在 Linux 上保护 Samba 服务器的 10 种方法

作者
Tweet
Share
Share
Pin
0 Shares

关键要点

  • 启用 SMB 流量加密,利用传输层安全性 (TLS) 保护 Linux Samba 服务器的通信,有效防止未经授权的访问和网络攻击。
  • 通过修改 `/etc/samba/smb.conf` 配置文件,对共享资源实施严格的访问控制和权限管理。 精细定义访问规则、权限设置和限制条件,确保只有经过授权的用户才能访问相应资源。
  • 强制 SMB 用户账户使用强度高且独一无二的密码,以此增强安全性。 定期更新 Linux 系统及 Samba 服务,及时修补漏洞,防御网络攻击。 避免使用存在安全隐患的 SMBv1 协议。
  • 配置防火墙规则,严格限制对 SMB 端口的访问,并考虑采用网络分段技术,将 SMB 流量与不受信任的网络隔离。 密切监视 SMB 日志,及时发现可疑活动和安全事件,同时限制访客访问和匿名连接。
  • 实施基于主机的访问控制策略,精确控制特定主机对资源的访问权限,拒绝其他主机的访问请求。 采取多重安全措施,全方位强化网络安全,加固 Linux 服务器的安全防护。

SMB(服务器消息块)协议是互联环境中文件和打印机共享的基础。然而,Samba 的默认配置可能存在严重的安全风险,使您的网络容易遭受未经授权的访问和网络攻击。

如果您正在运行 Samba 服务器,则需要特别注意配置的安全性。以下 10 个关键步骤可确保您的 SMB 服务器安全可靠。

1. 启用 SMB 流量加密

默认情况下,SMB 流量是未加密的。您可以使用 tcpdump 或 Wireshark 等工具捕获网络数据包来验证这一点。 对所有流量进行加密,防止攻击者拦截和分析数据至关重要。

强烈建议您配置传输层安全性 (TLS),对 Linux Samba 服务器的流量进行加密和保护。

2. 对共享资源实施严格的访问控制和权限

应实施严格的访问控制和权限,以确保连接的用户无法访问未经允许的资源。Samba 使用 `/etc/samba/smb.conf` 中央配置文件,允许您定义详细的访问和权限规则。

通过使用特定语法,您可以定义共享的资源、授予访问权限的用户或用户组,以及是否允许浏览、写入或读取这些资源。以下是一个声明资源并实施访问控制的示例:

[sambashare]
comment= Samba 示例
path = /home/your_username/sambashare
browseable = yes
writable = yes
valid users = @groupname

在上述代码中,我们添加了一个新的共享位置,指定了路径,并将对共享资源的访问权限限制为仅允许特定组的用户。还有其他多种方式可以定义对共享的控制和访问。您可以参考我们关于如何在 Linux 上使用 Samba 设置网络共享文件夹的专用指南,获取更多信息。

3. 为 SMB 用户账户使用强且唯一的密码

为 SMB 用户账户实施强密码策略是确保基本安全的首要措施。 作为系统管理员,您应该要求所有用户为其账户创建复杂且独一无二的密码。

您可以使用工具自动生成强密码,以加速此过程。 或者,您还可以定期轮换密码,以降低数据泄露和未经授权访问的风险。

4. 定期更新 Linux 和 Samba

针对各种网络攻击最简单的防御方法是确保您运行的软件始终保持最新版本。SMB 协议非常容易出现漏洞,一直是攻击者攻击的重点目标。

过去曾出现过多个严重的 SMB 漏洞,导致系统完全被控制或机密数据被泄露。 您必须保持操作系统及其关键服务始终处于最新状态。

5. 避免使用 SMBv1 协议

SMBv1 是一种不安全的协议。强烈建议无论何时使用 SMB,无论是在 Windows 还是 Linux 上,都应避免使用 SMBv1,而仅使用 SMBv2 或更高版本。 要禁用 SMBv1 协议,请在配置文件中添加以下行:

min protocol = SMB2

这确保使用的最低协议级别为 SMBv2。

6. 实施防火墙规则以限制对 SMB 端口的访问

配置网络防火墙,只允许来自可信来源的端口 139 和 445 访问 SMB 端口。这有助于防止未经授权的访问,降低来自外部威胁的基于 SMB 的攻击风险。

您还应考虑部署 IDS(入侵检测系统)解决方案和专业的防火墙,以更好地控制和记录网络流量。如果您不确定该使用哪个防火墙,可以参考最佳免费 Linux 防火墙列表,找到最适合您的方案。

7. 实施网络分段以将 SMB 流量与不受信任的网络隔离

网络分段是一种将计算机网络划分成多个子网的技术,每个子网被称为一个网段。 其目的是提高网络安全性、性能和可管理性。

为了隔离 SMB 流量与不受信任的网络,您可以为 SMB 流量创建独立的网段,并配置防火墙规则,仅允许 SMB 流量在该网段进出。 这样可以集中管理和监控 SMB 流量。

在 Linux 上,您可以使用 iptables 或其他类似的工具来配置防火墙规则,以控制不同网段之间的流量。您可以创建规则来允许 SMB 流量进出 SMB 网段,同时阻止所有其他流量。 这将有效地将 SMB 流量与不受信任的网络隔离。

8. 监控 SMB 日志中的可疑活动和安全事件

监控 SMB 日志中的可疑活动和安全事件是维护网络安全的重要组成部分。 SMB 日志记录了 SMB 流量的相关信息,包括文件访问、身份验证和其他事件。 通过定期监控这些日志,您可以及时发现潜在的安全威胁并减轻其影响。

在 Linux 上,您可以使用 `journalctl` 命令,并将其输出通过管道传递给 `grep` 命令,以便查看和分析 SMB 日志。

journalctl -u smbd.service

这将显示负责管理 SMB 流量的 `smbd.service` 单元的日志。 您可以使用 `-f` 选项实时跟踪日志,或使用 `-r` 选项优先查看最新条目。

要在日志中搜索特定事件或模式,请将 `journalctl` 命令的输出通过管道传递给 `grep` 命令。 例如,要搜索失败的身份验证尝试,请运行:

journalctl -u smbd.service | grep -i "authentication failure"

这将显示包含 “authentication failure” 文本的所有日志条目,让您能够快速识别任何可疑活动或暴力破解尝试。

9. 限制访客访问和匿名连接的使用

启用访客访问允许用户在不提供用户名或密码的情况下连接到 Samba 服务器,而匿名连接允许用户在不提供任何身份验证信息的情况下进行连接。

如果管理不当,这两个选项都可能带来安全风险。 强烈建议您禁用这两个功能。为此,您需要添加或修改 Samba 配置文件的几行。以下是在 `smb.conf` 文件的全局部分中需要添加或修改的内容:

map to guest = never
restrict anonymous = 2

10. 实施基于主机的限制

默认情况下,任何主机(IP 地址)都可以无限制地访问已公开的 Samba 服务器。 这里的访问是指建立连接,而非实际访问资源。

要允许特定主机访问并拒绝其他主机访问,您可以使用 `hosts allow` 和 `hosts deny` 选项。 以下是添加到配置文件以允许或拒绝主机的语法:

hosts allow = 127.0.0.1 192.168.1.0/24
hosts deny = 0.0.0.0/0

在这里,您配置 Samba 拒绝除本地主机和 192.168.1.0/24 网络之外的所有连接。 这也是保护 SSH 服务器安全的基本方法之一。

现在您了解了如何保护您的 Samba Linux 服务器

Linux 非常适合托管服务器。 然而,在处理服务器时,您必须小心谨慎,因为 Linux 服务器始终是威胁者有利可图的目标。

最重要的是,您需要尽力加固您的网络和 Linux 服务器。 除了正确配置 Samba 之外,还应采取其他措施来确保您的 Linux 服务器免受攻击。