在 debian 10 上保護 Samba
我正在配置一個 debian 10 VPS 並且最近安裝了 samba。我印象深刻——以一種糟糕的方式:)——關於 /var/log/samba 開始填充各種嘗試訪問我設置的共享的速度有多快。
為了加強我的設置,我做了一些線上研究並對 /etc/samba/smb.conf 進行了一些更改:
- 日誌級別 = 3
- 映射到訪客伺服器 = 從不
- 限制匿名 = 2
這似乎讓攻擊者感到沮喪。但我不擅長閱讀 samba 日誌文件,所以我不確定。
通過查看為訪問嘗試記錄的日誌文件,我相信這些更改會導致攻擊者放棄。我這麼說是因為所有日誌文件的大小都差不多,並且都在這樣的日誌事件之後結束:
$$ 2021/11/20 18:01:59.454538, 3 $$../auth/auth_log.c:610(log_authentication_event_human_readable) 認證:$$ SMB,(null) $$使用者$$ $$$$ $$在$$ Sat, 20 Nov 2021 18:01:59.454490 UTC $$和$$ No-Password $$地位$$ NT_STATUS_OK $$工作站$$ $$遠端主機$$ ipv4:61.184.77.182:56818 $$變成了$$ HWSRV-901112 $$$$ nobody $$ $$ S-1-5-21-4219689906-1908890436-3181349475-501 $$. 本地主機$$ ipv4:104.168.220.233:445 $$ {“時間戳”:“2021-11-20T18:01:59.454714+0000”,“類型”:“身份驗證”,“身份驗證”:{“版本”:{“主要”:1,“次要”:0}, “狀態”:“NT_STATUS_OK”,“localAddress”:“ipv4:104.168.220.233:445”,“remoteAddress”:“ipv4:61.184.77.182:56818”,“serviceDescription”:“SMB”,“authDescription”:null, “clientDomain”:“”,“clientAccount”:“”,“工作站”:“”,“becameAccount”:“nobody”,“becameDomain”:“HWSRV-901112”,“becameSid”:“S-1-5- 21-4219689906-1908890436-3181349475-501", “mappedAccount”: “”, “mappedDomain”: “”, “netlogonComputer”:null,“netlogonTrustAccount”:null,“netlogonNegotiateFlags”:“0x00000000”,“netlogonSecureChannelType”:0,“netlogonTrustAccountSid”:null,“passwordType”:“No-Password”,“duration”:1587}}
但是,我擔心的是最後一個條目之前緊跟的是如下所示的條目:
$$ 2021/11/20 18:01:59.454449, 3 $$../source3/auth/auth.c:256(auth_check_ntlm_password) auth_check_ntlm_password:使用者匿名認證$$ $$成功了
我不知道 samba,但匿名身份驗證成功令人不安。
我還應該做些什麼來強化我的安裝?我可以添加一些防火牆規則來阻止除某些 IP 地址之外的所有訪問。但這會干擾我在旅行時訪問共享的嘗試。
無論您的 Samba 設置如何,讓您的 Samba/CIFS 埠對 Internet 開放都是一種非常糟糕的做法。Samba 在 root 使用者下執行(需要),如果存在可遠端利用的漏洞,您的整個系統將越來越有可能受到威脅。
如果您絕對需要遠端訪問您的 Samba 共享,您可以
- 設置 VPN 伺服器並允許 Samba 僅偵聽內部/VPN 網路
- 使用 SSH 埠轉發,同時再次為 Samba 設置防火牆或使其僅在某些介面上偵聽
- 使用防火牆 +
knock僅向受信任的使用者開放您的埠
knock是最容易實現的,並且允許使用幾乎任何作業系統訪問您的設備。