10 τρόποι για να ασφαλίσετε τον διακομιστή Samba στο Linux

από
Tweet
Share
Share
Pin

Πίνακας περιεχομένων

Βασικά Takeaways

  • Ενεργοποιήστε την κρυπτογράφηση για επισκεψιμότητα SMB για να αποτρέψετε μη εξουσιοδοτημένη πρόσβαση και κυβερνοεπιθέσεις. Χρησιμοποιήστε την ασφάλεια επιπέδου μεταφοράς (TLS) για να εξασφαλίσετε την κυκλοφορία του διακομιστή Linux Samba.
  • Εφαρμόστε αυστηρούς ελέγχους πρόσβασης και δικαιώματα για κοινόχρηστους πόρους χρησιμοποιώντας το αρχείο διαμόρφωσης /etc/samba/smb.conf. Καθορίστε κανόνες για την πρόσβαση, τα δικαιώματα και τους περιορισμούς για να διασφαλίσετε ότι μόνο εξουσιοδοτημένοι χρήστες μπορούν να έχουν πρόσβαση σε πόρους.
  • Επιβάλετε ισχυρούς και μοναδικούς κωδικούς πρόσβασης για λογαριασμούς χρηστών SMB για να βελτιώσετε την ασφάλεια. Ενημερώνετε τακτικά το Linux και το Samba για προστασία από τρωτά σημεία και κυβερνοεπιθέσεις και αποφύγετε τη χρήση του μη ασφαλούς πρωτοκόλλου SMBv1.
  • Διαμορφώστε κανόνες τείχους προστασίας για να περιορίσετε την πρόσβαση σε θύρες SMB και εξετάστε την τμηματοποίηση δικτύου για να απομονώσετε την κίνηση SMB από μη αξιόπιστα δίκτυα. Παρακολουθήστε τα αρχεία καταγραφής SMB για ύποπτες δραστηριότητες και συμβάντα ασφαλείας και περιορίστε την πρόσβαση επισκεπτών και τις ανώνυμες συνδέσεις.
  • Εφαρμόστε περιορισμούς που βασίζονται σε κεντρικούς υπολογιστές για να ελέγξετε την πρόσβαση σε συγκεκριμένους κεντρικούς υπολογιστές και να αρνηθείτε την πρόσβαση σε άλλους. Λάβετε πρόσθετα μέτρα ασφαλείας για να ενισχύσετε το δίκτυό σας και να σκληρύνετε τους διακομιστές σας Linux.

Το πρωτόκολλο SMB (Server Message Block) είναι ο ακρογωνιαίος λίθος της κοινής χρήσης αρχείων και εκτυπωτών σε συνδεδεμένα περιβάλλοντα. Ωστόσο, η προεπιλεγμένη διαμόρφωση του Samba μπορεί να εγκυμονεί σημαντικούς κινδύνους για την ασφάλεια, αφήνοντας το δίκτυό σας ευάλωτο σε μη εξουσιοδοτημένη πρόσβαση και κυβερνοεπιθέσεις.

Εάν φιλοξενείτε διακομιστή Samba, πρέπει να είστε ιδιαίτερα προσεκτικοί με τις διαμορφώσεις που έχετε ορίσει. Ακολουθούν 10 κρίσιμα βήματα για να διασφαλίσετε ότι ο διακομιστής SMB σας παραμένει ασφαλής και προστατευμένος.

1. Ενεργοποιήστε την κρυπτογράφηση για επισκεψιμότητα SMB

Από προεπιλογή, η κίνηση SMB δεν είναι κρυπτογραφημένη. Μπορείτε να το επαληθεύσετε καταγράφοντας πακέτα δικτύου με το tcpdump ή το Wireshark. Είναι υψίστης σημασίας να κρυπτογραφείτε όλη την κίνηση για να αποτρέψετε έναν εισβολέα να υποκλέψει και να αναλύσει την κυκλοφορία.

  5 Καλύτερες εναλλακτικές λύσεις στο Steam Game Store για Linux

Συνιστάται να ρυθμίσετε την ασφάλεια επιπέδου μεταφοράς (TLS) για την κρυπτογράφηση και την ασφάλεια της κυκλοφορίας του διακομιστή σας Linux Samba.

2. Εφαρμόστε αυστηρούς ελέγχους πρόσβασης και δικαιώματα για κοινόχρηστους πόρους

Θα πρέπει να εφαρμόσετε αυστηρούς ελέγχους πρόσβασης και άδειες για να διασφαλίσετε ότι οι συνδεδεμένοι χρήστες δεν μπορούν να έχουν πρόσβαση σε αυτόκλητους πόρους. Το Samba χρησιμοποιεί ένα κεντρικό αρχείο διαμόρφωσης /etc/samba/smb.conf που σας επιτρέπει να ορίσετε κανόνες για πρόσβαση και δικαιώματα.

Χρησιμοποιώντας ειδική σύνταξη, μπορείτε να ορίσετε πόρους για κοινή χρήση, χρήστες/ομάδες για να δώσετε πρόσβαση σε αυτούς τους πόρους και εάν οι πόροι μπορούν να περιηγηθούν, να εγγραφούν ή να διαβαστούν. Ακολουθεί το δείγμα σύνταξης για τη δήλωση ενός πόρου και την εφαρμογή ελέγχων πρόσβασης σε αυτόν:

 [sambashare]
comment= Samba Example
path = /home/your_username/sambashare
browseable = yes
writable = yes
valid users = @groupname

Στις παραπάνω γραμμές, προσθέτουμε μια νέα τοποθεσία κοινής χρήσης με μια διαδρομή και με έγκυρους χρήστες, περιορίζουμε την πρόσβαση στο κοινόχρηστο στοιχείο μόνο σε μία ομάδα. Υπάρχουν πολλοί άλλοι τρόποι για να ορίσετε στοιχεία ελέγχου και πρόσβαση σε ένα κοινόχρηστο στοιχείο. Μπορείτε να μάθετε περισσότερα σχετικά με αυτό από τον ειδικό μας οδηγό σχετικά με το πώς να ρυθμίσετε έναν κοινόχρηστο φάκελο δικτύου στο Linux με το Samba.

3. Χρησιμοποιήστε ισχυρούς και μοναδικούς κωδικούς πρόσβασης για λογαριασμούς χρηστών SMB

Η επιβολή ισχυρών πολιτικών κωδικών πρόσβασης για λογαριασμούς χρηστών SMB είναι μια θεμελιώδης βέλτιστη πρακτική ασφάλειας. Ως διαχειριστής συστήματος, θα πρέπει να δημιουργήσετε ή να παροτρύνετε όλους τους χρήστες να δημιουργήσουν ισχυρούς και μοναδικούς κωδικούς πρόσβασης για τους λογαριασμούς τους.

Μπορείτε επίσης να επιταχύνετε αυτή τη διαδικασία δημιουργώντας αυτόματα ισχυρούς κωδικούς πρόσβασης χρησιμοποιώντας εργαλεία. Προαιρετικά, μπορείτε επίσης να εναλλάσσετε τακτικά τους κωδικούς πρόσβασης για να μειώσετε τον κίνδυνο διαρροής δεδομένων και μη εξουσιοδοτημένης πρόσβασης.

4. Ενημερώνετε τακτικά το Linux και το Samba

Η απλούστερη μορφή παθητικής άμυνας έναντι όλων των ειδών κυβερνοεπιθέσεων είναι η διασφάλιση ότι εκτελείτε ενημερωμένες εκδόσεις κρίσιμου λογισμικού. Οι μικρομεσαίες επιχειρήσεις είναι επιρρεπείς σε ευπάθειες. Είναι πάντα ένας κερδοφόρος στόχος για τους επιτιθέμενους.

Υπήρξαν πολλές κρίσιμες ευπάθειες SMB στο παρελθόν που οδηγούσαν σε πλήρη εξαγορά του συστήματος ή απώλεια εμπιστευτικών δεδομένων. Πρέπει να διατηρείτε ενημερωμένα τόσο το λειτουργικό σας σύστημα όσο και τις κρίσιμες υπηρεσίες σε αυτό.

  Πώς να χρησιμοποιήσετε το Telegram στο τερματικό Linux με το Telegram-CLI

5. Αποφύγετε τη χρήση του πρωτοκόλλου SMBv1

Το SMBv1 είναι ένα μη ασφαλές πρωτόκολλο. Συνιστάται πάντα ότι κάθε φορά που χρησιμοποιείτε SMB, μπορεί να είναι σε Windows ή Linux, να αποφεύγετε τη χρήση του SMBv1 και να χρησιμοποιείτε μόνο SMBv2 και άνω. Για να απενεργοποιήσετε το πρωτόκολλο SMBv1, προσθέστε αυτήν τη γραμμή στο αρχείο διαμόρφωσης:

 min protocol = SMB2

Αυτό διασφαλίζει ότι το ελάχιστο επίπεδο πρωτοκόλλου που χρησιμοποιείται θα είναι το SMBv2.

6. Επιβάλλετε τους κανόνες του τείχους προστασίας για να περιορίσετε την πρόσβαση στις θύρες SMB

Διαμορφώστε το τείχος προστασίας του δικτύου σας ώστε να επιτρέπεται η πρόσβαση στις θύρες SMB, γενικά στη θύρα 139 και στη θύρα 445 μόνο από αξιόπιστες πηγές. Αυτό βοηθά στην αποτροπή μη εξουσιοδοτημένης πρόσβασης και μειώνει τον κίνδυνο επιθέσεων που βασίζονται σε SMB από εξωτερικές απειλές.

Θα πρέπει επίσης να εξετάσετε το ενδεχόμενο εγκατάστασης μιας λύσης IDS μαζί με ένα αποκλειστικό τείχος προστασίας για να έχετε καλύτερο έλεγχο και καταγραφή της κυκλοφορίας. Δεν είστε σίγουροι ποιο τείχος προστασίας να χρησιμοποιήσετε; Μπορείτε να βρείτε αυτό που σας ταιριάζει από τη λίστα με τα καλύτερα δωρεάν τείχη προστασίας Linux για χρήση.

7. Εφαρμόστε τμηματοποίηση δικτύου για να απομονώσετε την επισκεψιμότητα μικρομεσαίων επιχειρήσεων από μη αξιόπιστα δίκτυα

Η κατάτμηση δικτύου είναι η τεχνική της διαίρεσης ενός μονολιθικού μοντέλου ενός δικτύου υπολογιστών σε πολλαπλά υποδίκτυα, το καθένα αποκαλούμενο τμήμα δικτύου. Αυτό γίνεται για να βελτιωθεί η ασφάλεια, η απόδοση και η διαχειρισιμότητα του δικτύου.

Για να απομονώσετε την κίνηση SMB από μη αξιόπιστα δίκτυα, μπορείτε να δημιουργήσετε ένα ξεχωριστό τμήμα δικτύου για την κίνηση SMB και να διαμορφώσετε κανόνες τείχους προστασίας ώστε να επιτρέπεται μόνο η κίνηση SMB προς και από αυτό το τμήμα. Αυτό σας επιτρέπει να διαχειρίζεστε και να παρακολουθείτε την επισκεψιμότητα SMB με εστιασμένο τρόπο.

Στο Linux, μπορείτε να χρησιμοποιήσετε το iptables ή ένα παρόμοιο εργαλείο δικτύωσης για να ρυθμίσετε τους κανόνες του τείχους προστασίας ώστε να ελέγχετε τη ροή της κυκλοφορίας μεταξύ των τμημάτων του δικτύου. Μπορείτε να δημιουργήσετε κανόνες για να επιτρέπεται η επισκεψιμότητα SMB προς και από το τμήμα δικτύου SMB ενώ ταυτόχρονα αποκλείεται όλη η άλλη επισκεψιμότητα. Αυτό θα απομονώσει αποτελεσματικά την κίνηση SMB από μη αξιόπιστα δίκτυα.

8. Παρακολουθήστε τα αρχεία καταγραφής SMB για ύποπτες δραστηριότητες και συμβάντα ασφαλείας

Η παρακολούθηση των αρχείων καταγραφής SMB για ύποπτες δραστηριότητες και συμβάντα ασφαλείας είναι ένα σημαντικό μέρος της διατήρησης της ασφάλειας του δικτύου σας. Τα αρχεία καταγραφής SMB περιέχουν πληροφορίες σχετικά με την κίνηση SMB, συμπεριλαμβανομένης της πρόσβασης σε αρχεία, του ελέγχου ταυτότητας και άλλων συμβάντων. Παρακολουθώντας τακτικά αυτά τα αρχεία καταγραφής, μπορείτε να εντοπίζετε πιθανές απειλές για την ασφάλεια και να τις μετριάζετε.

  Πώς να λάβετε τις προδιαγραφές συστήματος για έναν υπολογιστή Linux

Στο Linux, μπορείτε να χρησιμοποιήσετε την εντολή journalctl και να διοχετεύσετε την έξοδο της στην εντολή grep για να προβάλετε και να αναλύσετε αρχεία καταγραφής SMB.

 journalctl -u smbd.service

Αυτό θα εμφανίσει τα αρχεία καταγραφής για τη μονάδα smbd.service που είναι υπεύθυνη για τη διαχείριση της κίνησης SMB. Μπορείτε να χρησιμοποιήσετε την επιλογή -f για να ακολουθήσετε τα αρχεία καταγραφής σε πραγματικό χρόνο ή να χρησιμοποιήσετε την επιλογή -r για να προβάλετε πρώτα τις πιο πρόσφατες καταχωρήσεις.

Για να πραγματοποιήσετε αναζήτηση στα αρχεία καταγραφής για συγκεκριμένα συμβάντα ή μοτίβα, διοχετεύστε την έξοδο της εντολής journalctl στο grep. Για παράδειγμα, για να αναζητήσετε αποτυχημένες προσπάθειες ελέγχου ταυτότητας, εκτελέστε:

 journalctl -u smbd.service | grep -i "authentication failure"

Αυτό θα εμφανίσει όλες τις καταχωρήσεις ημερολογίου που περιέχουν το κείμενο “αποτυχία ελέγχου ταυτότητας”, επιτρέποντάς σας να προσδιορίσετε γρήγορα οποιαδήποτε ύποπτη δραστηριότητα ή απόπειρες ωμής βίας.

9. Περιορίστε τη χρήση της πρόσβασης επισκέπτη και των ανώνυμων συνδέσεων

Η ενεργοποίηση της πρόσβασης επισκέπτη επιτρέπει στους χρήστες να συνδέονται στον διακομιστή Samba χωρίς να παρέχουν όνομα χρήστη ή κωδικό πρόσβασης, ενώ οι ανώνυμες συνδέσεις επιτρέπουν στους χρήστες να συνδέονται χωρίς να παρέχουν πληροφορίες ελέγχου ταυτότητας.

Και οι δύο αυτές επιλογές μπορεί να θέτουν σε κίνδυνο την ασφάλεια εάν δεν διαχειρίζονται σωστά. Συνιστάται να απενεργοποιήσετε και τα δύο. Για να το κάνετε αυτό, πρέπει να προσθέσετε ή να τροποποιήσετε μερικές γραμμές στο αρχείο διαμόρφωσης Samba. Δείτε τι πρέπει να προσθέσετε/τροποποιήσετε στην καθολική ενότητα του αρχείου smb.conf:

 map to guest = never
restrict anonymous = 2

10. Εφαρμογή περιορισμών που βασίζονται σε κεντρικούς υπολογιστές

Από προεπιλογή, ένας εκτεθειμένος διακομιστής Samba μπορεί να προσπελαστεί από οποιονδήποτε κεντρικό υπολογιστή (διεύθυνση IP) χωρίς περιορισμούς. Με τον όρο πρόσβαση, εννοείται η δημιουργία σύνδεσης και όχι η κυριολεκτική πρόσβαση στους πόρους.

Για να επιτρέψετε την πρόσβαση σε συγκεκριμένους κεντρικούς υπολογιστές και να απορρίψετε την ανάπαυση, μπορείτε να χρησιμοποιήσετε τις επιλογές που επιτρέπουν οι κεντρικοί υπολογιστές και οι επιλογές άρνησης κεντρικών υπολογιστών. Ακολουθεί η σύνταξη που πρέπει να προσθέσετε στο αρχείο διαμόρφωσης για να επιτρέπονται/απαγορεύονται οι κεντρικοί υπολογιστές:

 hosts allow = 127.0.0.1 192.168.1.0/24
hosts deny = 0.0.0.0/0

Εδώ δίνετε εντολή στη Samba να αρνηθεί όλες τις συνδέσεις εκτός από αυτές του τοπικού κεντρικού υπολογιστή και του δικτύου 192.168.1.0/24. Αυτός είναι ένας από τους βασικούς τρόπους για να ασφαλίσετε και τον διακομιστή SSH σας.

Τώρα ξέρετε πώς να ασφαλίσετε τον διακομιστή σας Samba Linux

Το Linux είναι εξαιρετικό για τη φιλοξενία διακομιστών. Ωστόσο, κάθε φορά που έχετε να κάνετε με διακομιστές, πρέπει να περπατάτε προσεκτικά και να είστε ιδιαίτερα ενήμεροι, καθώς οι διακομιστές Linux είναι πάντα ένας κερδοφόρος στόχος για τους παράγοντες απειλών.

Είναι πρωταρχικής σημασίας να καταβάλετε ειλικρινή προσπάθεια για την ενίσχυση του δικτύου σας και τη σκλήρυνση των διακομιστών σας Linux. Εκτός από τη σωστή διαμόρφωση του Samba, υπάρχουν μερικά άλλα μέτρα που πρέπει να λάβετε για να διασφαλίσετε ότι ο διακομιστής σας Linux είναι ασφαλής από το στόχαστρο των αντιπάλων.