Se stai ospitando un server Samba, è importante prestare particolare attenzione alla protezione del server dagli avversari.
Punti chiave
- Abilita la crittografia per il traffico SMB per prevenire accessi non autorizzati e attacchi informatici. Usa Transport Layer Security (TLS) per proteggere il traffico del tuo server Linux Samba.
- Implementa severi controlli di accesso e autorizzazioni per le risorse condivise utilizzando il file di configurazione /etc/samba/smb.conf. Definisci le regole per l'accesso, le autorizzazioni e le restrizioni per garantire che solo gli utenti autorizzati possano accedere alle risorse.
- Applica password complesse e univoche per gli account utente SMB per migliorare la sicurezza. Aggiorna regolarmente Linux e Samba per proteggerti da vulnerabilità e attacchi informatici ed evita di utilizzare il protocollo SMBv1 non sicuro.
- Configura le regole del firewall per limitare l'accesso alle porte SMB e prendi in considerazione la segmentazione della rete per isolare il traffico SMB dalle reti non attendibili. Monitora i registri SMB per attività sospette e incidenti di sicurezza e limita l'accesso guest e le connessioni anonime.
- Implementa restrizioni basate su host per controllare l'accesso a host specifici e negare l'accesso ad altri. Adotta ulteriori misure di sicurezza per rafforzare la tua rete e rafforzare i tuoi server Linux.
Il protocollo SMB (Server Message Block) è una pietra miliare della condivisione di file e stampanti in ambienti connessi. Tuttavia, la configurazione predefinita di Samba può comportare notevoli rischi per la sicurezza, lasciando la tua rete vulnerabile ad accessi non autorizzati e attacchi informatici.
Se stai ospitando un server Samba, devi essere molto cauto con le configurazioni che hai impostato. Ecco 10 passaggi fondamentali per garantire che il tuo server SMB rimanga sicuro e protetto.
1. Abilita la crittografia per il traffico SMB
Per impostazione predefinita, il traffico SMB non è crittografato. Puoi verificarlo con acquisizione di pacchetti di rete con tcpdump o Wireshark. È fondamentale crittografare tutto il traffico per impedire a un utente malintenzionato di intercettare e analizzare il traffico.
Si consiglia di configurare Transport Layer Security (TLS) per crittografare e proteggere il traffico del server Linux Samba.
2. Implementa controlli di accesso e autorizzazioni rigorosi per le risorse condivise
È necessario implementare rigorosi controlli di accesso e autorizzazioni per garantire che gli utenti connessi non siano in grado di accedere a risorse non richieste. Samba utilizza un file di configurazione centrale /etc/samba/smb.conf che consente di definire regole di accesso e permessi.
Utilizzando una sintassi speciale, è possibile definire le risorse da condividere, gli utenti/gruppi a cui concedere l'accesso a tali risorse e se è possibile sfogliare, scrivere o leggere le risorse. Ecco la sintassi di esempio per dichiarare una risorsa e implementare i controlli di accesso su di essa:
[sambashare]
comment= Samba Example
path = /home/your_username/sambashare
browseable = yes
writable = yes
valid users = @groupname
Nelle righe precedenti, aggiungiamo una nuova posizione di condivisione con un percorso e con utenti validi, limitiamo l'accesso alla condivisione a un solo gruppo. Esistono molti altri modi per definire i controlli e l'accesso a una condivisione. Puoi saperne di più dalla nostra guida dedicata su come impostare un cartella condivisa in rete su Linux con Samba.
3. Utilizza password complesse e univoche per gli account utente SMB
L'applicazione di solide policy per le password per gli account utente SMB è una best practice di sicurezza fondamentale. In qualità di amministratore di sistema, dovresti creare o sollecitare tutti gli utenti a creare password complesse e univoche per i loro account.
Puoi anche accelerare questo processo generazione automatica di password complesse utilizzando strumenti. Facoltativamente, puoi anche ruotare regolarmente le password per mitigare il rischio di fughe di dati e accessi non autorizzati.
4. Aggiorna regolarmente Linux e Samba
La forma più semplice di difesa passiva contro tutti i tipi di attacchi informatici consiste nell'assicurarsi di eseguire versioni aggiornate del software critico. SMB è soggetta a vulnerabilità. È sempre un obiettivo redditizio per gli aggressori.
Ce ne sono stati molti vulnerabilità critiche delle PMI in passato che portano alla completa acquisizione del sistema o alla perdita di dati riservati. È necessario mantenere aggiornati sia il sistema operativo che i servizi critici su di esso.
5. Evitare di utilizzare il protocollo SMBv1
SMBv1 è un protocollo non sicuro. È sempre consigliabile che ogni volta che si utilizza SMB, sia su Windows o Linux, si dovrebbe evitare di utilizzare SMBv1 e utilizzare solo SMBv2 e versioni successive. Per disabilitare il protocollo SMBv1, aggiungi questa riga al file di configurazione:
min protocol = SMB2Ciò garantisce che il livello minimo di protocollo in uso sia SMBv2.
6. Applica le regole del firewall per limitare l'accesso alle porte SMB
Configura il firewall della tua rete per consentire l'accesso alle porte SMB, in genere la porta 139 e la porta 445 solo da fonti attendibili. Questo aiuta a prevenire l'accesso non autorizzato e riduce il rischio di attacchi basati su SMB da parte di minacce esterne.
Dovresti anche considerare installare una soluzione IDS insieme a un firewall dedicato per avere un migliore controllo e registrazione del traffico. Non sei sicuro di quale firewall utilizzare? Potresti trovare quello che fa per te dall'elenco dei migliori firewall Linux gratuiti da utilizzare.
7. Implementa la segmentazione della rete per isolare il traffico delle PMI dalle reti non attendibili
La segmentazione della rete è la tecnica per dividere un singolo modello monolitico di una rete di computer in più sottoreti, ciascuna chiamata segmento di rete. Questo viene fatto per migliorare la sicurezza, le prestazioni e la gestibilità della rete.
Per isolare il traffico SMB dalle reti non attendibili, puoi creare un segmento di rete separato per il traffico SMB e configurare le regole del firewall per consentire solo il traffico SMB da e verso questo segmento. Ciò consente di gestire e monitorare il traffico SMB in modo mirato.
Su Linux, puoi utilizzare iptables o uno strumento di rete simile per configurare le regole del firewall per controllare il flusso di traffico tra i segmenti di rete. Puoi creare regole per consentire il traffico SMB da e verso il segmento di rete SMB bloccando tutto il resto del traffico. Ciò isolerà efficacemente il traffico SMB dalle reti non attendibili.
8. Monitora i registri SMB per attività sospette e incidenti di sicurezza
Il monitoraggio dei registri SMB per attività sospette e incidenti di sicurezza è una parte importante del mantenimento della sicurezza della rete. I registri SMB contengono informazioni sul traffico SMB, inclusi l'accesso ai file, l'autenticazione e altri eventi. Monitorando regolarmente questi registri, è possibile identificare potenziali minacce alla sicurezza e mitigarle.
Su Linux, puoi usare il comando journalctl e convogliare la sua uscita al file comando grep per visualizzare e analizzare i log SMB.
journalctl -u smbd.serviceQuesto visualizzerà i log per il smbd.service unità che è responsabile della gestione del traffico SMB. Puoi usare il -F opzione per seguire i log in tempo reale o utilizzare il -R opzione per visualizzare prima le voci più recenti.
Per cercare nei log eventi o modelli specifici, reindirizzare l'output del comando journalctl a grep. Ad esempio, per cercare tentativi di autenticazione non riusciti, eseguire:
journalctl -u smbd.service | grep -i "authentication failure"Verranno visualizzate tutte le voci di registro che contengono il testo "errore di autenticazione", consentendo di identificare rapidamente qualsiasi attività sospetta o tentativi di forza bruta.
9. Limitare l'uso dell'accesso ospite e delle connessioni anonime
L'abilitazione dell'accesso ospite consente agli utenti di connettersi al server Samba senza fornire un nome utente o password, mentre le connessioni anonime consentono agli utenti di connettersi senza fornire alcuna autenticazione informazione.
Entrambe queste opzioni possono rappresentare un rischio per la sicurezza se non gestite correttamente. Si consiglia di disattivare entrambi. Per farlo è necessario aggiungere o modificare un paio di righe nel file di configurazione di Samba. Ecco cosa devi aggiungere/modificare nella sezione globale del file smb.conf file:
map to guest = never
restrict anonymous = 210. Implementa restrizioni basate su host
Per impostazione predefinita, è possibile accedere a un server Samba esposto da qualsiasi host (indirizzo IP) senza restrizioni. Per accesso si intende stabilire una connessione e non letteralmente accedere alle risorse.
Per consentire l'accesso a host specifici e negare il riposo, puoi utilizzare gli host lo consentono E i padroni di casa negano opzioni. Ecco la sintassi da aggiungere al file di configurazione per consentire/negare gli host:
hosts allow = 127.0.0.1 192.168.1.0/24
hosts deny = 0.0.0.0/0Qui stai ordinando a Samba di negare tutte le connessioni tranne quelle dell'host locale e della rete 192.168.1.0/24. Questo è uno dei fondamentali modi per proteggere il tuo server SSH pure.
Ora sai come proteggere il tuo server Samba Linux
Linux è ottimo per l'hosting di server. Tuttavia, ogni volta che hai a che fare con i server, devi procedere con cautela ed essere molto consapevole poiché i server Linux sono sempre un obiettivo redditizio per gli attori delle minacce.
È fondamentale che tu faccia uno sforzo sincero per rafforzare la tua rete e rafforzare i tuoi server Linux. Oltre a configurare correttamente Samba, ci sono alcune altre misure che dovresti prendere per assicurarti che il tuo server Linux sia al sicuro dal mirino degli avversari.
