Bir Samba sunucusuna ev sahipliği yapıyorsanız, sunucuyu düşmanlardan korumaya ekstra özen göstermeniz önemlidir.
Temel Çıkarımlar
- Yetkisiz erişimi ve siber saldırıları önlemek için KOBİ trafiği için şifrelemeyi etkinleştirin. Linux Samba sunucunuzun trafiğini güvenceye almak için Aktarım Katmanı Güvenliğini (TLS) kullanın.
- /etc/samba/smb.conf yapılandırma dosyasını kullanarak paylaşılan kaynaklar için katı erişim denetimleri ve izinler uygulayın. Yalnızca yetkili kullanıcıların kaynaklara erişebilmesini sağlamak için erişim, izinler ve kısıtlamalar için kurallar tanımlayın.
- Güvenliği artırmak için SMB kullanıcı hesapları için güçlü ve benzersiz parolalar kullanın. Güvenlik açıklarına ve siber saldırılara karşı korunmak ve güvenli olmayan SMBv1 protokolünü kullanmaktan kaçınmak için Linux ve Samba'yı düzenli olarak güncelleyin.
- SMB bağlantı noktalarına erişimi kısıtlamak için güvenlik duvarı kurallarını yapılandırın ve SMB trafiğini güvenilmeyen ağlardan yalıtmak için ağ bölümlemesini göz önünde bulundurun. Şüpheli etkinlikler ve güvenlik olayları için SMB günlüklerini izleyin ve konuk erişimini ve anonim bağlantıları sınırlayın.
- Belirli ana bilgisayarlara erişimi kontrol etmek ve diğerlerine erişimi reddetmek için ana bilgisayar tabanlı kısıtlamalar uygulayın. Ağınızı güçlendirmek ve Linux sunucularınızı güçlendirmek için ek güvenlik önlemleri alın.
SMB (Sunucu İleti Bloğu) protokolü, bağlantılı ortamlarda dosya ve yazıcı paylaşımının temel taşıdır. Ancak Samba'nın varsayılan yapılandırması, ağınızı yetkisiz erişime ve siber saldırılara karşı savunmasız bırakarak önemli güvenlik riskleri oluşturabilir.
Bir Samba sunucusuna ev sahipliği yapıyorsanız, uyguladığınız yapılandırmalar konusunda ekstra dikkatli olmanız gerekir. KOBİ sunucunuzun güvenli ve korumalı kalmasını sağlamak için işte 10 kritik adım.
1. SMB Trafiği için Şifrelemeyi Etkinleştirin
Varsayılan olarak, SMB trafiği şifrelenmez. Bunu şu şekilde doğrulayabilirsiniz: tcpdump ile ağ paketlerini yakalama veya Wireshark'ı seçin. Bir saldırganın trafiği ele geçirmesini ve analiz etmesini önlemek için tüm trafiği şifrelemeniz çok önemlidir.
Linux Samba sunucunuzun trafiğini şifrelemek ve güvenliğini sağlamak için Aktarım Katmanı Güvenliğini (TLS) kurmanız önerilir.
2. Paylaşılan Kaynaklar İçin Sıkı Erişim Kontrolleri ve İzinler Uygulayın
Bağlı kullanıcıların istenmeyen kaynaklara erişememesini sağlamak için katı erişim kontrolleri ve izinleri uygulamanız gerekir. Samba, merkezi bir yapılandırma dosyası kullanır /etc/samba/smb.conf erişim ve izinler için kurallar tanımlamanıza izin verir.
Özel sözdizimi kullanarak, paylaşılacak kaynakları, bu kaynaklara erişim verecek kullanıcıları/grupları ve kaynak(lar)ın gözatılabileceğini, üzerine yazılabileceğini veya okunabileceğini tanımlayabilirsiniz. İşte bir kaynak bildirmek ve üzerinde erişim kontrolleri uygulamak için örnek sözdizimi:
[sambashare]
comment= Samba Example
path = /home/your_username/sambashare
browseable = yes
writable = yes
valid users = @groupname
Yukarıdaki satırlarda, bir yol ile yeni bir paylaşım konumu ekliyoruz ve geçerli kullanıcılarla, paylaşıma erişimi yalnızca tek bir grupla kısıtlıyoruz. Denetimleri ve bir paylaşıma erişimi tanımlamanın başka birçok yolu vardır. Nasıl kurulacağına ilişkin özel kılavuzumuzdan bu konuda daha fazla bilgi edinebilirsiniz. Samba ile Linux'ta ağ paylaşımlı klasör.
3. SMB Kullanıcı Hesapları İçin Güçlü ve Benzersiz Parolalar Kullanın
KOBİ kullanıcı hesapları için sağlam parola ilkelerini zorunlu kılmak, temel bir güvenlik en iyi uygulamasıdır. Bir sistem yöneticisi olarak, tüm kullanıcıları hesapları için güçlü ve benzersiz parolalar oluşturmalı veya oluşturmaya teşvik etmelisiniz.
Ayrıca bu işlemi şu şekilde hızlandırabilirsiniz: araçları kullanarak otomatik olarak güçlü parolalar oluşturma. İsteğe bağlı olarak, veri sızıntısı ve yetkisiz erişim riskini azaltmak için parolaları düzenli olarak değiştirebilirsiniz.
4. Linux ve Samba'yı Düzenli Olarak Güncelleyin
Her türlü siber saldırıya karşı en basit pasif savunma biçimi, kritik yazılımların güncellenmiş sürümlerini çalıştırdığınızdan emin olmaktır. SMB güvenlik açıklarına eğilimlidir. Saldıranlar için her zaman kazançlı bir hedeftir.
birden fazla oldu Geçmişteki kritik KOBİ güvenlik açıkları Sistemin tamamen ele geçirilmesine veya gizli verilerin kaybolmasına neden olan. Hem işletim sisteminizi hem de üzerinde bulunan kritik servisleri güncel tutmalısınız.
5. SMBv1 Protokolünü Kullanmaktan Kaçının
SMBv1 güvenli olmayan bir protokoldür. SMB'yi her kullandığınızda, ister Windows ister Linux'ta olsun, SMBv1'i kullanmaktan kaçınmanız ve yalnızca SMBv2 ve yukarısını kullanmanız her zaman önerilir. SMBv1 protokolünü devre dışı bırakmak için yapılandırma dosyasına şu satırı ekleyin:
min protocol = SMB2Bu, kullanılan minimum protokol seviyesinin SMBv2 olmasını sağlar.
6. SMB Bağlantı Noktalarına Erişimi Kısıtlamak için Güvenlik Duvarı Kurallarını Uygulayın
Ağınızın güvenlik duvarını, genellikle yalnızca güvenilir kaynaklardan gelen 139 numaralı bağlantı noktası ve 445 numaralı bağlantı noktası olmak üzere SMB bağlantı noktalarına erişime izin verecek şekilde yapılandırın. Bu, yetkisiz erişimin önlenmesine yardımcı olur ve dış tehditlerden kaynaklanan KOBİ tabanlı saldırı riskini azaltır.
Ayrıca düşünmelisiniz bir IDS çözümü kurmak trafiğin daha iyi kontrol edilmesi ve günlüğe kaydedilmesi için özel bir güvenlik duvarı ile birlikte. Hangi güvenlik duvarını kullanacağınızdan emin değil misiniz? Listeden size uygun olanı bulabilirsiniz. kullanmak için en iyi ücretsiz Linux güvenlik duvarları.
7. KOBİ Trafiğini Güvenilmeyen Ağlardan Yalıtmak için Ağ Bölümlemesini Uygulayın
Ağ bölümleme, bir bilgisayar ağının tek bir yekpare modelini, her biri ağ bölümü olarak adlandırılan birden çok alt ağa bölme tekniğidir. Bu, ağın güvenliğini, performansını ve yönetilebilirliğini geliştirmek için yapılır.
SMB trafiğini güvenilmeyen ağlardan izole etmek için, SMB trafiği için ayrı bir ağ segmenti oluşturabilir ve güvenlik duvarı kurallarını yalnızca bu segmente giden ve bu segmentten gelen SMB trafiğine izin verecek şekilde yapılandırabilirsiniz. Bu, SMB trafiğini odaklanmış bir şekilde yönetmenize ve izlemenize olanak tanır.
Linux'ta, ağ bölümleri arasındaki trafik akışını kontrol etmek üzere güvenlik duvarı kurallarını yapılandırmak için iptables veya benzer bir ağ aracı kullanabilirsiniz. Diğer tüm trafiği engellerken, SMB ağ segmentine giden ve bu segmentten gelen SMB trafiğine izin vermek için kurallar oluşturabilirsiniz. Bu, SMB trafiğini güvenilmeyen ağlardan etkili bir şekilde yalıtacaktır.
8. Şüpheli Etkinlikler ve Güvenlik Olayları için SMB Günlüklerini İzleyin
Şüpheli etkinlikler ve güvenlik olayları için SMB günlüklerini izlemek, ağınızın güvenliğini sağlamanın önemli bir parçasıdır. SMB günlükleri, dosya erişimi, kimlik doğrulama ve diğer olaylar dahil olmak üzere SMB trafiği hakkında bilgiler içerir. Bu günlükleri düzenli olarak izleyerek potansiyel güvenlik tehditlerini belirleyebilir ve bunları azaltabilirsiniz.
Linux'ta şunları kullanabilirsiniz: journalctl komutu ve çıkışını şuraya yönlendirin: grep komutu SMB günlüklerini görüntülemek ve analiz etmek için.
journalctl -u smbd.serviceBu, günlükleri görüntüler smbd.hizmet SMB trafiğini yönetmekten sorumlu birim. kullanabilirsiniz -F günlükleri gerçek zamanlı olarak takip etme veya -R en son girişleri ilk önce görüntüleme seçeneği.
Belirli olaylar veya kalıplar için günlükleri aramak için, journalctl komutunun çıktısını grep'e yönlendirin. Örneğin, başarısız kimlik doğrulama girişimlerini aramak için şunu çalıştırın:
journalctl -u smbd.service | grep -i "authentication failure"Bu, "kimlik doğrulama hatası" metnini içeren tüm günlük girişlerini görüntüleyerek şüpheli etkinlikleri veya kaba kuvvet girişimlerini hızlı bir şekilde tanımlamanıza olanak tanır.
9. Konuk Erişiminin ve Anonim Bağlantıların Kullanımını Sınırlayın
Konuk erişiminin etkinleştirilmesi, kullanıcıların Samba sunucusuna bir kullanıcı adı veya anonim bağlantılar, kullanıcıların herhangi bir kimlik doğrulaması sağlamadan bağlanmasına izin verirken bilgi.
Bu seçeneklerin her ikisi de düzgün yönetilmezse bir güvenlik riski oluşturabilir. Bunların ikisini de kapatmanız önerilir. Bunu yapmak için Samba yapılandırma dosyasına birkaç satır eklemeniz veya değiştirmeniz gerekir. Genel bölümünde eklemeniz/değiştirmeniz gerekenler smb.conf dosya:
map to guest = never
restrict anonymous = 210. Ana Bilgisayar Tabanlı Kısıtlamalar Uygulayın
Varsayılan olarak, açığa çıkan bir Samba sunucusuna herhangi bir ana bilgisayar (IP adresi) tarafından kısıtlama olmadan erişilebilir. Erişim ile, kelimenin tam anlamıyla kaynaklara erişmek değil, bir bağlantı kurmak kastedilmektedir.
Belirli ana bilgisayarlara erişime izin vermek ve dinlenmeyi reddetmek için şunları kullanabilirsiniz: ev sahipleri izin verir Ve ev sahipleri reddediyor seçenekler. Ana bilgisayarlara izin vermek/reddetmek için yapılandırma dosyasına eklenecek söz dizimi şöyledir:
hosts allow = 127.0.0.1 192.168.1.0/24
hosts deny = 0.0.0.0/0Burada Samba'ya, yerel ana bilgisayar ve 192.168.1.0/24 ağı dışındaki tüm bağlantıları reddetmesini emrediyorsunuz. Bu temellerden biri SSH sunucunuzu güvenli hale getirmenin yolları fazla.
Artık Samba Linux Sunucunuzu Nasıl Koruyacağınızı Biliyorsunuz
Linux sunucuları barındırmak için harikadır. Bununla birlikte, sunucularla uğraşırken dikkatli olmalısınız ve Linux sunucuları tehdit aktörleri için her zaman kazançlı bir hedef olduğundan ekstra dikkatli olmalısınız.
Ağınızı güçlendirmek ve Linux sunucularınızı sağlamlaştırmak için samimi çaba göstermeniz çok önemlidir. Samba'yı düzgün bir şekilde yapılandırmanın yanı sıra, Linux sunucunuzun düşmanların nişangahından korunmasını sağlamak için almanız gereken birkaç önlem daha vardır.