Cuprins
Recomandări cheie
- Activați criptarea pentru traficul IMM-urilor pentru a preveni accesul neautorizat și atacurile cibernetice. Utilizați Transport Layer Security (TLS) pentru a securiza traficul serverului dvs. Linux Samba.
- Implementați controale de acces și permisiuni stricte pentru resursele partajate folosind fișierul de configurare /etc/samba/smb.conf. Definiți reguli de acces, permisiuni și restricții pentru a vă asigura că numai utilizatorii autorizați pot accesa resurse.
- Implementați parole puternice și unice pentru conturile de utilizator IMM-uri pentru a spori securitatea. Actualizați în mod regulat Linux și Samba pentru a vă proteja împotriva vulnerabilităților și a atacurilor cibernetice și pentru a evita utilizarea protocolului nesecur SMBv1.
- Configurați regulile de firewall pentru a restricționa accesul la porturile SMB și luați în considerare segmentarea rețelei pentru a izola traficul IMM-urilor de rețelele care nu sunt de încredere. Monitorizați jurnalele IMM-urilor pentru activități suspecte și incidente de securitate și limitați accesul oaspeților și conexiunile anonime.
- Implementați restricții bazate pe gazdă pentru a controla accesul la anumite gazde și a interzice accesul altora. Luați măsuri de securitate suplimentare pentru a vă întări rețeaua și a vă consolida serverele Linux.
Protocolul SMB (Server Message Block) este piatra de temelie a partajării fișierelor și imprimantelor în medii conectate. Cu toate acestea, configurația implicită a Samba poate prezenta riscuri de securitate semnificative, lăsând rețeaua dumneavoastră vulnerabilă la acces neautorizat și atacuri cibernetice.
Dacă găzduiți un server Samba, trebuie să fiți foarte precaut cu configurațiile pe care le-ați stabilit. Iată 10 pași critici pentru a vă asigura că serverul dvs. SMB rămâne securizat și protejat.
1. Activați Criptarea pentru traficul SMB
În mod implicit, traficul SMB nu este criptat. Puteți verifica acest lucru prin capturarea pachetelor de rețea cu tcpdump sau Wireshark. Este esențial să criptați tot traficul pentru a împiedica un atacator să intercepteze și să analizeze traficul.
Este recomandat să configurați Transport Layer Security (TLS) pentru a cripta și a securiza traficul serverului dvs. Linux Samba.
2. Implementați controale stricte de acces și permisiuni pentru resursele partajate
Ar trebui să implementați controale și permisiuni stricte de acces pentru a vă asigura că utilizatorii conectați nu pot accesa resurse nesolicitate. Samba folosește un fișier de configurare central /etc/samba/smb.conf care vă permite să definiți reguli de acces și permisiuni.
Folosind o sintaxă specială, puteți defini resurse de partajat, utilizatori/grupuri pentru a oferi acces la aceste resurse și dacă resursa (resursele) pot fi răsfoite, scrise sau din care pot fi citite. Iată exemplul de sintaxă pentru declararea unei resurse și implementarea controalelor de acces asupra acesteia:
[sambashare]
comment= Samba Example
path = /home/your_username/sambashare
browseable = yes
writable = yes
valid users = @groupname
În rândurile de mai sus, adăugăm o nouă locație de partajare cu o cale și cu utilizatori validi, restricționăm accesul la partajare doar la un singur grup. Există mai multe alte moduri de a defini controalele și accesul la o partajare. Puteți afla mai multe despre acesta din ghidul nostru dedicat despre cum să configurați un folder partajat în rețea pe Linux cu Samba.
3. Utilizați parole puternice și unice pentru conturile de utilizator SMB
Aplicarea politicilor solide de parole pentru conturile de utilizator IMM-uri este o bună practică fundamentală de securitate. În calitate de administrator de sistem, ar trebui să creați sau să îndemnați toți utilizatorii să creeze parole puternice și unice pentru conturile lor.
De asemenea, puteți accelera acest proces prin generarea automată a parolelor puternice folosind instrumente. Opțional, puteți, de asemenea, să rotiți în mod regulat parolele pentru a reduce riscul de scurgeri de date și acces neautorizat.
4. Actualizați în mod regulat Linux și Samba
Cea mai simplă formă de apărare pasivă împotriva oricărui fel de atacuri cibernetice este să vă asigurați că executați versiuni actualizate de software critic. IMM-urile sunt predispuse la vulnerabilități. Este întotdeauna o țintă profitabilă pentru atacatori.
Au existat mai multe vulnerabilități critice pentru IMM-uri în trecut, care au dus la preluarea completă a sistemului sau la pierderea datelor confidențiale. Trebuie să păstrați atât sistemul de operare, cât și serviciile esențiale de pe acesta actualizate.
5. Evitați utilizarea protocolului SMBv1
SMBv1 este un protocol nesigur. Este întotdeauna recomandat ca ori de câte ori utilizați SMB, fie că este pe Windows sau Linux, să evitați să utilizați SMBv1 și să utilizați numai SMBv2 și mai sus. Pentru a dezactiva protocolul SMBv1, adăugați această linie la fișierul de configurare:
min protocol = SMB2
Acest lucru asigură că nivelul minim de protocol utilizat ar fi SMBv2.
6. Aplicați regulile paravanului de protecție pentru a restricționa accesul la porturile SMB
Configurați firewall-ul rețelei dvs. pentru a permite accesul la porturile SMB, în general porturile 139 și 445 numai din surse de încredere. Acest lucru ajută la prevenirea accesului neautorizat și reduce riscul atacurilor IMM-urilor din partea amenințărilor externe.
De asemenea, ar trebui să luați în considerare instalarea unei soluții IDS împreună cu un firewall dedicat pentru a avea un control și o înregistrare mai bună a traficului. Nu sunteți sigur ce firewall să utilizați? Este posibil să găsiți unul care vi se potrivește din lista celor mai bune firewall-uri Linux gratuite de utilizat.
7. Implementați segmentarea rețelei pentru a izola traficul IMM-urilor de rețelele care nu sunt de încredere
Segmentarea rețelei este tehnica de împărțire a unui singur model monolitic al unei rețele de calculatoare în mai multe subrețele, fiecare numită segment de rețea. Acest lucru se face pentru a îmbunătăți securitatea, performanța și gestionabilitatea rețelei.
Pentru a izola traficul IMM-urilor de rețelele care nu sunt de încredere, puteți crea un segment de rețea separat pentru traficul IMM-urilor și puteți configura regulile de firewall pentru a permite numai traficul IMM-urilor către și dinspre acest segment. Acest lucru vă permite să gestionați și să monitorizați traficul IMM-urilor într-un mod concentrat.
Pe Linux, puteți utiliza iptables sau un instrument similar de rețea pentru a configura regulile de firewall pentru a controla fluxul de trafic între segmentele de rețea. Puteți crea reguli pentru a permite traficul IMM-urilor către și dinspre segmentul de rețea SMB, blocând tot restul traficului. Acest lucru va izola efectiv traficul IMM-urilor de rețelele care nu sunt de încredere.
8. Monitorizați jurnalele SMB pentru activități suspecte și incidente de securitate
Monitorizarea jurnalelor IMM-urilor pentru activități suspecte și incidente de securitate este o parte importantă a menținerii securității rețelei dvs. Jurnalele SMB conțin informații despre traficul SMB, inclusiv accesul la fișiere, autentificarea și alte evenimente. Prin monitorizarea regulată a acestor jurnale, puteți identifica potențialele amenințări de securitate și le puteți atenua.
Pe Linux, puteți utiliza comanda journalctl și puteți transmite rezultatul acesteia către comanda grep pentru a vizualiza și analiza jurnalele SMB.
journalctl -u smbd.service
Aceasta va afișa jurnalele pentru unitatea smbd.service care este responsabilă de gestionarea traficului SMB. Puteți utiliza opțiunea -f pentru a urmări jurnalele în timp real sau puteți utiliza opțiunea -r pentru a vedea mai întâi cele mai recente intrări.
Pentru a căuta în jurnalele evenimente sau modele specifice, transmiteți ieșirea comenzii journalctl către grep. De exemplu, pentru a căuta încercări de autentificare eșuate, rulați:
journalctl -u smbd.service | grep -i "authentication failure"
Aceasta va afișa toate intrările de jurnal care conțin textul „eșec de autentificare”, permițându-vă să identificați rapid orice activitate suspectă sau încercări de forță brută.
9. Limitați utilizarea accesului pentru oaspeți și a conexiunilor anonime
Activarea accesului pentru oaspeți permite utilizatorilor să se conecteze la serverul Samba fără a furniza un nume de utilizator sau o parolă, în timp ce conexiunile anonime le permit utilizatorilor să se conecteze fără a furniza informații de autentificare.
Ambele opțiuni pot prezenta un risc de securitate dacă nu sunt gestionate corespunzător. Este recomandat să le dezactivați pe ambele. Pentru a face acest lucru, trebuie să adăugați sau să modificați câteva rânduri în fișierul de configurare Samba. Iată ce trebuie să adăugați/modificați în secțiunea globală a fișierului smb.conf:
map to guest = never
restrict anonymous = 2
10. Implementați restricții bazate pe gazdă
În mod implicit, un server Samba expus poate fi accesat de orice gazdă (adresă IP) fără restricții. Prin acces, se vrea să stabilească o conexiune și nu, să acceseze literalmente resurse.
Pentru a permite accesul la anumite gazde și a refuza să se odihnească, puteți utiliza opțiunile hosts allow și hosts deny. Iată sintaxa de adăugat la fișierul de configurare pentru a permite/interzice gazde:
hosts allow = 127.0.0.1 192.168.1.0/24
hosts deny = 0.0.0.0/0
Aici îi comandați lui Samba să refuze toate conexiunile, cu excepția celor ale gazdei locale și ale rețelei 192.168.1.0/24. Aceasta este una dintre modalitățile fundamentale de a vă securiza și serverul SSH.
Acum știți cum să vă asigurați serverul Samba Linux
Linux este excelent pentru găzduirea serverelor. Cu toate acestea, ori de câte ori ai de-a face cu servere, trebuie să mergi cu atenție și să fii foarte conștient, deoarece serverele Linux sunt întotdeauna o țintă profitabilă pentru actorii amenințărilor.
Este esențial să depuneți eforturi sincere pentru a vă consolida rețeaua și a vă întări serverele Linux. Pe lângă configurarea corectă a Samba, există alte câteva măsuri pe care ar trebui să le luați pentru a vă asigura că serverul dvs. Linux este protejat de încrucișarea adversarilor.