Debian 10에서 Samba 보안

Debian 10 VPS를 구성 중이고 최근에 Samba를 설치했습니다. 나는 /var/log/samba가 내가 설정한 공유에 액세스하려는 다양한 시도로 얼마나 빨리 채워지기 시작했는지에 대해 나쁜 방식으로 깊은 인상을 받았습니다.

설정을 강화하기 위해 온라인 조사를 수행하고 /etc/samba/smb.conf를 일부 변경했습니다.

• 로그 수준 = 3
• 게스트 서버에 매핑 = 절대 안 함
• 익명성 제한 = 2

이는 공격자를 좌절시키는 것 같습니다. 그런데 제가 삼바 로그 파일을 잘 읽어보지 못해서 잘 모르겠네요.

기록된 액세스 시도 로그 파일을 관찰한 결과 이러한 변경으로 인해 공격자가 포기한 것으로 보입니다. 이렇게 말하는 이유는 모든 로그 파일의 크기가 거의 같고 다음과 같이 로그 이벤트가 발생한 후에 모두 끝나기 때문입니다.

[2021/11/20 18:01:59.454538, 3] ../auth/auth_log.c:610(log_authentication_event_ human_read) 인증: [SMB,(null)] 사용자 [][] [2021년 11월 20일 18일] :01:59.454490 UTC] 워크스테이션 [] 원격 호스트 [ipv4:61.184.77.182:56818] [비밀번호 없음] 상태 [NT_STATUS_OK]가 [HWSRV-901112] [무인] [S-1-5-21-4219689906-1908890436 -3181349475-501]. localhost[ipv4:104.168.220.233:445] {"timestamp": "2021-11-20T18:01:59.454714+0000", "type": "인증", "Authentication": {"version": {"major " :1,"사소한":0},"상태":"NT_STATUS_OK","localAddress":"ipv4:104.168.220.233:445","remoteAddress":"ipv4:61.184.77.182:56818","serviceDescription ": "SMB", "authDescription": null, "clientDomain": "", "clientAccount": "", "Workstation": "", "becameAccount": "nobody", "becameDomain": "HWSRV-901112" , " beenSid": "S-1-5-21-4219689906-1908890436-3181349475-501", "mappedAccount": "", "mappedDomain": "", "netlogonComputer": null, "netlogonTrustAccount": null, " netlogonNegotiateFlags" ": "0x00000000", "netlogonSecureChannelType": 0, "netlogonTrustAccountSid": null, "passwordType": "비밀번호 없음", "기간": 1587}}

그러나 제가 걱정하는 점은 마지막 항목 바로 앞에 다음과 같은 항목이 있다는 것입니다.

[2021/11/20 18:01:59.454449, 3] ../source3/auth/auth.c:256(auth_check_ntlm_password) auth_check_ntlm_password: 사용자 []에 대한 익명 인증 성공

삼바는 이해가 안가는데 익명으로 인증 성공하는게 귀찮네요.

설치를 강화하려면 또 무엇을 해야 합니까? 특정 IP 주소를 제외한 모든 액세스를 차단하는 방화벽 규칙을 추가할 수 있습니다. 하지만 이는 여행 중에 공유에 액세스하려는 시도를 방해합니다.