Wenn Sie einen Samba-Server hosten, ist es wichtig, dass Sie besonders darauf achten, den Server vor Angreifern zu schützen.
Die zentralen Thesen
- Aktivieren Sie die Verschlüsselung für den SMB-Verkehr, um unbefugten Zugriff und Cyberangriffe zu verhindern. Verwenden Sie Transport Layer Security (TLS), um den Datenverkehr Ihres Linux-Samba-Servers zu sichern.
- Implementieren Sie strenge Zugriffskontrollen und Berechtigungen für gemeinsam genutzte Ressourcen mithilfe der Konfigurationsdatei /etc/samba/smb.conf. Definieren Sie Regeln für Zugriff, Berechtigungen und Einschränkungen, um sicherzustellen, dass nur autorisierte Benutzer auf Ressourcen zugreifen können.
- Erzwingen Sie sichere und eindeutige Passwörter für SMB-Benutzerkonten, um die Sicherheit zu erhöhen. Aktualisieren Sie Linux und Samba regelmäßig, um sich vor Schwachstellen und Cyberangriffen zu schützen, und vermeiden Sie die Verwendung des unsicheren SMBv1-Protokolls.
- Konfigurieren Sie Firewallregeln, um den Zugriff auf SMB-Ports einzuschränken, und ziehen Sie eine Netzwerksegmentierung in Betracht, um den SMB-Verkehr von nicht vertrauenswürdigen Netzwerken zu isolieren. Überwachen Sie SMB-Protokolle auf verdächtige Aktivitäten und Sicherheitsvorfälle und beschränken Sie den Gastzugriff und anonyme Verbindungen.
- Implementieren Sie hostbasierte Einschränkungen, um den Zugriff auf bestimmte Hosts zu kontrollieren und anderen den Zugriff zu verweigern. Ergreifen Sie zusätzliche Sicherheitsmaßnahmen, um Ihr Netzwerk zu stärken und Ihre Linux-Server zu härten.
Das SMB-Protokoll (Server Message Block) ist ein Eckpfeiler der Datei- und Druckerfreigabe in verbundenen Umgebungen. Allerdings kann die Standardkonfiguration von Samba erhebliche Sicherheitsrisiken bergen und Ihr Netzwerk anfällig für unbefugten Zugriff und Cyberangriffe machen.
Wenn Sie einen Samba-Server hosten, müssen Sie bei den von Ihnen vorgenommenen Konfigurationen besonders vorsichtig sein. Hier sind 10 wichtige Schritte, um sicherzustellen, dass Ihr SMB-Server sicher und geschützt bleibt.
1. Aktivieren Sie die Verschlüsselung für SMB-Datenverkehr
Standardmäßig ist der SMB-Verkehr nicht verschlüsselt. Sie können dies überprüfen, indem Sie Erfassen von Netzwerkpaketen mit tcpdump oder Wireshark. Es ist von größter Bedeutung, dass Sie den gesamten Datenverkehr verschlüsseln, um zu verhindern, dass ein Angreifer den Datenverkehr abfängt und analysiert.
Es wird empfohlen, Transport Layer Security (TLS) einzurichten, um den Datenverkehr Ihres Linux-Samba-Servers zu verschlüsseln und zu sichern.
2. Implementieren Sie strenge Zugriffskontrollen und Berechtigungen für gemeinsam genutzte Ressourcen
Sie sollten strenge Zugriffskontrollen und Berechtigungen implementieren, um sicherzustellen, dass die verbundenen Benutzer nicht auf unerwünschte Ressourcen zugreifen können. Samba verwendet eine zentrale Konfigurationsdatei /etc/samba/smb.conf Damit können Sie Regeln für Zugriffe und Berechtigungen definieren.
Mithilfe einer speziellen Syntax können Sie Ressourcen definieren, die gemeinsam genutzt werden sollen, Benutzern/Gruppen den Zugriff auf diese Ressourcen gewähren und festlegen, ob die Ressource(n) durchsucht, beschrieben oder gelesen werden kann. Hier ist die Beispielsyntax zum Deklarieren einer Ressource und zum Implementieren von Zugriffskontrollen darauf:
[sambashare]
comment= Samba Example
path = /home/your_username/sambashare
browseable = yes
writable = yes
valid users = @groupname
In den obigen Zeilen fügen wir einen neuen Freigabespeicherort mit einem Pfad hinzu und beschränken bei gültigen Benutzern den Zugriff auf die Freigabe auf nur eine einzige Gruppe. Es gibt mehrere andere Möglichkeiten, Steuerelemente und Zugriff auf eine Freigabe zu definieren. Weitere Informationen hierzu finden Sie in unserem speziellen Leitfaden zum Einrichten eines Netzwerkfreigegebener Ordner unter Linux mit Samba.
3. Verwenden Sie sichere und eindeutige Passwörter für SMB-Benutzerkonten
Die Durchsetzung robuster Passwortrichtlinien für SMB-Benutzerkonten ist eine grundlegende bewährte Sicherheitsmethode. Als Systemadministrator sollten Sie sichere und eindeutige Passwörter für ihre Konten erstellen oder alle Benutzer dazu auffordern, diese zu erstellen.
Sie können diesen Vorgang auch beschleunigen, indem Sie Automatische Generierung sicherer Passwörter mithilfe von Tools. Optional können Sie Passwörter auch regelmäßig wechseln, um das Risiko von Datenlecks und unbefugtem Zugriff zu verringern.
4. Aktualisieren Sie Linux und Samba regelmäßig
Die einfachste Form der passiven Verteidigung gegen alle Arten von Cyberangriffen besteht darin, sicherzustellen, dass Sie aktualisierte Versionen kritischer Software ausführen. KMU sind anfällig für Schwachstellen. Es ist immer ein lukratives Ziel für Angreifer.
Es gab mehrere kritische SMB-Schwachstellen in der Vergangenheit die zur vollständigen Systemübernahme oder zum Verlust vertraulicher Daten führen. Sie müssen sowohl Ihr Betriebssystem als auch die darauf befindlichen kritischen Dienste auf dem neuesten Stand halten.
5. Vermeiden Sie die Verwendung des SMBv1-Protokolls
SMBv1 ist ein unsicheres Protokoll. Es wird immer empfohlen, bei der Verwendung von SMB, sei es unter Windows oder Linux, die Verwendung von SMBv1 zu vermeiden und nur SMBv2 und höher zu verwenden. Um das SMBv1-Protokoll zu deaktivieren, fügen Sie diese Zeile zur Konfigurationsdatei hinzu:
min protocol = SMB2Dadurch wird sichergestellt, dass die verwendete Mindestprotokollstufe SMBv2 ist.
6. Erzwingen Sie Firewall-Regeln, um den Zugriff auf SMB-Ports einzuschränken
Konfigurieren Sie die Firewall Ihres Netzwerks so, dass der Zugriff auf SMB-Ports, im Allgemeinen Port 139 und Port 445, nur von vertrauenswürdigen Quellen zugelassen wird. Dies trägt dazu bei, unbefugten Zugriff zu verhindern und verringert das Risiko von SMB-basierten Angriffen durch externe Bedrohungen.
Sie sollten auch darüber nachdenken Installation einer IDS-Lösung zusammen mit einer dedizierten Firewall zur besseren Kontrolle und Protokollierung des Datenverkehrs. Sie sind sich nicht sicher, welche Firewall Sie verwenden sollen? Möglicherweise finden Sie in der Liste eines, das zu Ihnen passt Die besten kostenlosen Linux-Firewalls.
7. Implementieren Sie eine Netzwerksegmentierung, um den SMB-Verkehr von nicht vertrauenswürdigen Netzwerken zu isolieren
Bei der Netzwerksegmentierung handelt es sich um die Technik, ein einzelnes monolithisches Modell eines Computernetzwerks in mehrere Subnetze zu unterteilen, die jeweils als Netzwerksegment bezeichnet werden. Dies geschieht, um die Sicherheit, Leistung und Verwaltbarkeit des Netzwerks zu verbessern.
Um den SMB-Verkehr von nicht vertrauenswürdigen Netzwerken zu isolieren, können Sie ein separates Netzwerksegment für den SMB-Verkehr erstellen und Firewallregeln so konfigurieren, dass nur SMB-Verkehr von und zu diesem Segment zugelassen wird. Dadurch können Sie den SMB-Verkehr gezielt verwalten und überwachen.
Unter Linux können Sie iptables oder ein ähnliches Netzwerktool verwenden, um Firewallregeln zu konfigurieren, um den Datenverkehr zwischen Netzwerksegmenten zu steuern. Sie können Regeln erstellen, um SMB-Datenverkehr zum und vom SMB-Netzwerksegment zuzulassen und gleichzeitig den gesamten anderen Datenverkehr zu blockieren. Dadurch wird der SMB-Verkehr effektiv von nicht vertrauenswürdigen Netzwerken isoliert.
8. Überwachen Sie SMB-Protokolle auf verdächtige Aktivitäten und Sicherheitsvorfälle
Die Überwachung von SMB-Protokollen auf verdächtige Aktivitäten und Sicherheitsvorfälle ist ein wichtiger Bestandteil der Aufrechterhaltung der Sicherheit Ihres Netzwerks. SMB-Protokolle enthalten Informationen zum SMB-Verkehr, einschließlich Dateizugriff, Authentifizierung und anderen Ereignissen. Durch die regelmäßige Überwachung dieser Protokolle können Sie potenzielle Sicherheitsbedrohungen erkennen und diese entschärfen.
Unter Linux können Sie verwenden der Befehl „journalctl“. und leiten Sie seine Ausgabe an die weiter grep-Befehl zum Anzeigen und Analysieren von SMB-Protokollen.
journalctl -u smbd.serviceDadurch werden die Protokolle für angezeigt smbd.service Einheit, die für die Verwaltung des SMB-Verkehrs verantwortlich ist. Du kannst den... benutzen -F Option, die Protokolle in Echtzeit zu verfolgen oder die zu verwenden -R Option, um zuerst die neuesten Einträge anzuzeigen.
Um die Protokolle nach bestimmten Ereignissen oder Mustern zu durchsuchen, leiten Sie die Ausgabe des Befehls „journalctl“ an grep weiter. Um beispielsweise nach fehlgeschlagenen Authentifizierungsversuchen zu suchen, führen Sie Folgendes aus:
journalctl -u smbd.service | grep -i "authentication failure"Dadurch werden alle Protokolleinträge angezeigt, die den Text „Authentifizierungsfehler“ enthalten, sodass Sie verdächtige Aktivitäten oder Brute-Force-Versuche schnell erkennen können.
9. Beschränken Sie die Nutzung von Gastzugängen und anonymen Verbindungen
Durch die Aktivierung des Gastzugriffs können Benutzer eine Verbindung zum Samba-Server herstellen, ohne einen Benutzernamen anzugeben oder Bei anonymen Verbindungen können Benutzer ohne Authentifizierung eine Verbindung herstellen Information.
Beide Optionen können ein Sicherheitsrisiko darstellen, wenn sie nicht ordnungsgemäß verwaltet werden. Es wird empfohlen, beides auszuschalten. Dazu müssen Sie einige Zeilen in der Samba-Konfigurationsdatei hinzufügen oder ändern. Folgendes müssen Sie im globalen Abschnitt hinzufügen/ändern smb.conf Datei:
map to guest = never
restrict anonymous = 210. Implementieren Sie hostbasierte Einschränkungen
Standardmäßig kann auf einen exponierten Samba-Server von jedem Host (IP-Adresse) ohne Einschränkungen zugegriffen werden. Mit Zugriff ist der Aufbau einer Verbindung und nicht der buchstäbliche Zugriff auf die Ressourcen gemeint.
Um den Zugriff auf bestimmte Hosts zu erlauben und den Rest zu verweigern, können Sie Folgendes nutzen Gastgeber erlauben Und Gastgeber dementieren Optionen. Hier ist die Syntax, die zur Konfigurationsdatei hinzugefügt werden muss, um Hosts zuzulassen/zu verweigern:
hosts allow = 127.0.0.1 192.168.1.0/24
hosts deny = 0.0.0.0/0Hier weisen Sie Samba an, alle Verbindungen außer denen des lokalen Hosts und des Netzwerks 192.168.1.0/24 zu verweigern. Dies ist eines der Grundprinzipien Möglichkeiten, Ihren SSH-Server zu sichern zu.
Jetzt wissen Sie, wie Sie Ihren Samba-Linux-Server sichern
Linux eignet sich hervorragend zum Hosten von Servern. Wenn Sie jedoch mit Servern zu tun haben, müssen Sie vorsichtig vorgehen und besonders aufmerksam sein, da Linux-Server immer ein lukratives Ziel für Bedrohungsakteure sind.
Es ist von größter Bedeutung, dass Sie ernsthafte Anstrengungen unternehmen, um Ihr Netzwerk zu stärken und Ihre Linux-Server zu härten. Neben der richtigen Konfiguration von Samba sollten Sie noch einige weitere Maßnahmen ergreifen, um sicherzustellen, dass Ihr Linux-Server vor dem Fadenkreuz von Angreifern geschützt ist.
