Als u een Samba-server host, is het belangrijk dat u extra aandacht besteedt aan het beveiligen van de server tegen kwaadwillenden.
Belangrijkste leerpunten
- Schakel versleuteling in voor SMB-verkeer om ongeoorloofde toegang en cyberaanvallen te voorkomen. Gebruik Transport Layer Security (TLS) om het verkeer van uw Linux Samba-server te beveiligen.
- Implementeer strikte toegangscontroles en machtigingen voor gedeelde bronnen met behulp van het configuratiebestand /etc/samba/smb.conf. Definieer regels voor toegang, machtigingen en beperkingen om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot bronnen.
- Dwing sterke en unieke wachtwoorden af voor MKB-gebruikersaccounts om de beveiliging te verbeteren. Werk Linux en Samba regelmatig bij om u te beschermen tegen kwetsbaarheden en cyberaanvallen, en vermijd het gebruik van het onveilige SMBv1-protocol.
- Configureer firewallregels om de toegang tot SMB-poorten te beperken en overweeg netwerksegmentatie om SMB-verkeer te isoleren van niet-vertrouwde netwerken. Bewaak SMB-logboeken op verdachte activiteiten en beveiligingsincidenten en beperk gasttoegang en anonieme verbindingen.
- Implementeer op hosts gebaseerde beperkingen om de toegang tot specifieke hosts te controleren en toegang aan anderen te weigeren. Neem aanvullende beveiligingsmaatregelen om uw netwerk te versterken en uw Linux-servers te versterken.
Het SMB-protocol (Server Message Block) is een hoeksteen van het delen van bestanden en printers in verbonden omgevingen. De standaardconfiguratie van Samba kan echter aanzienlijke beveiligingsrisico's met zich meebrengen, waardoor uw netwerk kwetsbaar wordt voor ongeoorloofde toegang en cyberaanvallen.
Als je een Samba-server host, moet je extra voorzichtig zijn met de configuraties die je hebt ingesteld. Hier zijn 10 cruciale stappen om ervoor te zorgen dat uw SMB-server veilig en beschermd blijft.
1. Schakel versleuteling in voor SMB-verkeer
SMB-verkeer wordt standaard niet versleuteld. U kunt dit verifiëren door netwerkpakketten vastleggen met tcpdump of Wireshark. Het is van het grootste belang dat u al het verkeer versleutelt om te voorkomen dat een aanvaller het verkeer onderschept en analyseert.
Het wordt aanbevolen om Transport Layer Security (TLS) in te stellen om het verkeer van uw Linux Samba-server te versleutelen en te beveiligen.
2. Implementeer strikte toegangscontroles en machtigingen voor gedeelde bronnen
U moet strikte toegangscontroles en machtigingen implementeren om ervoor te zorgen dat de verbonden gebruikers geen toegang hebben tot ongevraagde bronnen. Samba gebruikt een centraal configuratiebestand /etc/samba/smb.conf waarmee u regels voor toegang en machtigingen kunt definiëren.
Met behulp van speciale syntaxis kunt u bronnen definiëren om te delen, gebruikers/groepen om toegang te geven tot die bronnen, en of de bron(nen) kunnen worden doorbladerd, geschreven of gelezen. Hier is de voorbeeldsyntaxis voor het declareren van een bron en het implementeren van toegangscontroles:
[sambashare]
comment= Samba Example
path = /home/your_username/sambashare
browseable = yes
writable = yes
valid users = @groupname
In de bovenstaande regels voegen we een nieuwe share-locatie toe met een pad en met geldige gebruikers beperken we de toegang tot de share tot slechts een enkele groep. Er zijn meerdere andere manieren om besturingselementen en toegang tot een share te definiëren. U kunt er meer over leren in onze speciale gids over het opzetten van een netwerk-gedeelde map op Linux met Samba.
3. Gebruik sterke en unieke wachtwoorden voor SMB-gebruikersaccounts
Het afdwingen van een robuust wachtwoordbeleid voor SMB-gebruikersaccounts is een fundamentele best practice op het gebied van beveiliging. Als systeembeheerder moet u sterke en unieke wachtwoorden voor hun accounts maken of alle gebruikers aansporen om sterke en unieke wachtwoorden te maken.
U kunt dit proces ook versnellen door automatisch sterke wachtwoorden genereren met behulp van tools. Optioneel kunt u wachtwoorden ook regelmatig rouleren om het risico op datalekken en ongeautoriseerde toegang te verkleinen.
4. Werk Linux en Samba regelmatig bij
De eenvoudigste vorm van passieve verdediging tegen allerlei soorten cyberaanvallen is ervoor te zorgen dat u bijgewerkte versies van kritieke software gebruikt. SMB is gevoelig voor kwetsbaarheden. Het is altijd een lucratief doelwit voor aanvallers.
Er zijn er meerdere geweest kritieke MKB-kwetsbaarheden in het verleden die leiden tot volledige systeemovername of verlies van vertrouwelijke gegevens. U moet zowel uw besturingssysteem als de kritieke services erop up-to-date houden.
5. Vermijd het gebruik van het SMBv1-protocol
SMBv1 is een onveilig protocol. Het wordt altijd aanbevolen dat wanneer u SMB gebruikt, of het nu op Windows of Linux is, u SMBv1 moet vermijden en alleen SMBv2 en hoger moet gebruiken. Om het SMBv1-protocol uit te schakelen, voegt u deze regel toe aan het configuratiebestand:
min protocol = SMB2
Dit zorgt ervoor dat het minimale gebruikte protocolniveau SMBv2 is.
6. Dwing firewallregels af om de toegang tot SMB-poorten te beperken
Configureer de firewall van uw netwerk om toegang tot SMB-poorten toe te staan, over het algemeen poort 139 en poort 445 alleen van vertrouwde bronnen. Dit helpt ongeautoriseerde toegang te voorkomen en vermindert het risico op SMB-gebaseerde aanvallen door externe bedreigingen.
Je zou ook moeten overwegen installatie van een IDS-oplossing samen met een speciale firewall voor betere controle en registratie van verkeer. Weet u niet zeker welke firewall u moet gebruiken? Misschien vindt u er een die bij u past in de lijst van de beste gratis Linux-firewalls om te gebruiken.
7. Implementeer netwerksegmentatie om MKB-verkeer te isoleren van niet-vertrouwde netwerken
Netwerksegmentatie is de techniek waarbij een enkel monolithisch model van een computernetwerk wordt opgedeeld in meerdere subnetten, die elk een netwerksegment worden genoemd. Dit wordt gedaan om de beveiliging, prestaties en beheersbaarheid van het netwerk te verbeteren.
Om SMB-verkeer te isoleren van niet-vertrouwde netwerken, kunt u een afzonderlijk netwerksegment voor SMB-verkeer maken en firewallregels configureren om alleen SMB-verkeer van en naar dit segment toe te staan. Hierdoor kunt u het MKB-verkeer gericht beheren en monitoren.
Op Linux kunt u iptables of een vergelijkbare netwerktool gebruiken om firewallregels te configureren om de verkeersstroom tussen netwerksegmenten te regelen. U kunt regels maken om SMB-verkeer van en naar het SMB-netwerksegment toe te staan en al het andere verkeer te blokkeren. Dit zal SMB-verkeer effectief isoleren van niet-vertrouwde netwerken.
8. SMB-logboeken controleren op verdachte activiteiten en beveiligingsincidenten
Het monitoren van SMB-logboeken op verdachte activiteiten en beveiligingsincidenten is een belangrijk onderdeel van het handhaven van de beveiliging van uw netwerk. SMB-logboeken bevatten informatie over SMB-verkeer, inclusief bestandstoegang, authenticatie en andere gebeurtenissen. Door deze logboeken regelmatig te controleren, kunt u potentiële beveiligingsbedreigingen identificeren en deze beperken.
Op Linux kunt u gebruiken het journalctl-commando en leid de uitvoer naar de grep commando om SMB-logboeken te bekijken en te analyseren.
journalctl -u smbd.service
Hiermee worden de logboeken voor de smbd.service eenheid die verantwoordelijk is voor het beheer van het MKB-verkeer. U kunt de -F optie om de logboeken in realtime te volgen of gebruik de -R optie om eerst de meest recente vermeldingen te bekijken.
Om de logboeken te doorzoeken op specifieke gebeurtenissen of patronen, sluis je de uitvoer van de opdracht journalctl naar grep. Om bijvoorbeeld te zoeken naar mislukte authenticatiepogingen, voert u het volgende uit:
journalctl -u smbd.service | grep -i "authentication failure"
Hiermee worden alle logboekvermeldingen weergegeven die de tekst "authenticatiefout" bevatten, zodat u snel verdachte activiteiten of brute force-pogingen kunt identificeren.
9. Beperk het gebruik van gasttoegang en anonieme verbindingen
Door gasttoegang in te schakelen, kunnen gebruikers verbinding maken met de Samba-server zonder een gebruikersnaam of wachtwoord, terwijl anonieme verbindingen gebruikers in staat stellen verbinding te maken zonder enige authenticatie informatie.
Beide opties kunnen een beveiligingsrisico vormen als ze niet goed worden beheerd. Het wordt aanbevolen om beide uit te schakelen. Om dat te doen moet u een aantal regels in het Samba-configuratiebestand toevoegen of wijzigen. Dit is wat u moet toevoegen/wijzigen in het globale gedeelte van de smb.conf bestand:
map to guest = never
restrict anonymous = 2
10. Implementeer op hosts gebaseerde beperkingen
Een blootgestelde Samba-server is standaard zonder beperkingen toegankelijk voor elke host (IP-adres). Met toegang wordt bedoeld een verbinding tot stand te brengen en niet letterlijk toegang tot de bronnen.
Om toegang tot specifieke hosts toe te staan, en te weigeren om te rusten, kunt u gebruik maken van gastheren toestaan En gastheren ontkennen opties. Hier is de syntaxis die moet worden toegevoegd aan het configuratiebestand om hosts toe te staan/weigeren:
hosts allow = 127.0.0.1 192.168.1.0/24
hosts deny = 0.0.0.0/0
Hier geef je Samba de opdracht om alle verbindingen te weigeren, behalve die van de lokale host en het 192.168.1.0/24-netwerk. Dit is een van de fundamentele manieren om uw SSH-server te beveiligen te.
Nu weet u hoe u uw Samba Linux-server kunt beveiligen
Linux is geweldig voor het hosten van servers. Wanneer u echter met servers te maken heeft, moet u voorzichtig zijn en extra op uw hoede zijn, aangezien Linux-servers altijd een lucratief doelwit zijn voor kwaadwillenden.
Het is van het grootste belang dat u oprecht moeite doet om uw netwerk te versterken en uw Linux-servers te versterken. Naast het correct configureren van Samba, zijn er een paar andere maatregelen die u moet nemen om ervoor te zorgen dat uw Linux-server veilig is voor het vizier van tegenstanders.