preuzimanja sustava ili gubitka povjerljivih podataka. Morate ažurirati i svoj operativni sustav i kritične usluge na njemu.

5. Izbjegavajte korištenje SMBv1 protokola

SMBv1 je nesiguran protokol. Uvijek se preporučuje da kad god koristite SMB, bilo to u sustavu Windows ili Linux, izbjegavate korištenje SMBv1 i koristite samo SMBv2 i novije. Da biste onemogućili SMBv1 protokol, dodajte ovaj redak konfiguracijskoj datoteci:

min protocol = SMB2

Ovo osigurava da će minimalna razina protokola u upotrebi biti SMBv2.

6. Primijenite pravila vatrozida za ograničavanje pristupa SMB portovima

Konfigurirajte vatrozid vaše mreže da omogući pristup SMB portovima, općenito portu 139 i portu 445 samo iz pouzdanih izvora. To pomaže u sprječavanju neovlaštenog pristupa i smanjuje rizik od SMB-baziranih napada od vanjskih prijetnji.

Također biste trebali uzeti u obzir instaliranje IDS rješenja zajedno s namjenskim vatrozidom za bolju kontrolu i bilježenje prometa. Niste sigurni koji vatrozid koristiti? Možda ćete s popisa pronaći onaj koji vam odgovara najbolji besplatni vatrozidi za Linux.

7. Implementirajte mrežnu segmentaciju kako biste izolirali SMB promet od nepouzdanih mreža

Segmentacija mreže je tehnika dijeljenja jednog monolitnog modela računalne mreže u više podmreža, od kojih se svaka naziva mrežni segment. To se radi kako bi se poboljšala sigurnost, izvedba i upravljivost mreže.

Kako biste izolirali SMB promet od nepouzdanih mreža, možete stvoriti zaseban mrežni segment za SMB promet i konfigurirati pravila vatrozida da dopuste samo SMB promet prema i iz ovog segmenta. To vam omogućuje upravljanje i praćenje SMB prometa na fokusiran način.

Na Linuxu možete koristiti iptables ili sličan mrežni alat za konfiguraciju pravila vatrozida za kontrolu protoka prometa između mrežnih segmenata. Možete stvoriti pravila za dopuštanje SMB prometa prema i iz segmenta SMB mreže dok blokirate sav ostali promet. Ovo će učinkovito izolirati SMB promet od nepouzdanih mreža.

8. Pratite zapise SMB-a za sumnjive aktivnosti i sigurnosne incidente

Praćenje SMB zapisnika za sumnjive aktivnosti i sigurnosne incidente važan je dio održavanja sigurnosti vaše mreže. SMB zapisnici sadrže informacije o SMB prometu, uključujući pristup datotekama, provjeru autentičnosti i druge događaje. Redovitim praćenjem ovih zapisa možete prepoznati potencijalne sigurnosne prijetnje i ublažiti ih.

Na Linuxu možete koristiti naredba journalctl i usmjerite njegov izlaz na naredba grep za pregled i analizu SMB zapisa.

journalctl -u smbd.service

Ovo će prikazati zapisnike za smbd.usluga jedinica koja je odgovorna za upravljanje SMB prometom. Možete koristiti -f mogućnost praćenja zapisa u stvarnom vremenu ili korištenja -r opciju da prvo pogledate najnovije unose.

Za pretraživanje zapisnika za određene događaje ili uzorke, usmjerite izlaz naredbe journalctl u grep. Na primjer, za traženje neuspjelih pokušaja autentifikacije, pokrenite:

journalctl -u smbd.service | grep -i "authentication failure"

Ovo će prikazati sve unose dnevnika koji sadrže tekst "neuspješna provjera autentičnosti", što vam omogućuje da brzo identificirate sve sumnjive aktivnosti ili pokušaje brutalne upotrebe.

9. Ograničite korištenje pristupa gosta i anonimnih veza

Omogućavanje pristupa za goste omogućuje korisnicima da se povežu na Samba poslužitelj bez davanja korisničkog imena ili lozinka, dok anonimne veze omogućuju korisnicima povezivanje bez pružanja ikakve provjere autentičnosti informacija.

Obje ove opcije mogu predstavljati sigurnosni rizik ako se njima ne upravlja ispravno. Preporučuje se da isključite oba. Da biste to učinili, trebate dodati ili izmijeniti nekoliko redaka u Samba konfiguracijskoj datoteci. Evo što trebate dodati/izmijeniti u globalnom odjeljku smb.conf datoteka:

map to guest = never
restrict anonymous = 2

10. Implementirajte ograničenja temeljena na hostu

Prema zadanim postavkama, izloženom Samba poslužitelju može pristupiti bilo koji host (IP adresa) bez ograničenja. Pristupom se misli na uspostavljanje veze, a ne doslovno na pristup resursima.

Da biste dopustili pristup određenim hostovima i zabranili odmor, možete koristiti domaćini dopuštaju i domaćini poriču opcije. Evo sintakse koju treba dodati konfiguracijskoj datoteci za dopuštanje/odbijanje hostova:

hosts allow = 127.0.0.1 192.168.1.0/24
hosts deny = 0.0.0.0/0

Ovdje naređujete Sambi da odbije sve veze osim onih lokalnog računala i mreže 192.168.1.0/24. Ovo je jedan od temeljnih načine da osigurate svoj SSH poslužitelj isto.

Sada znate kako zaštititi svoj Samba Linux poslužitelj

Linux je izvrstan za hosting poslužitelja. Međutim, kad god imate posla s poslužiteljima, morate postupati pažljivo i biti posebno svjesni jer su Linux poslužitelji uvijek unosna meta za aktere prijetnji.

Najvažnije je da uložite iskrene napore u jačanje svoje mreže i očvršćavanje svojih Linux poslužitelja. Osim ispravnog konfiguriranja Sambe, postoji nekoliko drugih mjera koje biste trebali poduzeti kako biste bili sigurni da je vaš Linux poslužitelj siguran od nišana neprijatelja.