實(shí)現(xiàn)安全Samba的六種簡單途徑

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

允許正確的人輕松地訪問資源，防止非授權(quán)的入侵者得到你不想讓他們看到的信息，所謂安全就是在這兩者之間取得一個(gè)平衡。Samba全面的配置選項(xiàng)列表使你可以正確地根據(jù)你的需要調(diào)整安全策略。這里給出了一些重要的選項(xiàng)，通過配置這些選項(xiàng)你可以讓合法的用戶使用Samba而幾乎不會(huì)讓其他任何人訪問Samba。 
 
口令

很多安全策略都是基于口令。用戶名和口令這一組合仍然是用戶認(rèn)證的最有效方式之一，換句話說，就是口令確保安全。利用容易得到并且使用簡單的網(wǎng)絡(luò)監(jiān)聽工具可能是件困難的事情，但從線路中監(jiān)聽一個(gè)口令已經(jīng)變成一件相當(dāng)簡單事情。

在網(wǎng)絡(luò)中限制口令的傳輸

Windows在傳送和接受口令時(shí)使用了幾種不同的方法，但這對(duì)用戶是透明的。即使到了Windows 2000 Service Pack 3，明碼電文仍然是這些方法之一?；旧希脩裘涂诹畋淮虬?，然后在沒有任何保護(hù)訪問措施的情況下在網(wǎng)絡(luò)中傳送。

第一步是將“加密口令”選項(xiàng)設(shè)置為Yes。這將使Samba不再使用明碼電文口令。然而，在缺省情況下， Samba將使用一種老式的LAN Manager格式來加密口令。雖然不是明文，但這種加密過于簡單，攻擊者可以通過窮舉將口令破解，所以并不推薦這種方式。

關(guān)閉LAN Manager口令加密方式，你可以添加Lanman Auth選項(xiàng)并設(shè)置為No。這將斷開所有非Windows NT/2000/XP 的客戶機(jī)和服務(wù)器，因?yàn)橹挥袑?duì)方是NT的認(rèn)證方式時(shí)，才能進(jìn)行通信。NT認(rèn)證方式比LAN Manager口令加密更加難以被破解。實(shí)際上，存在兩種不同的NT認(rèn)證版本，但這兩個(gè)版本對(duì)目前的處理能力來說都已經(jīng)足夠安全了。

何處得到你的口令

一旦知道了口令被安全傳輸，你就要開始考慮策略問題。Samba十分靈活，使得你可以應(yīng)用本地UNIX服務(wù)器、獨(dú)立的Windows服務(wù)器、Windows 2000域，或者LDAP服務(wù)器來告訴它哪類客戶機(jī)應(yīng)該或不應(yīng)該被允許連接到服務(wù)器。無論你選擇哪個(gè)，Samba服務(wù)器將和你正在使用的認(rèn)證用戶系統(tǒng)具有同樣的安全性。因此，簡而言之，小心的選擇Samba服務(wù)器可信任的系統(tǒng)。

如果你要求用戶記住他們自己的口令，而不是把口令記在顯眼的地方。限制訪問企業(yè)系統(tǒng)的用戶的用戶名和口令唯一性對(duì)于使用單點(diǎn)登陸是非常重要的。通過使用一個(gè)現(xiàn)有的用戶名和口令基礎(chǔ)架構(gòu)，你可以讓Samba和現(xiàn)有的基礎(chǔ)架構(gòu)很好的融合。

空口令

勿庸置疑，允許你的用戶使用空口令會(huì)將你的整個(gè)主機(jī)暴露在潛在的敵人面前。但仍有許多企業(yè)允許使用空口令。Samba可以使你通過讓管理員拒絕空口令或無效口令的用戶進(jìn)行連接來鼓勵(lì)用戶選擇一個(gè)口令。這一點(diǎn)通過增加Null Passwords屬性并設(shè)置為No來實(shí)現(xiàn)。

對(duì)共享級(jí)安全說不

Samba可以建立共享級(jí)安全。在這個(gè)機(jī)制中，共享被指派一個(gè)口令，而無需一個(gè)認(rèn)證用戶在連接一個(gè)共享驗(yàn)證時(shí)提供一個(gè)用戶名和口令。盡管共享級(jí)安全在小環(huán)境中看上去不錯(cuò)，但這會(huì)因?yàn)樗腥硕脊蚕硗粋€(gè)口令而變得十分不安全。不僅是可以輕松的發(fā)現(xiàn)這個(gè)唯一的口令，而且當(dāng)你更換口令而必須通知用戶這個(gè)變化時(shí)，這會(huì)變得異常繁瑣。

限制主機(jī)

通過Samba控制訪問者的另一個(gè)方法是，控制主機(jī)的連接列表。實(shí)際上，Samba在主機(jī)級(jí)別有兩種方法可以控制訪問。

謹(jǐn)慎選擇接口

如果Samba系統(tǒng)安裝了多個(gè)網(wǎng)卡，你可以限制Samba應(yīng)答請(qǐng)求的接口。例如，如果你在專用網(wǎng)絡(luò)中使用一塊網(wǎng)卡并且用另一塊連接公用的Internet，由于你同時(shí)用服務(wù)器進(jìn)行NAT，你可以告訴Samb只應(yīng)答來自專用網(wǎng)絡(luò)中的請(qǐng)求。

這可以通過設(shè)置Bind Interfaces Only屬性為Yes來實(shí)現(xiàn)。這將告訴Samba只應(yīng)答來自指定接口的請(qǐng)求。下一步是通過增加一個(gè)接口屬性和指定支持的接口來指定可接受的接口。這個(gè)接口屬性將接受UNIX接口名或者接口的IP地址。

允許主機(jī)

Samba控制哪些主機(jī)可以獲得訪問的第二種方法是使用Hosts Allow屬性。這個(gè)屬性允許你編輯列表指定哪些主機(jī)可以進(jìn)行訪問。這個(gè)地址列表可以是地址/子網(wǎng)掩碼形式，所以你可以同時(shí)允許整個(gè)子網(wǎng)進(jìn)行訪問。例如，如果你的專用網(wǎng)絡(luò)使用保留的A類地址(10.x.x.x)，你可以指定10.或者10.0.0.0/255.0.0.0以使專用網(wǎng)絡(luò)中的任何計(jì)算機(jī)都可以訪問Samba服務(wù)器。

如果正在使用DHCP和IP地址，但你想將訪問限制在部分主機(jī)上，可以在Hosts Allow屬性中編輯他們的主機(jī)名。除此之外，還有一個(gè)Hosts Deny屬性允許你拒絕某個(gè)主機(jī)的訪問。

防火墻

當(dāng)然，你也可以在防火墻級(jí)禁用對(duì)Samba運(yùn)行非必要的端口。這樣可以有效的限制防火墻另一側(cè)的主機(jī)對(duì)Samba的訪問。如果想用防火墻阻斷對(duì)Samba的通信，你只需要關(guān)閉TCP/135, UDP/135, UDP/137, UDP/138, UDP/139, 和TCP/139端口。這將有效的禁止對(duì)Samba服務(wù)器的訪問，以及對(duì)你的網(wǎng)絡(luò)中其他任何Windows服務(wù)器的訪問。

拒絕瀏覽

可以使你的系統(tǒng)更安全的方法之一是，防止用戶知道它的存在。通過拒絕用戶瀏覽你的系統(tǒng)，你可以在很大程度上減少系統(tǒng)成為被攻擊目標(biāo)的可能性。

關(guān)閉瀏覽共享的方法很簡單。一個(gè)方法是將每個(gè)共享區(qū)域的browseable選項(xiàng)設(shè)置為No。你也可以在共享名后加一個(gè)$符號(hào)。這個(gè)符號(hào)是Windows將共享設(shè)為不可見的標(biāo)準(zhǔn)方法。

另一個(gè)選擇是，通過手動(dòng)地建立包含一系列限制的IPC$共享，這些限制可以禁止用戶進(jìn)行連接，你可以關(guān)閉所有的瀏覽連接。這個(gè)IPC$共享是一個(gè)隱藏的進(jìn)程間通信共享，中小企業(yè)用戶用它進(jìn)行諸如瀏覽等事情。要想禁止對(duì)所有共享的瀏覽，你可以創(chuàng)建IPC$共享區(qū)域并設(shè)置hosts deny = 0.0.0.0/0。你還可以設(shè)置hosts allow = 127.0.0.1以使本地計(jì)算機(jī)可以使用IPC$共享。

簡單的病毒防護(hù)

在大多數(shù)環(huán)境中，用戶可以訪問的文件共享中不應(yīng)該有可執(zhí)行文件存在。用戶可以在文件共享中保存他們的文檔，電子表格，演示稿等?？梢耘渲肧amba使得不允許某些類型的文件存儲(chǔ)在文件共享中。這可以通過每個(gè)共享中的Veto Files屬性實(shí)現(xiàn)。在Veto Files選項(xiàng)中，文件類型之間用斜線字符(/)隔開，并且支持標(biāo)準(zhǔn)通配符星號(hào)(*)和問號(hào)(?)。如果想拒絕EXE文件，COM文件，或DLL文件，你可以象這樣設(shè)置Veto files的屬性：Veto files = /*.exe/*.com/*.dll/

這將阻止這些類型文件的訪問和存儲(chǔ)，并且能有效的防止Samba服務(wù)器傳播大多數(shù)類型的Windows蠕蟲和病毒。你可能希望禁止一些其他文件類型以有效的拒絕那些被用來傳播病毒的文件擴(kuò)展名。

來源:ZDNET