Zabezpieczanie serwera samby

marcinpruciak · Post autor: **marcinpruciak** » 14 lipca 2009, 20:39

Mam domowy serwer plików. Chciałbym teraz założyć mu zewnętrzne IP i postawić jakąś stronkę lub ftp. Ale mam na nim niezabezpieczoną sambę. Z zewnętrznym IP wiadomo że jest większa szansa na atak.
Zastanawiam się teraz, jak się zabezpieczyć?
Myślałem o:

iptables - wyrzucenie wszystkiego i wpuszczenie tylko portu 80 20 21 i jakiś losowy na ssh.
użytkownicy na sambie - gość zobaczyłby tylko listing plików, użytkownik mógłby zapisywać i odczytywać a tylko admin usuwać.
Jakiś śmieszny port na ssh i blokada po 3 nieudanych logowaniach.

Czy to wszystko wystarczy? Czy trzeba jeszcze coś zrobić.

Najlepiej by było postawić drugi serwer na dedykowany NAS, ale nie stać mnie na prąd i muszę sobie jakoś radzić.
Proszę o poradę i wskazówkę jak poszczególne punkty wykonać.

sethiel · Post autor: **sethiel** » 15 lipca 2009, 11:21

iptables - jak najbardziej konieczny
samba - opcja: hosts allow
ssh - w iptables umożliwić połączenie z ssh tylko wybranym ipkom, zmienić port, założyć zabezpieczenie dostep tylko dla grupy wheel, lub jesli port bedzie otwarty dla całego świata dodatkowo można zrobić skrypt który po nieudanych logowaniach wrzuci ipka do host.deny

Plus jeszcze milion innych zabezpieczeń, które mi nie przychodzą do głowy

.

marcinpruciak · Post autor: **marcinpruciak** » 15 lipca 2009, 11:57

Host Allow w Sambie wystarczy?
Tyle to i teraz mam.

Mnie też więcej zabezpieczeń nie przychodzi do głowy. Wydaje mi się że jak ktoś nie będzie miał łatwego dostępu do ssh to wiele nie zrobi.

tomii · Post autor: **tomii** » 15 lipca 2009, 12:22

Sambe można dodatkowo przyciąć na iptables, tak samo inne.

grzesiek · Post autor: **grzesiek** » 15 lipca 2009, 19:20

Przecież w sambie możesz określić na jakich eth ma nasłuchiwać.

tomii · Post autor: **tomii** » 15 lipca 2009, 20:10

Masz racje wszystko zależy od tego jak bardzo jesteś przeczulony na punkcie bezpieczeństwa.

TooMeeK · Post autor: **TooMeeK** » 23 września 2009, 10:37

Ja mam co prawda Sambę w sieci lokalnej, ale może podpowiem:

/etc/samba/smb.conf:

Kod: Zaznacz cały

hosts allow = 127.0.0.1 192.168.0.0/24

/etc/init.d/firewall:

Kod: Zaznacz cały

#Samba
${iptables} -A INPUT -s 192.168.0.0/24 -p udp --dport 137 -m state --state NEW -j ACCEPT
${iptables} -A INPUT -s 192.168.0.0/24 -p udp --dport 138 -m state --state NEW -j ACCEPT
${iptables} -A INPUT -s 192.168.0.0/24 -p tcp --dport 139 -m state --state NEW -j ACCEPT
${iptables} -A INPUT -s 192.168.0.0/24 -p tcp --dport 445 -m state --state NEW -j ACCEPT

i jeśli jest LDAP to trzeba dodać jeszcze jeden port.

Co do blokowania portu SSH po trzech logowaniach to:

Kod: Zaznacz cały

#Dodatkowe zabezpieczenie SSH - limit logowania na dowolne konto w cigu 60 sekund (SSH): 3
/sbin/iptables -I INPUT -p tcp --dport 1234 -i ${WAN},${WAN2} -m state --state NEW -m recent --set
/sbin/iptables -I INPUT -p tcp --dport 1234 -i ${WAN},${WAN2} -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j DROP

michnik · Post autor: **michnik** » 24 września 2009, 08:30

Zamiast tego

Kod: Zaznacz cały

hosts allow = 127.0.0.1 192.168.0.0/24

dodałbym w definicji share`a

Kod: Zaznacz cały

valid users = username

A co do hosts allow to zamieniłbym to na

Kod: Zaznacz cały

interfaces = 192.168.0.0/24

tak by samba słuchała tylko na tym interfejsie.

gothye · Post autor: **gothye** » 17 października 2009, 22:21

Otwieranie samby na świat? O zgrozo NIE!
Zainstaluj jakiegoś FTP i daj mu dostęp do katalogu z jakiego korzysta samba, a jeśli już dajesz nawet dostęp dla anonimowego użytkownika to dla partycji, na której znajduje się udostępniany katalog, wyłącz w pliku /etc/fstab - nosuid i noexec.