当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 6 篇帖子 ] 
作者 内容
1 楼 
 文章标题 : samba进阶(加固安全策略)
帖子发表于 : 2008-08-09 8:32 

注册: 2007-08-27 17:31
帖子: 445
送出感谢: 0 次
接收感谢: 1
这是关于服务安全的第二篇帖子,也是大家最关心的服务samba,在内网异构普遍的今天,samba提供的文件存储服务以必不可少,然而安全问题也相当严峻,这篇贴子就着重讲解,如何加固我们的samba服务器
---------------------------------------------
一:不使用明语密码
samba默认为客户端使用明语密码,这样做虽然很方便,但却很不安全,我们可以通过配置/etc/samba/smb.conf,修改为密语方式,加入参数
encrypt passwords=yes
smb passwd file=/etc/samba/smbpasswd
这样,当security=user时,通过/etc/samba/smbpasswd文件进行验证,验证过程无明码传输

二:尽量不使用共享级别的安全
当security=share的时候,samba安全性比较差,灵活性不强,所以应避免使用共享级别安全

三:尽量不要使用浏览器服务访问
保证系统安全的曲线方法是不要让不相关的人知道这一系统的存在,使用浏览器访问会留下痕迹,加大系统别知晓并攻击的可能,这时候应该关闭共享浏览功能。

四:限制网络接口访问
这个适用于多网卡用户,限制samba只响应来自内网的用户请求,可以通过在配置文件中加入参数实现
interfaces=192.168.0.1/24 127.0.0.1
bind interfaces only=yes
第一个表示监听的接口列表,第二个表示绑定第一个设定的列表

五:控制访问列表
你可以使用ip,主机名,用户名或组限制访问samba的用户,这也将一定提升安全性和管理性
可以在配置文件中添加参数实现控制
ip控制访问
hosts deny=ALL
hosts allow=192.168.0.0/24 127.0.0.1
先拒绝所有,在设置允许访问的ip或段
主机名控制访问
hosts deny=ALL
hosts allow=win01,win02,win05
用户或组控制访问
valid users=smb01,smb02,@samba@admin
允许用户smb01,smb02与组samba,admin访问

六:防御病毒
作为linux系统的samba服务,防范病毒是很重要的,虽然linux很少感染病毒,但win并不是,做为异构内网
作为服务的对象,大多是win系列的机器,病毒防范将做为第一安全要素,这也是samba不同与其他服务的地方,这里可以安装ClamAV杀毒软件与samba专用杀毒软件Samba-vscan配合进行防范
具体过程大家可以找资料完成,这里就不多罗嗦了

七:配置iptables保护samba
samba经常被配置在有双网卡的机器上,samba做为内网专用服务,应该隔绝外网以保护samba,
这里可以使用iptables封锁以下端口,不允许外网访问137,138,139端口!

八(不推荐):使用ssl加固samba
不推荐的原因是配置ssl相当复杂,不仅耗费大量时间,也需要客户端配合,samba虽然是内网专用,但也可以连接到intnet上,只有这时候才推荐使用ssl,(还不如用ftp)

系统的可靠性取决于系统中最薄弱的环节,不要轻视每一个服务的安全性,不然后果可能很凄惨
samba的安全就说到这里,并不是每条都适合你的环境,希望能给用户提供一定参考


_________________
你能学会世界上所有语言来叫一种鸟的名字,当你知道所有这些名字叫法后,却对这种鸟一无所知~
理查德-费曼


最后由 angelus 编辑于 2008-08-09 12:32,总共编辑了 1 次

页首
 用户资料  
 
2 楼 
 文章标题 :
帖子发表于 : 2008-08-09 11:46 

注册: 2006-07-28 20:21
帖子: 78
送出感谢: 0 次
接收感谢: 0 次
不错


页首
 用户资料  
 
3 楼 
 文章标题 :
帖子发表于 : 2008-08-09 12:46 
头像

注册: 2006-10-18 12:57
帖子: 417
送出感谢: 0 次
接收感谢: 1
兄弟,支持你,vsftpd和samba都是重要的服务啊,呵呵,谢谢分享宝贵的经验……

期待其他的服务 :lol:


_________________
http://twitter.com/nothining
Mail: bjdfzster@gmail.com
南京的开源活动几乎是0,希望能有人组织下(也可以拉我入伙^_^)
最近在从零开始学习Linux程序设计,加油……


页首
 用户资料  
 
4 楼 
 文章标题 :
帖子发表于 : 2008-08-11 21:37 

注册: 2007-08-27 17:31
帖子: 445
送出感谢: 0 次
接收感谢: 1
文章说的比较简单,也很笼统,多谢支持


_________________
你能学会世界上所有语言来叫一种鸟的名字,当你知道所有这些名字叫法后,却对这种鸟一无所知~
理查德-费曼


页首
 用户资料  
 
5 楼 
 文章标题 :
帖子发表于 : 2008-08-13 23:03 

注册: 2008-05-25 21:11
帖子: 587
送出感谢: 0 次
接收感谢: 0 次
angelus 写道:
文章说的比较简单,也很笼统,多谢支持



支持这种说法,比方说我要是在不同的机子上禁止不同的用户登陆呢?如何实现?


_________________
抚琴煮酒个人主页非诚勿扰


页首
 用户资料  
 
6 楼 
 文章标题 : Re: samba进阶(加固安全策略)
帖子发表于 : 2009-07-12 9:08 
头像

注册: 2009-06-11 20:12
帖子: 59
送出感谢: 0 次
接收感谢: 0 次
学习中 :em06


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 6 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 2 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译