evitando ataque de força bruta no servidor samba [closed]

1

Eu tenho uma LAN com muitos usuários (clientes) nela. Cada um deles tem uma pasta privada de compartilhamento de samba.

Como posso evitar que alguém (dentro da mesma rede) force uma outra conta (para que ele possa acessar os dados de outra pessoa)?

Googling traz apenas: "As ações do Samba não devem estar na internet pública". Mas estou na minha rede local.

Acho que muitos administradores têm esse "problema" exato (por exemplo, empresas ou administradores de universidades)

Então existe alguma maneira de permitir apenas 3 tentativas de login por minuto ou colocar o ip de um cliente na lista negra após 3 tentativas? Ou alguma outra solução para esse problema? Eu tentei o fail2ban, mas não há nenhum endereço IP do host no arquivo de log.

Mais informações:

  • Clientes na maioria das vezes, Windows 7 ou superior
  • Samba current Version no Ubuntu 16.04
por oceanBT 06.08.2016 / 18:56

1 resposta

1

Antes de tudo, devo admitir que você não pode torná-lo 100% seguro .

Para proteger o Samba na sua LAN, acho que a única opção que você tem é definir algumas regras no iptables para bloquear qualquer tentativa de senha incorreta por X vezes. - número de hitcount é a sua escolha, sugiro 2 ou 3

Aqui você pode ver algumas regras simples definidas no iptables, eu não usei o endereço IP nos comandos abaixo, mas eu recomendo que você defina o endereço IP seguido pelo seu número CIDR para que ele se torne mais seguro

$ iptables -A INPUT -i eth0 -p udp --dport 137 -m state --state NEW -m recent --set --name netbios-ns

$ iptables -A INPUT -i eth0 -p udp --dport 137 -m state --state NEW -m recent --update --seconds 20 --hitcount 2 --rttl --name netbios-ns -j DROP

$ iptables -A INPUT -i eth0 -p udp --dport 138 -m state --state NEW -m recent --set --name netbios-dgm

$ iptables -A INPUT -i eth0 -p udp --dport 138 -m state --state NEW -m recent --update --seconds 20 --hitcount 2 --rttl --name netbios-dgm -j DROP

$ iptables -A INPUT -i eth0 -p tcp --dport 139 -m state --state NEW -m recent --set --name netbios-ssn

$ iptables -A INPUT -i eth0 -p tcp --dport 139 -m state --state NEW -m recent --update --seconds 20 --hitcount 2 --rttl --name netbios-ssn -j DROP

$ iptables -A INPUT -i eth0 -p tcp --dport 445 -m state --state NEW -m recent --set --name microsoft-ds

$ iptables -A INPUT -i eth0 -p tcp --dport 445 -m state --state NEW -m recent --update --seconds 20 --hitcount 2 --rttl --name microsoft-ds -j DROP

Espero que isso possa ajudar.

    
por 06.08.2016 / 20:46