ďťż
 
 
   Zabezpieczanie serwera samby
 
 

Tematy
 
    
 

 

 

 

Zabezpieczanie serwera samby




marcinpruciak - 14-07-2009 20:39
Mam domowy serwer plików. Chciałbym teraz założyć mu zewnętrzne IP i postawić jakąś stronkę lub ftp. Ale mam na nim niezabezpieczoną sambę. Z zewnętrznym IP wiadomo że jest większa szansa na atak.
Zastanawiam się teraz, jak się zabezpieczyć?
Myślałem o:l iptables - wyrzucenie wszystkiego i wpuszczenie tylko portu 80 20 21 i jakiś losowy na ssh.l lużytkownicy na sambie - gość zobaczyłby tylko listing plików, użytkownik mógłby zapisywać i odczytywać a tylko admin usuwać.l lJakiś śmieszny port na ssh i blokada po 3 nieudanych logowaniach.l Czy to wszystko wystarczy? Czy trzeba jeszcze coś zrobić.

Najlepiej by było postawić drugi serwer na dedykowany NAS, ale nie stać mnie na prąd i muszę sobie jakoś radzić.
Proszę o poradę i wskazówkę jak poszczególne punkty wykonać.


sethiel - 15-07-2009 11:21
iptables - jak najbardziej konieczny
samba - opcja: hosts allow
ssh - w iptables umożliwić połączenie z ssh tylko wybranym ipkom, zmienić port, założyć zabezpieczenie dostep tylko dla grupy wheel, lub jesli port bedzie otwarty dla całego świata dodatkowo można zrobić skrypt który po nieudanych logowaniach wrzuci ipka do host.deny

Plus jeszcze milion innych zabezpieczeń, które mi nie przychodzą do głowy :).


marcinpruciak - 15-07-2009 11:57
Host Allow w Sambie wystarczy?
Tyle to i teraz mam.

Mnie też więcej zabezpieczeń nie przychodzi do głowy. Wydaje mi się że jak ktoś nie będzie miał łatwego dostępu do ssh to wiele nie zrobi.


tomii - 15-07-2009 12:22
Sambe można dodatkowo przyciąć na iptables, tak samo inne.


grzesiek - 15-07-2009 19:20
Przecież w sambie możesz określić na jakich eth ma nasłuchiwać.


tomii - 15-07-2009 20:10
Masz racje wszystko zależy od tego jak bardzo jesteś przeczulony na punkcie bezpieczeństwa.


TooMeeK - 23-09-2009 10:37
Ja mam co prawda Sambę w sieci lokalnej, ale może podpowiem:

/etc/samba/smb.conf: hosts allow = 127.0.0.1 192.168.0.0/24 /etc/init.d/firewall: #Samba
${iptables} -A INPUT -s 192.168.0.0/24 -p udp --dport 137 -m state --state NEW -j ACCEPT
${iptables} -A INPUT -s 192.168.0.0/24 -p udp --dport 138 -m state --state NEW -j ACCEPT
${iptables} -A INPUT -s 192.168.0.0/24 -p tcp --dport 139 -m state --state NEW -j ACCEPT
${iptables} -A INPUT -s 192.168.0.0/24 -p tcp --dport 445 -m state --state NEW -j ACCEPT i jeśli jest LDAP to trzeba dodać jeszcze jeden port.

Co do blokowania portu SSH po trzech logowaniach to: #Dodatkowe zabezpieczenie SSH - limit logowania na dowolne konto w cigu 60 sekund (SSH): 3
/sbin/iptables -I INPUT -p tcp --dport 1234 -i ${WAN},${WAN2} -m state --state NEW -m recent --set
/sbin/iptables -I INPUT -p tcp --dport 1234 -i ${WAN},${WAN2} -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j DROP


michnik - 24-09-2009 08:30
Zamiast tego

hosts allow = 127.0.0.1 192.168.0.0/24 dodałbym w definicji share`a

valid users = username A co do hosts allow to zamieniłbym to na

interfaces = 192.168.0.0/24 tak by samba słuchała tylko na tym interfejsie.


gothye - 17-10-2009 22:21
Otwieranie samby na świat? O zgrozo NIE!
Zainstaluj jakiegoś FTP i daj mu dostęp do katalogu z jakiego korzysta samba, a jeśli już dajesz nawet dostęp dla anonimowego użytkownika to dla partycji, na której znajduje się udostępniany katalog, wyłącz w pliku /etc/fstab - nosuid i noexec.
  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • minister.pev.pl

    •  

     


     
    		 
    Copyright 2003. MĂłj serwis