Debian 10 VPS を設定しており、最近 Samba をインストールしました。私は/var/log/sambaが私が設定した共有にアクセスしようとするさまざまな試みでどれだけ早くいっぱいになり始めたかについて悪い方法で感銘を受けました。
設定を強化するためにオンライン調査を行い、/etc/samba/smb.confをいくつか変更しました。
- ログレベル = 3
- ゲストサーバーへのマッピング=絶対にしない
- 匿名性制限 = 2
これは攻撃者を挫折させるようです。しかし、私はSambaログファイルをよく読んでいないのでよくわかりません。
記録されたアクセス試行ログファイルを観察した結果、これらの変更は攻撃者によって放棄されたようです。これは、すべてのログファイルのサイズがほぼ同じで、次のようにログイベントが発生した後にすべて終了するためです。
[2021/11/20 18:01:59.454538, 3] ../auth/auth_log.c:610(log_authentication_event_ human_read) 認証: [SMB,(null)] ユーザー [][] [2021年11月20日 18日] :01:59.454490 UTC] ワークステーション [] リモートホスト [ipv4:61.184.77.182:56818] [パスワードなし] 状態 [NT_STATUS_OK]が-1908890436 -3181349475-501]。 localhost[ipv4:104.168.220.233:445] {"timestamp": "2021-11-20T18:01:59.454714+0000", "type": "認証", "Authentication": {"version": {"major " :1,"マイナー":0},"ステータス":"NT_STATUS_OK","localAddress":"ipv4:104.168.220.233:445","remoteAddress":"ipv4:61.184.77.182:56818"," "SMB", "authDescription": null, "clientDomain": "", "clientAccount": "", "Workstation": "", "becameAccount": "nobody", "becameDomain": "HWSRV-901112" , " beenSid": "S-1-5-21-4219689906-1908890436-3181349475-501", "mappedAccount": "", "mappedDomain": "", "netlogonComputer": null, "netlogonTrustAc ": "0x00000000", "netlogonSecureChannelType": 0, "netlogonTrustAccountSid": null, "passwordType": "パスワードなし", "期間": 1587}}
しかし、私が心配しているのは、最後の項目の直前に次の項目があることです。
[2021/11/20 18:01:59.454449, 3]
サンバは理解できないのに匿名で認証成功するのが面倒ですね。
インストールを強化するにはどうすればよいですか?特定のIPアドレスを除くすべてのアクセスをブロックするファイアウォールルールを追加できます。しかし、これは旅行中に共有にアクセスしようとするのを妨げます。
ベストアンサー1
Sambaの設定に関係なく、Samba / CIFSポートをインターネットに開いておくのは非常に悪い習慣です。 Sambaはルート(必須)で実行され、リモートで悪用される可能性がある脆弱性があると、システム全体が破損する可能性が高まります。
Samba共有に絶対にリモートアクセスが必要な場合は、次のことができます。
- VPNサーバーを設定し、Sambaが内部/ VPNネットワークでのみ受信できるようにする
- Sambaをファイアウォールに戻すか、特定のインターフェイスでのみリッスンするように設定している間は、SSHポート転送を使用してください。
- ファイアウォールを使用し、
knock信頼できるユーザーにのみポートを開きます。
knockこれは最も簡単な方法であり、ほとんどすべてのオペレーティングシステムを使用してデバイスにアクセスできます。