Strona 1 z 1
Zabezpieczanie serwera samby
: 14 lipca 2009, 20:39
autor: marcinpruciak
Mam domowy serwer plików. Chciałbym teraz założyć mu zewnętrzne IP i postawić jakąś stronkę lub ftp. Ale mam na nim niezabezpieczoną sambę. Z zewnętrznym IP wiadomo że jest większa szansa na atak.
Zastanawiam się teraz, jak się zabezpieczyć?
Myślałem o:
- iptables - wyrzucenie wszystkiego i wpuszczenie tylko portu 80 20 21 i jakiś losowy na ssh.
- użytkownicy na sambie - gość zobaczyłby tylko listing plików, użytkownik mógłby zapisywać i odczytywać a tylko admin usuwać.
- Jakiś śmieszny port na ssh i blokada po 3 nieudanych logowaniach.
Czy to wszystko wystarczy? Czy trzeba jeszcze coś zrobić.
Najlepiej by było postawić drugi serwer na dedykowany NAS, ale nie stać mnie na prąd i muszę sobie jakoś radzić.
Proszę o poradę i wskazówkę jak poszczególne punkty wykonać.
: 15 lipca 2009, 11:21
autor: sethiel
iptables - jak najbardziej konieczny
samba - opcja: hosts allow
ssh - w iptables umożliwić połączenie z ssh tylko wybranym ipkom, zmienić port, założyć zabezpieczenie dostep tylko dla grupy wheel, lub jesli port bedzie otwarty dla całego świata dodatkowo można zrobić skrypt który po nieudanych logowaniach wrzuci ipka do host.deny
Plus jeszcze milion innych zabezpieczeń, które mi nie przychodzą do głowy

.
: 15 lipca 2009, 11:57
autor: marcinpruciak
Host Allow w Sambie wystarczy?
Tyle to i teraz mam.
Mnie też więcej zabezpieczeń nie przychodzi do głowy. Wydaje mi się że jak ktoś nie będzie miał łatwego dostępu do ssh to wiele nie zrobi.
: 15 lipca 2009, 12:22
autor: tomii
Sambe można dodatkowo przyciąć na iptables, tak samo inne.
: 15 lipca 2009, 19:20
autor: grzesiek
Przecież w sambie możesz określić na jakich eth ma nasłuchiwać.
: 15 lipca 2009, 20:10
autor: tomii
Masz racje wszystko zależy od tego jak bardzo jesteś przeczulony na punkcie bezpieczeństwa.
: 23 września 2009, 10:37
autor: TooMeeK
Ja mam co prawda Sambę w sieci lokalnej, ale może podpowiem:
/etc/samba/smb.conf:
/etc/init.d/firewall:
Kod: Zaznacz cały
#Samba
${iptables} -A INPUT -s 192.168.0.0/24 -p udp --dport 137 -m state --state NEW -j ACCEPT
${iptables} -A INPUT -s 192.168.0.0/24 -p udp --dport 138 -m state --state NEW -j ACCEPT
${iptables} -A INPUT -s 192.168.0.0/24 -p tcp --dport 139 -m state --state NEW -j ACCEPT
${iptables} -A INPUT -s 192.168.0.0/24 -p tcp --dport 445 -m state --state NEW -j ACCEPT
i jeśli jest LDAP to trzeba dodać jeszcze jeden port.
Co do blokowania portu SSH po
trzech logowaniach to:
Kod: Zaznacz cały
#Dodatkowe zabezpieczenie SSH - limit logowania na dowolne konto w cigu 60 sekund (SSH): 3
/sbin/iptables -I INPUT -p tcp --dport 1234 -i ${WAN},${WAN2} -m state --state NEW -m recent --set
/sbin/iptables -I INPUT -p tcp --dport 1234 -i ${WAN},${WAN2} -m state --state NEW -m recent --update --seconds 60 --hitcount 3 -j DROP
: 24 września 2009, 08:30
autor: michnik
Zamiast tego
dodałbym w definicji share`a
A co do hosts allow to zamieniłbym to na
tak by samba słuchała tylko na tym interfejsie.
: 17 października 2009, 22:21
autor: gothye
Otwieranie samby na świat? O zgrozo NIE!
Zainstaluj jakiegoś FTP i daj mu dostęp do katalogu z jakiego korzysta samba, a jeśli już dajesz nawet dostęp dla anonimowego użytkownika to dla partycji, na której znajduje się udostępniany katalog, wyłącz w pliku /etc/fstab - nosuid i noexec.