Tazi statiia e prevedena s razreshenieto na avtora i Ying
Zhang.
Adresut na originalnata statiia e http://dcfonline.sfu.ca/ying/linux
Prevod: Bozhidar Ivanov - bobyri@mailexcite.com.
Produlzhenie na [ chast
2 ].
Uvelichavane na sigurnostta na Samba
Vseki put, kogato dobaviate niakakva usluga kato Samba na vasheto PC, Vie nesuznatelno
predostaviate na krakurite oshte edno pole za ataka. Sega shte Vi pokazha niakoi nachini
da zashtitite Vashiia Samba survur.
S pomoshtta na Samba
S pomoshtta na konfiguratsionniia fail na Samba (/etc/smb.conf), Vie mozhete izrichno
da ukazhete koi IP adres da slusha. Redovete, koito osushtestviavat tova sa:
interfaces = 192.168.0.1/24 127.0.0.1/24
bind interfaces only = Yes
Estestveno, Vie bihte mogli da zamenite tozi red, taka che da okazhete sobstven
obhvat ot IP adresi. Ponezhe sum paranoik, az vuvedoh idrugo nivo na zashtita,
kato filtrirah portovete na NetBIOS-a.
Filtrirane na portovete
Potrebitelski portove ot tip SMB 137-139; za po-sigurno az blokirah
dvata porta na TCP i UDP 137-139. Ako izpolzvate iadroto 2.0, Vie shte izpolzvate
instrument, narechen ipfwadm, za da postignete goreposochenoto nivo na zashtita.
S iadra 2.1 i 2.2, Vie shte izpolzvate ipchains.
Nachin na izpolzvane na ipfwadm
Uverete se, che razpolagate s ipfwadm. Ako li ne, Vie mozhete da go svalite
kato RPM ot slednata stranitsa: http://www.rpmfind.net/linux/RPM.
Dobavete slednite redove vuv vashiia fail /etc/rc.local:
ipfwadm -I -P tcp -a deny -S any/0 137:139 -W eth0
ipfwadm -I -P udp -a deny -S any/0 137:139 -W eth0
ipfwadm -O -P tcp -a deny -S any/0 137:139 -W eth0
ipfwadm -O -P udp -a deny -S any/0 137:139 -W eth0
Tova shte zabrani vsichki pristigashti i zaminavashti paketi ot portovete 137-139
pod eth0 interfeisa. eth0 e NIC-ut koito svurzva moiata kutiia s Internet - mozhe
bi Vie triabva da modifitsirate tezi komandi, za da mogat da pasnat na Vashata
sistemna konfiguratsiia. Prochetete naruchnika na ipfwadm za poveche informatsiia.
Nachin na izpolzvane na ipchains
Vie imate nuzhda ot paketa ipchains, za da napravite tazi nastroika; mislia
che mozhe da go svalite ot: http://www.rpmfind.net/linux/RPM
Dobavete slednite redove vuv vashiia fail /etc/rc.local :
ipchains -A input -p tcp -j DENY --destination-port 137:139 -i eth0
ipchains -A input -p udp -j DENY --destination-port 137:139 -i eth0
ipchains -A output -p tcp -j DENY --destination-port 137:139 -i eth0
ipchains -A output -p udp -j DENY --destination-port 137:139 -i eth0
Tozi red vurshi sushtata rabota kato komandata ipfwadm ot predhodniia paragraf.
Podtvurzhdavane na samolichnostta chrez parola
Ako imate nuzhda ot potrebitelski akaunti i paroli za avtentichnost, bi triabvalo
da izsledvate drugite metodi za potvurzhdavane na avtentichnost v Samba (naprimer
sigurnost na nivo potrebitel, sigurnost na nivo domein, i t.n.). Tova e izvun
temata na tozi dokument.
Zaklyuchenie:
S tova se izcherpva sudurzhanieto na nashiia dokument za opisanie na produkta stupka
po stupka. Ako imate nuzhda ot poveche informatsiia otnosno Samba, posetete tiahnata
ofitsialna stranitsa na adres: (http://www.samba.org)
i prochetete tiahnata dokumentatsiia.
Vizhte [ CHast
1 | CHast
2 | CHast 3 ]