SAMBA smb.conf 최적 매개변수 확인

SAMBA smb.conf 최적 매개변수 확인

오늘 날짜가 주어지면 다음을 실행하십시오.윈도우 10 이상그리고 연결하다RHEL 8.8 이상현재 Linux 시스템은 samba-4.17.5-3.el8_8무엇입니까 ?모범 사례/etc/samba/smb.conf매개변수의 경우 다음을 보장 해야 합니다.가장 안전하고 안정적인 연결계약을 통과시키시겠습니까?

아래는 내가 사용하는 것입니다. 누구든지 수정하거나 추가하여 더 좋게 만들 수 있나요? 저는 간단한 로컬 비밀번호를 사용 security=user하고 생성하여 passdb backend = tdbsam간단한 삼바 설정을 하고 있습니다 smbpasswd -a. smb.confWindows 도메인 가입, Active Directory 및 기타 더 복잡한 사항과 관련된 공유하려는 템플릿이 있는 경우 에도 좋습니다.

제가 거의 항상 수행하는 두 가지 기본 공유(홈 및 데이터)를 보여드리겠습니다. 보안을 향상시키기 위한 몇 가지 매개변수도 있어야 합니까?

참고: 로깅 부분에 대해서는 크게 걱정하지 않으나, 관리자가 이를 읽고 구성 방법에 대해 합리적인 결정을 내릴 수 있도록 개선하거나 설명을 제공해 주시면 대단히 감사하겠습니다.

# /etc/samba/smb.conf template, RHEL 8.8

[global]
    workgroup = SAMBA
    security = user

    passdb backend = tdbsam

    printing = bsd
    printcap name = /dev/null
    load printers = no
    disable spoolss = yes

    log level = 0 vfs:10

    log file = /var/log/samba/sambavfs.log

    max log size = 0

    smb encrypt = required
    client min protocol = SMB3
    client max protocol = SMB3
    client signing = mandatory
    server signing = mandatory

[homes]
    comment = Home Directories
    valid users = %S, %D%w%S
    browseable = No
    read only = No
    inherit acls = Yes
    vfs objects = extd_audit

[data]
    comment = data
    inherit acls = Yes
    read only = No
    path = /data
    directory mask = 770
    create mask = 660
    vfs objects = extd_audit

노트:방금 발견했습니다FIPS=1in (또는 RHEL-8에서 사용 가능한 작업)은 Windows에서 Samba 연결을 종료합니다 GRUB_CMDLINE_LINUX. 바라보다/etc/default/grubfips-mode-setup --enablehttps://access.redhat.com/discussions/7022626. RHEL-7.9에서 FIPS=1을 구현할 때는 이러한 상황이 발생하지 않습니다.

답변1

관심 있는 분들을 위해 삼바에 대한 현재 매뉴얼 페이지를 살펴본 후 관련성이 있는 내용을 추출했습니다. 아래에 정의된 전역 섹션을 사용하면 Windows 10에서 RHEL-7.9 시스템으로 Samba 연결을 만들 수 있습니다(rhel 8.8 이상이라고 가정). 매뉴얼 페이지 설명에 따르면 이들 중 대부분이 기본 설정이라고 가정하지만 실제로 어떻게 보이는지 아는 것이 좋습니다.

# /etc/samba/smb.conf
# https://www.samba.org/samba/docs/current/man-html/smb.conf.5.html

[global]
    server role = standalone
    security = user
    passdb backend = tdbsam
    map to guest = Bad User

#   turn off print stuff
    printing = bsd
    printcap name = /dev/null
    load printers = no
    disable spoolss = yes

#   default deadtime to disconnect after N minutes of inactivity is 10080
    deadtime = 5

    server min prototcol = SMB3_11
    server smb encrypt = required
    server signing = mandatory
#   server smb3 encryption algorithms = AES-128-GCM, AES-128-CCM, AES-256-GCM, AES-256-CCM
#   server smb3 signing algorithms = AES-128-GMAC, AES-128-CMAC, HMAC-SHA256
    server smb3 encryption algorithms = AES-256-GCM
    server smb3 signing algorithms = AES-128-GMAC

    client min protocol = SMB3_11
    client smb encrypt = required
    client signing = required
    client ipc signing  = required
    client protection = encrypt
#   client smb3 encryption algorithms = AES-128-GCM, AES-128-CCM, AES-256-GCM, AES-256-CCM
#   client smb3 signing algorithms = AES-128-GMAC, AES-128-CMAC, HMAC-SHA256
    client smb3 encryption algorithms = AES-256-GCM
    client smb3 signing algorithms = AES-128-GMAC
    
#   client use kerberos = < off | desired | required >
#   kerberos encryption types = < all | strong | legacy >

#   hosts allow = 192.168.1.0/255.255.255.0
    
    max log size = 0
    log level = 0 vfs:10
    log file = /var/log/samba/sambavfs.log

관련 정보