Debian 10에서 Samba 보안

Debian 10에서 Samba 보안

Debian 10 VPS를 구성 중이고 최근에 Samba를 설치했습니다. 나는 /var/log/samba가 내가 설정한 공유에 액세스하려는 다양한 시도로 얼마나 빨리 채워지기 시작했는지에 대해 나쁜 방식으로 깊은 인상을 받았습니다.

설정을 강화하기 위해 온라인 조사를 수행하고 /etc/samba/smb.conf를 일부 변경했습니다.

  • 로그 수준 = 3
  • 게스트 서버에 매핑 = 절대 안 함
  • 익명성 제한 = 2

이는 공격자를 좌절시키는 것 같습니다. 그런데 제가 삼바 로그 파일을 잘 읽어보지 못해서 잘 모르겠네요.

기록된 액세스 시도 로그 파일을 관찰한 결과 이러한 변경으로 인해 공격자가 포기한 것으로 보입니다. 이렇게 말하는 이유는 모든 로그 파일의 크기가 거의 같고 다음과 같이 로그 이벤트가 발생한 후에 모두 끝나기 때문입니다.

[2021/11/20 18:01:59.454538, 3] ../auth/auth_log.c:610(log_authentication_event_ human_read) 인증: [SMB,(null)] 사용자 [][] [2021년 11월 20일 18일] :01:59.454490 UTC] 워크스테이션 [] 원격 호스트 [ipv4:61.184.77.182:56818] [비밀번호 없음] 상태 [NT_STATUS_OK]가 [HWSRV-901112] [무인] [S-1-5-21-4219689906-1908890436 -3181349475-501]. localhost[ipv4:104.168.220.233:445] {"timestamp": "2021-11-20T18:01:59.454714+0000", "type": "인증", "Authentication": {"version": {"major " :1,"사소한":0},"상태":"NT_STATUS_OK","localAddress":"ipv4:104.168.220.233:445","remoteAddress":"ipv4:61.184.77.182:56818","serviceDescription ": "SMB", "authDescription": null, "clientDomain": "", "clientAccount": "", "Workstation": "", "becameAccount": "nobody", "becameDomain": "HWSRV-901112" , " beenSid": "S-1-5-21-4219689906-1908890436-3181349475-501", "mappedAccount": "", "mappedDomain": "", "netlogonComputer": null, "netlogonTrustAccount": null, " netlogonNegotiateFlags" ": "0x00000000", "netlogonSecureChannelType": 0, "netlogonTrustAccountSid": null, "passwordType": "비밀번호 없음", "기간": 1587}}

그러나 제가 걱정하는 점은 마지막 항목 바로 앞에 다음과 같은 항목이 있다는 것입니다.

[2021/11/20 18:01:59.454449, 3] ../source3/auth/auth.c:256(auth_check_ntlm_password) auth_check_ntlm_password: 사용자 []에 대한 익명 인증 성공

삼바는 이해가 안가는데 익명으로 인증 성공하는게 귀찮네요.

설치를 강화하려면 또 무엇을 해야 합니까? 특정 IP 주소를 제외한 모든 액세스를 차단하는 방화벽 규칙을 추가할 수 있습니다. 하지만 이는 여행 중에 공유에 액세스하려는 시도를 방해합니다.

답변1

Samba 설정에 관계없이 Samba/CIFS 포트를 인터넷에 열어 두는 것은 매우 나쁜 습관입니다. Samba는 루트(필수)에서 실행되며 원격으로 악용할 수 있는 취약점이 있는 경우 전체 시스템이 손상될 가능성이 점점 더 높아집니다.

Samba 공유에 절대적으로 원격 액세스가 필요한 경우 다음을 수행할 수 있습니다.

  • VPN 서버를 설정하고 Samba가 내부/VPN 네트워크에서만 수신하도록 허용
  • Samba를 다시 방화벽으로 설정하거나 특정 인터페이스에서만 수신하도록 설정하는 동안 SSH 포트 전달을 사용하세요.
  • 방화벽을 사용하고 knock신뢰할 수 있는 사용자에게만 포트를 엽니다 .

knock구현하는 가장 간단한 방법이며 거의 모든 운영 체제를 사용하여 장치에 액세스할 수 있습니다.

관련 정보