Samba безопастность

[tarya]

Привет. Настроил в Самбе логирование, полез в логи и страшно стало:

Код: [Выделить]

check_ntlm_password:  Authentication for user [admin] -> [admin] FAILED with error NT_STATUS_NO_SUCH_USER
check_ntlm_password:  Authentication for user [hp] -> [hp] FAILED with error NT_STATUS_NO_SUCH_USER
check_ntlm_password:  Authentication for user [Administrator] -> [Administrator] FAILED with error NT_STATUS_NO_SUCH_USER

Все это с разных на вид адресов:

Код: [Выделить]

-rw-r--r-- 1 root root       0 Dec  9 15:53 log.31.135.103.37
-rw-r--r-- 1 root root    9300 Dec  9 16:12 log.31.135.112.193
-rw-r--r-- 1 root root    7505 Dec  9 16:10 log.36.80.133.56
-rw-r--r-- 1 root root       0 Dec  9 15:52 log.62.118.140.194
-rw-r--r-- 1 root root       0 Dec  9 15:54 log.62.165.8.61
-rw-r--r-- 1 root root    6340 Dec  9 16:10 log.77.87.101.199
-rw-r--r-- 1 root root       0 Dec  9 15:55 log.77.93.126.233
-rw-r--r-- 1 root root    6340 Dec  9 16:09 log.78.37.18.90
-rw-r--r-- 1 root root    9414 Dec  9 16:11 log.78.37.23.185
-rw-r--r-- 1 root root       0 Dec  9 15:54 log.80.245.123.121
-rw-r--r-- 1 root root     184 Dec  9 16:01 log.81.4.202.157
-rw-r--r-- 1 root root    3138 Dec  9 16:04 log.89.109.10.56
-rw-r--r-- 1 root root    9414 Dec  9 16:10 log.89.109.43.52
-rw-r--r-- 1 root root    9414 Dec  9 16:11 log.91.210.179.177

И так далее. Ужаснулся что это такое, неужели ктото к самбе может подключиться извне? Как это все понять?

Спасибо.
Пользователь добавил сообщение 09 Декабря 2020, 17:29:33:Открыты порты:

Код: [Выделить]

Not shown: 991 closed ports
PORT     STATE    SERVICE
21/tcp   open     ftp
22/tcp   open     ssh
53/tcp   open     domain
80/tcp   open     http
139/tcp  filtered netbios-ssn
445/tcp  filtered microsoft-ds
8000/tcp open     http-alt
8080/tcp open     http-proxy
9091/tcp open     xmltec-xmlmail

8000, 8080 - проброс видеорегистратора, 9091 - ftp клиент Transmission.

[AlexDem]

Если задача ограничить доступ самбы только для внутренних ip адресов, то можно в /etc/samba/smb.conf добавить нужные опции

Код: [Выделить]

interfaces = 10.100.0.1/24
hosts allow = 127.0.0.1 10.100.0.1/24
bind interfaces only = yes
Т.е. у тебя будет доступ только из localhost и из внутренней сети 10.100.0.Х. Ну или поменять на свое внутреннее адресное пространство, например 192.168.1.1

А вообще можно и внешнее подключение организовать, нет проблем, если порты 137-139 и 445 открыты. В этом случае надо настроить доступ по паролю-логину через smbpasswd

Да и вопрос, а Самба у тебя где, за NAT или просто на неком сервере, который в интернет светит портами?

[AnrDaemon]

Код: [Выделить]

interfaces = 127.0.0.0/8 10.100.0.0/24
hosts allow = 127.0.0.0/8 10.100.0.0/24
тогда уже…

[tarya]

Если задача ограничить доступ самбы только для внутренних ip адресов, то можно в /etc/samba/smb.conf добавить нужные опции

Код: [Выделить]

interfaces = 10.100.0.1/24
hosts allow = 127.0.0.1 10.100.0.1/24
bind interfaces only = yes
Т.е. у тебя будет доступ только из localhost и из внутренней сети 10.100.0.Х. Ну или поменять на свое внутреннее адресное пространство, например 192.168.1.1

А вообще можно и внешнее подключение организовать, нет проблем, если порты 137-139 и 445 открыты. В этом случае надо настроить доступ по паролю-логину через smbpasswd

Да и вопрос, а Самба у тебя где, за NAT или просто на неком сервере, который в интернет светит портами?

Сколько читал инструкций по установки Самбы никогда на этом не акцинтировали внимание. Да, стоит на том же серванте что торчит в мир. Ну и срака.

Никогда не замечал чтоб было чтото не так, или подозрительное. Мда. Это моя вина. Сейчас закрою. Спасибо за подсказки.
Пользователь добавил сообщение 10 Декабря 2020, 01:35:32:Прописал вот так:

Код: [Выделить]

interfaces = 127.0.0.0/8 192.168.30.0/24
hosts allow = 127.0.0.0/8 192.168.30.0/24
bind interfaces only = yes

Я в ужасе. Там конечно все было под сильными паролями, но все равно. А как это соединиться на удаленный хость по SMB? Так само как и на локальный?

[valrust]

Может samba по ipv6 слушает. Проверьте.

Код: (bash) [Выделить]

sudo lsof -i 6:microsoft-ds,netbios-ssn

[tarya]

Ответ пустой.

Я прописал все как посоветовали выше, и еще сейчас те порты закрою нафиг.
Пользователь добавил сообщение 10 Декабря 2020, 01:57:41:

Код: [Выделить]

sudo iptables -nvL INPUT
Chain INPUT (policy ACCEPT 49292 packets, 12M bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:1194
 7201  899K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    1    60 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:32400
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:32400
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:32410
 3648  179K ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:32412
 3648  179K ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:32414
6433K 9549M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
  194 12299 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:500
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:4500

32400 - Plex
Пользователь добавил сообщение 10 Декабря 2020, 02:17:42:

Код: [Выделить]

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:1194
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:32400
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:32400
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:32410
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:32412
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:32414
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:500
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:4500
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpts:137:139
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:445

Кажется забанил 137-139, 445. Но nmap со стороны видит такое:

Код: [Выделить]

139/tcp  filtered netbios-ssn
445/tcp  filtered microsoft-ds
Так и должно быть?
Пользователь добавил сообщение 10 Декабря 2020, 02:40:33:Все, кажется все закрыл. Ничего лишнего в логах кажется нет. Фу.

[AlexDem]

А как это соединиться на удаленный хость по SMB? Так само как и на локальный?

Через любой Samba клиент, или через проводник Windows (он там встроенный) по

Код: [Выделить]

\\ip\volumeВообще, самба штука не самая безопасная (а уж v 1.0 тем более, она была скомпрометирована), она предназначалась для организации внутренней сети Windows, и то, что можно организовать при этом доступ к ней извне на тех же принципах, безопаснее её не делает.
Если уж так надо сделать внешний доступ, то надо сделать как описано выше + добавить в интерфейсы адреса внутренней VPN сети, а весь внешний трафик завернуть в VPN пакеты. Тогда получим и безопасный сервер, и защищенное шифрованное подключение, и авторизацию по ключам, и менеджмент пользователей грамотный и пр.

[tarya]

Спасибо, нет, с внешней стороны не нужно ничего.

Если чесно столько делал по разным мануалам - хоть бы кто заикнулся. Но кажется ничего такого. Один раз в пустой шаре без пароля появились вирусы, но тогда я подумал что это изнутри. Теперь все понятно. Фу.
Пользователь добавил сообщение 10 Декабря 2020, 10:12:25:

А как это соединиться на удаленный хость по SMB? Так само как и на локальный?

Через любой Samba клиент, или через проводник Windows (он там встроенный) по

Код: [Выделить]

\\ip\volumeВообще, самба штука не самая безопасная (а уж v 1.0 тем более, она была скомпрометирована), она предназначалась для организации внутренней сети Windows, и то, что можно организовать при этом доступ к ней извне на тех же принципах, безопаснее её не делает.
Если уж так надо сделать внешний доступ, то надо сделать как описано выше + добавить в интерфейсы адреса внутренней VPN сети, а весь внешний трафик завернуть в VPN пакеты. Тогда получим и безопасный сервер, и защищенное шифрованное подключение, и авторизацию по ключам, и менеджмент пользователей грамотный и пр.

Интересно, а вы не знаете, нет ли возможности вести логирование кто что где скачивал. Тоесть активность по самбе, я именно это и хотел проверить как вирус появился в папке без пароля. Тогда я не нашел ни одной машинки с вирусами что меня и держало в тонусе. Теперь вероятно так они и попали.

[AlexDem]

Если чесно столько делал по разным мануалам - хоть бы кто заикнулся.

Просто потому, что даже делая по мануалам, надо примерно понимать что происходит. Просто мануал пишется для некого среднего пользователя, без учета всех обстоятельств и конфигураций сети. И то, что хорошо для сервера внутри сети за NAT может быть крайне опасным для внешнего сервера, который смотрит в интренет напрямую. Я не зря тебя про NAT спросил. Судя по всему ты делал настройку по мануалу для первого случая.

[tarya]

Да, будет мне наука!

Благо ничего критического не произошло, но нужно быть на чеку.