от Ying Zhang(13-04-2000)

рейтинг (18)   [ добре ]  [ зле ]

Printer Friendly Вариант за отпечатване

Тази статия е преведена с разрешението на автора и Ying Zhang.
Адресът на оригиналната статия е http://dcfonline.sfu.ca/ying/linux
Превод: Божидар Иванов - bobyri@mailexcite.com.

Продължениe на [ част 2 ].

Увеличаване на сигурността на Samba

Всеки път, когато добавяте някаква услуга като Samba на вашето PC, Вие несъзнателно предоставяте на кракърите още едно поле за атака. Сега ще Ви покажа някои начини да защитите Вашия Samba сървър.

С помощта на Samba

С помощта на конфигурационния файл на Samba (/etc/smb.conf), Вие можете изрично да укажете кой IP адрес да слуша. Редовете, които осъществяват това са:

interfaces = 192.168.0.1/24 127.0.0.1/24
bind interfaces only = Yes

Естествено, Вие бихте могли да замените този ред, така че да окажете собствен обхват от IP адреси. Понеже съм параноик, аз въведох идруго ниво на защита, като филтрирах портовете на NetBIOS-а.

Филтриране на портовете

Потребителски портове от тип SMB 137-139; за по-сигурно аз блокирах двата порта на TCP и UDP 137-139. Ако използвате ядрото 2.0, Вие ще използвате инструмент, наречен ipfwadm, за да постигнете горепосоченото ниво на защита. С ядра 2.1 и 2.2, Вие ще използвате ipchains.

Начин на използване на ipfwadm

Уверете се, че разполагате с ipfwadm. Ако ли не, Вие можете да го свалите като RPM от следната страница: http://www.rpmfind.net/linux/RPM.

Добавете следните редове във вашия файл /etc/rc.local:

ipfwadm -I -P tcp -a deny -S any/0 137:139 -W eth0
ipfwadm -I -P udp -a deny -S any/0 137:139 -W eth0
ipfwadm -O -P tcp -a deny -S any/0 137:139 -W eth0
ipfwadm -O -P udp -a deny -S any/0 137:139 -W eth0

Това ще забрани всички пристигащи и заминаващи пакети от портовете 137-139 под eth0 интерфейса. eth0 е NIC-ът който свързва моята кутия с Интернет - може би Вие трябва да модифицирате тези команди, за да могат да паснат на Вашата системна конфигурация. Прочетете наръчника на ipfwadm за повече информация.

Начин на използване на ipchains

Вие имате нужда от пакета ipchains, за да направите тази настройка; мисля че може да го свалите от: http://www.rpmfind.net/linux/RPM

Добавете следните редове във вашия файл /etc/rc.local :

ipchains -A input -p tcp -j DENY --destination-port 137:139 -i eth0
ipchains -A input -p udp -j DENY --destination-port 137:139 -i eth0
ipchains -A output -p tcp -j DENY --destination-port 137:139 -i eth0
ipchains -A output -p udp -j DENY --destination-port 137:139 -i eth0

Този ред върши същата работа като командата ipfwadm от предходния параграф.

Подтвърждаване на самоличността чрез парола

Ако имате нужда от потребителски акаунти и пароли за автентичност, би трябвало да изследвате другите методи за потвърждаване на автентичност в Samba (например сигурност на ниво потребител, сигурност на ниво домейн, и т.н.). Това е извън темата на този документ.
Заключение:

С това се изчерпва съдържанието на нашия документ за описание на продукта стъпка по стъпка. Ако имате нужда от повече информация относно Samba, посетете тяхната официална страница на адрес: (http://www.samba.org) и прочетете тяхната документация.

Вижте [ Част 1 | Част 2 | Част 3 ]



<< Първи стъпки с MySQL | Инсталиране и конфигуриране на Samba (част 2) >>