Verifique se o Samba só funciona localmente

1

Introdução

Minha intenção é tornar os arquivos acessíveis a partir da minha rede local. (streaming de vídeos / músicas, compartilhamento de arquivos, ...)

Para isso, eu configurei um Intel NUC com Ubuntu e o conectei à minha rede local. Devido a eu querer que isso funcione tanto com o OS X quanto com o Windows, eu li que o Samba é a escolha certa nesse caso.

Problema

Tudo funciona como um encanto! Mas eu não tenho certeza sobre a segurança e qualquer tráfego de internet possível.

Problema 1: Segurança

As duas únicas coisas relevantes de segurança que fiz foram as seguintes:

  • Adicionei um usuário para autenticação ao conectar-me ao servidor
  • usei os parâmetros "permitir host" e "host deny" como este
    • host allow = 192.168.0
    • host deny = TODOS

Então, eu estou seguro de conexões externas com essa configuração? Eu simplesmente não quero que nada seja público. Tudo deve se concentrar apenas na minha rede local.

Problema 2: tráfego da Internet

Devido a eu também transmitir / compartilhar arquivos grandes, seria interessante se houvesse tráfego de internet que diminuiria minha largura de banda em outros computadores na rede também.

Pergunta

Então existe alguma possibilidade de verificar se o meu Ubuntu Samba Setup é seguro contra conexões do lado público do NAT?

    
por David Michael Huber 17.04.2015 / 14:52

1 resposta

2

É provavelmente seguro, mas não há garantia disso.

O serviço samba é executado como um processo de escuta, pelo menos, nas portas TCP 139 e 445. Por padrão, ele aceita conexões de qualquer lugar.

Seus parâmetros de permissão / negação do host fazem com que apenas a autenticação seja impossível nessas portas, mas não proíbem as conexões com o serviço samba, que serão tão atacáveis por métodos diferentes (por exemplo, ataque DoS ou por qualquer segurança possível no seu sistema).

Na minha opinião, a melhor e mais simples coisa que você pode fazer, se você configurar o samba para ouvir somente na sua rede interna . Isso pode ser feito com a configuração interfaces no seu smb.conf . Por exemplo, defina um interfaces = 192.168.1.1/24 , se o seu IP interno for 192.168.1.1 em uma sub-rede / 24.

Como alternativa, você também pode alterar as configurações do seu firewall. Depende do seu firewall. No caso do iptables, um iptables -A INPUT -j DROP ! -s 192.168.1.0/24 -m multiport -p tcp --dports 139,445 negaria todas as conexões de entrada para o seu serviço samba que são originadas fora da sua rede interna.

    
por 17.04.2015 / 16:22

Tags