Последнее обновление 22.08.2023 — Иван Катанаев
Ключевые выводы
- Включите шифрование трафика SMB, чтобы предотвратить несанкционированный доступ и кибератаки. Используйте безопасность транспортного уровня (TLS) для защиты трафика вашего сервера Linux Samba.
- Внедрите строгий контроль доступа и разрешений для общих ресурсов с помощью файла конфигурации /etc/samba/smb.conf. Определите правила доступа, разрешений и ограничений, чтобы обеспечить доступ к ресурсам только авторизованным пользователям.
- Применяйте надежные и уникальные пароли для учетных записей пользователей SMB для повышения безопасности. Регулярно обновляйте Linux и Samba для защиты от уязвимостей и кибератак и избегайте использования небезопасного протокола SMBv1.
- Настройте правила брандмауэра, чтобы ограничить доступ к портам SMB, и рассмотрите возможность сегментации сети, чтобы изолировать трафик SMB от ненадежных сетей. Отслеживайте журналы SMB на наличие подозрительных действий и инцидентов безопасности и ограничивайте гостевой доступ и анонимные подключения.
- Внедрите ограничения на основе хоста, чтобы контролировать доступ к определенным хостам и запрещать доступ другим. Примите дополнительные меры безопасности, чтобы укрепить свою сеть и защитить серверы Linux.
ПРОКРУТИТЕ, ЧТОБЫ ПРОДОЛЖИТЬ СОДЕРЖАНИЕ
Протокол SMB (Server Message Block) является краеугольным камнем общего доступа к файлам и принтерам в подключенных средах. Однако конфигурация Samba по умолчанию может создавать значительные риски для безопасности, делая вашу сеть уязвимой для несанкционированного доступа и кибератак.
Если вы размещаете сервер Samba, вам нужно быть особенно осторожным с настройками, которые вы установили. Вот 10 важных шагов, которые обеспечат безопасность и защиту вашего SMB-сервера.
1. Включите шифрование для SMB-трафика
По умолчанию SMB-трафик не шифруется. Вы можете убедиться в этом, перехватив сетевые пакеты с помощью tcpdump или Wireshark. Крайне важно, чтобы вы шифровали весь трафик, чтобы предотвратить перехват и анализ трафика злоумышленником.
Рекомендуется настроить безопасность транспортного уровня (TLS) для шифрования и защиты трафика вашего сервера Linux Samba.
2. Внедрите строгий контроль доступа и разрешений для общих ресурсов.
Вы должны реализовать строгий контроль доступа и разрешения, чтобы гарантировать, что подключенные пользователи не смогут получить доступ к незапрошенным ресурсам. Samba использует центральный файл конфигурации /etc/samba/smb.conf, который позволяет вам определять правила доступа и разрешений.
Используя специальный синтаксис, вы можете определить ресурсы для совместного использования, пользователей/группы для предоставления доступа к этим ресурсам, а также возможность просмотра, записи или чтения ресурсов. Вот пример синтаксиса для объявления ресурса и реализации контроля доступа к нему:
[sambashare]
comment= Samba Example
path = /home/your_username/sambashare
browseable = yes
writable = yes
valid users = @groupname
В приведенных выше строках мы добавляем новое расположение общего ресурса с путем и с действительными пользователями, мы ограничиваем доступ к общему ресурсу только одной группой. Существует множество других способов определения элементов управления и доступа к общему ресурсу. Вы можете узнать больше об этом из нашего специального руководства о том, как настроить общую сетевую папку в Linux с помощью Samba.
3. Используйте надежные и уникальные пароли для учетных записей пользователей SMB
Применение надежных политик паролей для учетных записей пользователей SMB является основным передовым методом обеспечения безопасности. Как системный администратор вы должны создать или убедить всех пользователей создавать надежные и уникальные пароли для своих учетных записей.
Вы также можете ускорить этот процесс, автоматически генерируя надежные пароли с помощью инструментов. При желании вы также можете регулярно менять пароли, чтобы снизить риск утечки данных и несанкционированного доступа.
4. Регулярно обновляйте Linux и Samba
Самая простая форма пассивной защиты от всех видов кибератак — убедиться, что вы используете обновленные версии критически важного программного обеспечения. SMB подвержен уязвимостям. Это всегда прибыльная цель для злоумышленников.
В прошлом было несколько критических уязвимостей SMB, которые приводили к полному захвату системы или потере конфиденциальных данных. Вы должны поддерживать как свою операционную систему, так и критически важные службы в актуальном состоянии.
5. Избегайте использования протокола SMBv1
SMBv1 — небезопасный протокол. Всегда рекомендуется всякий раз, когда вы используете SMB, будь то в Windows или Linux, избегать использования SMBv1 и использовать только SMBv2 и выше. Чтобы отключить протокол SMBv1, добавьте эту строку в файл конфигурации:
min protocol = SMB2
Это гарантирует, что минимальный используемый уровень протокола будет SMBv2.
6. Применение правил брандмауэра для ограничения доступа к портам SMB
Настройте брандмауэр вашей сети, чтобы разрешить доступ к портам SMB, обычно к портам 139 и 445, только из надежных источников. Это помогает предотвратить несанкционированный доступ и снижает риск атак на основе SMB со стороны внешних угроз.
Вам также следует рассмотреть возможность установки решения IDS вместе с выделенным брандмауэром, чтобы лучше контролировать и регистрировать трафик. Не знаете, какой брандмауэр использовать? Вы можете найти тот, который вам подходит, из списка лучших бесплатных брандмауэров Linux.
7. Внедрите сегментацию сети, чтобы изолировать трафик SMB от ненадежных сетей.
Сегментация сети — это метод разделения единой монолитной модели компьютерной сети на несколько подсетей, каждая из которых называется сетевым сегментом. Это делается для повышения безопасности, производительности и управляемости сети.
Чтобы изолировать SMB-трафик от ненадежных сетей, вы можете создать отдельный сегмент сети для SMB-трафика и настроить правила брандмауэра, чтобы разрешать SMB-трафик только в этот сегмент и из него. Это позволяет целенаправленно управлять трафиком SMB и отслеживать его.
В Linux вы можете использовать iptables или аналогичный сетевой инструмент для настройки правил брандмауэра для управления потоком трафика между сегментами сети. Вы можете создать правила, разрешающие входящий и исходящий трафик SMB в сегменте сети SMB и блокирующие весь другой трафик. Это эффективно изолирует трафик SMB от ненадежных сетей.
8. Мониторинг журналов SMB на наличие подозрительных действий и инцидентов безопасности
Мониторинг журналов SMB на наличие подозрительных действий и инцидентов безопасности является важной частью обеспечения безопасности вашей сети. Журналы SMB содержат информацию о трафике SMB, включая доступ к файлам, аутентификацию и другие события. Регулярно отслеживая эти журналы, вы можете выявлять потенциальные угрозы безопасности и устранять их.
В Linux вы можете использовать команду journalctl и передать ее вывод команде grep для просмотра и анализа журналов SMB.
journalctl -u smbd.service
Это отобразит журналы для модуля smbd.service, который отвечает за управление трафиком SMB. Вы можете использовать параметр -f, чтобы следить за журналами в режиме реального времени, или использовать параметр -r, чтобы сначала просмотреть самые последние записи.
Чтобы найти в журналах определенные события или шаблоны, передайте вывод команды journalctl в grep. Например, чтобы найти неудачные попытки аутентификации, запустите:
journalctl -u smbd.service | grep -i "authentication failure"
Это отобразит все записи журнала, содержащие текст «ошибка аутентификации», что позволит вам быстро идентифицировать любые подозрительные действия или попытки грубой силы.
9. Ограничьте использование гостевого доступа и анонимных подключений
Включение гостевого доступа позволяет пользователям подключаться к серверу Samba без ввода имени пользователя или пароля, в то время как анонимные подключения позволяют пользователям подключаться без предоставления какой-либо информации для аутентификации.
Оба эти варианта могут представлять угрозу безопасности, если ими не управлять должным образом. Рекомендуется отключить оба этих параметра. Для этого вам нужно добавить или изменить пару строк в конфигурационном файле Samba. Вот что вам нужно добавить/изменить в разделе global файла smb.conf:
map to guest = never
restrict anonymous = 2
10. Внедрите ограничения на основе хоста
По умолчанию открытый сервер Samba может быть доступен любому хосту (IP-адресу) без ограничений. Под доступом подразумевается установление соединения, а не буквально доступ к ресурсам.
Чтобы разрешить доступ к определенным хостам и запретить отдых, вы можете использовать параметры hosts allow и hosts deny. Вот синтаксис для добавления в файл конфигурации, чтобы разрешить/запретить хосты:
hosts allow = 127.0.0.1 192.168.1.0/24
hosts deny = 0.0.0.0/0
Здесь вы указываете Samba запрещать все соединения, кроме соединений локального хоста и сети 192.168.1.0/24. Это также один из основных способов защиты вашего SSH-сервера.
Теперь вы знаете, как защитить свой сервер Samba Linux
Linux отлично подходит для размещения серверов. Однако всякий раз, когда вы имеете дело с серверами, вы должны действовать осторожно и быть особенно внимательными, поскольку серверы Linux всегда являются прибыльной целью для злоумышленников.
Крайне важно, чтобы вы приложили искренние усилия для укрепления вашей сети и защиты ваших серверов Linux. Помимо правильной настройки Samba, есть несколько других мер, которые вы должны предпринять, чтобы защитить ваш Linux-сервер от прицела злоумышленников.
