Jos isännöit Samba-palvelinta, on tärkeää, että kiinnität erityistä huomiota palvelimen suojaamiseen vihollisilta.

Key Takeaways

  • Ota SMB-liikenteen salaus käyttöön estääksesi luvattoman käytön ja kyberhyökkäykset. Käytä Transport Layer Securityä (TLS) suojataksesi Linux Samba -palvelimesi liikennettä.
  • Ota käyttöön tiukat käyttöoikeudet ja luvat jaetuille resursseille /etc/samba/smb.conf-määritystiedoston avulla. Määrittele pääsyä, käyttöoikeuksia ja rajoituksia koskevat säännöt varmistaaksesi, että vain valtuutetut käyttäjät voivat käyttää resursseja.
  • Pakota vahvat ja ainutlaatuiset salasanat SMB-käyttäjätileille turvallisuuden parantamiseksi. Päivitä Linux ja Samba säännöllisesti suojataksesi haavoittuvuuksia ja kyberhyökkäyksiä ja välttää suojaamattoman SMBv1-protokollan käyttöä.
  • Määritä palomuurisäännöt rajoittamaan pääsyä SMB-portteihin ja harkitse verkon segmentointia SMB-liikenteen eristämiseksi epäluotettavista verkoista. Tarkkaile SMB-lokeja epäilyttävien toimintojen ja tietoturvahäiriöiden varalta ja rajoittaa vieraiden pääsyä ja anonyymejä yhteyksiä.
    • instagram viewer
  • Ota käyttöön isäntäpohjaisia ​​rajoituksia hallitaksesi pääsyä tiettyihin isäntiin ja estääksesi pääsyn muilta. Suorita lisäsuojaustoimenpiteitä verkkosi vahvistamiseksi ja Linux-palvelimiesi kovettamiseksi.

SMB (Server Message Block) -protokolla on tiedostojen ja tulostimien jakamisen kulmakivi yhdistetyissä ympäristöissä. Samban oletuskokoonpano voi kuitenkin aiheuttaa merkittäviä tietoturvariskejä, jolloin verkkosi on alttiina luvattomalle käytölle ja kyberhyökkäyksille.

Jos isännöit Samba-palvelinta, sinun on oltava erityisen varovainen määrittämiesi kokoonpanojen kanssa. Tässä on 10 kriittistä vaihetta varmistaaksesi, että SMB-palvelimesi pysyy turvallisena ja suojattuna.

1. Ota SMB-liikenteen salaus käyttöön

Oletuksena SMB-liikennettä ei ole salattu. Voit varmistaa tämän käyttämällä verkkopakettien sieppaus tcpdumpilla tai Wireshark. On ensiarvoisen tärkeää, että salaat kaiken liikenteen, jotta hyökkääjä ei sieppaa ja analysoi liikennettä.

On suositeltavaa, että määrität Transport Layer Securityn (TLS) Linux Samba -palvelimesi liikenteen salaamiseksi ja suojaamiseksi.

2. Ota käyttöön tiukat käyttöoikeudet ja luvat jaetuille resursseille

Sinun tulee ottaa käyttöön tiukat käyttöoikeudet ja käyttöoikeudet varmistaaksesi, että yhdistetyt käyttäjät eivät pääse käsiksi ei-toivottuihin resursseihin. Samba käyttää keskitettyä asetustiedostoa /etc/samba/smb.conf jonka avulla voit määrittää käyttöoikeuksia ja käyttöoikeuksia koskevia sääntöjä.

Erikoissyntaksin avulla voit määrittää jaettavat resurssit, käyttäjät/ryhmät, joille annetaan pääsy näihin resursseihin, ja voidaanko resursseja selata, kirjoittaa niihin tai lukea niistä. Tässä on esimerkkisyntaksi resurssin ilmoittamiseen ja sen käyttöoikeuksien hallintaan:

[sambashare]
comment= Samba Example
path = /home/your_username/sambashare
browseable = yes
writable = yes
valid users = @groupname

Yllä oleville riveille lisäämme uuden jaon sijainnin polulla ja kelvollisilla käyttäjillä rajoitamme pääsyn jakoon vain yhteen ryhmään. On olemassa useita muita tapoja määrittää säätimet ja jaetun käyttöoikeudet. Saat lisätietoja siitä erillisestä oppaastamme a verkon jaettu kansio Linuxissa Samban kanssa.

3. Käytä vahvoja ja ainutlaatuisia salasanoja SMB-käyttäjätileille

Vahvojen salasanakäytäntöjen pakottaminen SMB-käyttäjätileille on perusturvallisuuden paras käytäntö. Järjestelmänvalvojana sinun tulee luoda tai kehottaa kaikkia käyttäjiä luomaan vahvat ja ainutlaatuiset salasanat tileilleen.

Voit myös nopeuttaa tätä prosessia luoda vahvoja salasanoja automaattisesti työkalujen avulla. Vaihtoehtoisesti voit myös säännöllisesti vaihtaa salasanoja tietovuotojen ja luvattoman käytön riskin vähentämiseksi.

4. Päivitä Linux ja Samba säännöllisesti

Yksinkertaisin passiivisen suojan muoto kaikenlaisia ​​kyberhyökkäyksiä vastaan ​​on varmistaa, että käytössäsi on päivitetyt versiot tärkeistä ohjelmistoista. SMB on alttiina haavoittuvuuksille. Se on aina tuottoisa kohde hyökkääjille.

Niitä on ollut useita kriittisiä pk-yritysten haavoittuvuuksia jotka johtavat järjestelmän täydelliseen haltuunottoon tai luottamuksellisten tietojen menettämiseen. Sinun on pidettävä sekä käyttöjärjestelmäsi että sen tärkeät palvelut ajan tasalla.

5. Vältä SMBv1-protokollan käyttöä

SMBv1 on suojaamaton protokolla. On aina suositeltavaa, että aina kun käytät SMB: tä, olipa se Windowsissa tai Linuxissa, sinun tulee välttää SMBv1:n käyttöä ja käyttää vain SMBv2:ta ja sitä uudempia. Voit poistaa SMBv1-protokollan käytöstä lisäämällä tämän rivin määritystiedostoon:

min protocol = SMB2

Tämä varmistaa, että käytössä oleva protokollan vähimmäistaso on SMBv2.

6. Pakota palomuurisäännöt rajoittaaksesi pääsyä SMB-portteihin

Määritä verkkosi palomuuri sallimaan pääsy SMB-portteihin, yleensä portteihin 139 ja 445, vain luotettavista lähteistä. Tämä auttaa estämään luvattoman käytön ja vähentää ulkoisten uhkien SMB-pohjaisten hyökkäysten riskiä.

Kannattaa myös harkita IDS-ratkaisun asentaminen sekä oma palomuuri, joka parantaa liikenteen hallintaa ja kirjaamista. Etkö ole varma, mitä palomuuria käyttää? Saatat löytää sinulle sopivan listan parhaat ilmaiset Linux-palomuurit käytettäväksi.

7. Ota verkon segmentointi käyttöön SMB-liikenteen eristämiseksi epäluotettavista verkoista

Verkon segmentointi on tekniikka, jolla yksittäinen monoliittinen tietokoneverkon malli jaetaan useisiin aliverkkoihin, joista kutakin kutsutaan verkkosegmentiksi. Tämä tehdään verkon turvallisuuden, suorituskyvyn ja hallittavuuden parantamiseksi.

Eristääksesi SMB-liikenteen epäluotettavista verkoista voit luoda erillisen verkkosegmentin SMB-liikenteelle ja määrittää palomuurisäännöt sallimaan vain SMB-liikenteen tähän segmenttiin ja sieltä pois. Tämän avulla voit hallita ja valvoa SMB-liikennettä kohdistetusti.

Linuxissa voit käyttää iptablesia tai vastaavaa verkkotyökalua palomuurin sääntöjen määrittämiseen verkkosegmenttien välisen liikenteen ohjaamiseksi. Voit luoda sääntöjä salliaksesi SMB-liikenteen SMB-verkkosegmentille ja sieltä pois samalla kun estät kaiken muun liikenteen. Tämä eristää tehokkaasti SMB-liikenteen epäluotettavista verkoista.

8. Tarkkaile SMB-lokeja epäilyttävien toimintojen ja turvallisuustapahtumien varalta

SMB-lokien tarkkailu epäilyttävien toimintojen ja tietoturvahäiriöiden varalta on tärkeä osa verkkosi turvallisuuden ylläpitämistä. SMB-lokit sisältävät tietoja SMB-liikenteestä, mukaan lukien tiedostojen käyttöoikeus, todennus ja muut tapahtumat. Seuraamalla näitä lokeja säännöllisesti voit tunnistaa mahdolliset tietoturvauhat ja vähentää niitä.

Linuxissa voit käyttää journalctl-komento ja ohjaa sen ulostulo laitteeseen grep-komento tarkastella ja analysoida SMB-lokeja.

journalctl -u smbd.service

Tämä näyttää lokit kohteelle smbd.service yksikkö, joka vastaa pk-liikenteen hallinnasta. Voit käyttää -f mahdollisuus seurata lokeja reaaliajassa tai käyttää -r vaihtoehto nähdäksesi viimeisimmät tiedot ensin.

Jos haluat etsiä lokeista tiettyjä tapahtumia tai malleja, kirjoita journalctl-komennon tulos grep. Jos haluat esimerkiksi etsiä epäonnistuneita todennusyrityksiä, suorita:

journalctl -u smbd.service | grep -i "authentication failure"

Tämä näyttää kaikki lokimerkinnät, jotka sisältävät tekstin "todennusvirhe", jonka avulla voit tunnistaa nopeasti kaikki epäilyttävät toiminnot tai raa'an voiman yritykset.

9. Rajoita vieraiden pääsyn ja anonyymien yhteyksien käyttöä

Vieraskäytön salliminen sallii käyttäjien muodostaa yhteyden Samba-palvelimeen antamatta käyttäjätunnusta tai salasana, kun taas anonyymit yhteydet antavat käyttäjien muodostaa yhteyden ilman todennusta tiedot.

Molemmat vaihtoehdot voivat aiheuttaa turvallisuusriskin, jos niitä ei hallita oikein. On suositeltavaa sammuttaa nämä molemmat. Tätä varten sinun on lisättävä tai muutettava muutama rivi Samba-määritystiedostoon. Tässä on mitä sinun on lisättävä/muokattava -sovelluksen globaalissa osiossa smb.conf tiedosto:

map to guest = never
restrict anonymous = 2

10. Ota käyttöön isäntäpohjaisia ​​rajoituksia

Oletusarvoisesti paljastettua Samba-palvelinta voi käyttää mikä tahansa isäntä (IP-osoite) ilman rajoituksia. Pääsyllä se on tarkoitettu muodostamaan yhteys, ei kirjaimellisesti pääsyä resursseihin.

Voit sallia pääsyn tiettyihin isänteihin ja estää lepäämisen käyttämällä isännät sallivat ja isännät kieltävät vaihtoehtoja. Tässä on syntaksi, joka lisätään konfigurointitiedostoon isäntien sallimiseksi/estämiseksi:

hosts allow = 127.0.0.1 192.168.1.0/24
hosts deny = 0.0.0.0/0

Tässä käsket Sambaa estämään kaikki yhteydet paitsi paikallisen isännän ja 192.168.1.0/24-verkon yhteydet. Tämä on yksi perusasioista tapoja suojata SSH-palvelimesi liian.

Nyt tiedät kuinka suojata Samba Linux -palvelimesi

Linux sopii erinomaisesti palvelimien isännöintiin. Aina kun olet tekemisissä palvelimien kanssa, sinun on kuitenkin asteltava huolellisesti ja oltava erityisen varovaisia, koska Linux-palvelimet ovat aina tuottoisa kohde uhkatoimijoille.

On ensiarvoisen tärkeää, että yrität vilpittömästi vahvistaa verkkoasi ja kovettaa Linux-palvelimia. Samban oikean konfiguroinnin lisäksi sinun tulee tehdä muutamia muita toimenpiteitä varmistaaksesi, että Linux-palvelimesi on turvassa vihollisilta.