Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: Samba безопастность  (Прочитано 686 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн tarya

  • Автор темы
  • Активист
  • *
  • Сообщений: 301
    • Просмотр профиля
Samba безопастность
« : 09 Декабрь 2020, 17:13:53 »
Привет. Настроил в Самбе логирование, полез в логи и страшно стало:

check_ntlm_password:  Authentication for user [admin] -> [admin] FAILED with error NT_STATUS_NO_SUCH_USER
check_ntlm_password:  Authentication for user [hp] -> [hp] FAILED with error NT_STATUS_NO_SUCH_USER
check_ntlm_password:  Authentication for user [Administrator] -> [Administrator] FAILED with error NT_STATUS_NO_SUCH_USER

Все это с разных на вид адресов:

-rw-r--r-- 1 root root       0 Dec  9 15:53 log.31.135.103.37
-rw-r--r-- 1 root root    9300 Dec  9 16:12 log.31.135.112.193
-rw-r--r-- 1 root root    7505 Dec  9 16:10 log.36.80.133.56
-rw-r--r-- 1 root root       0 Dec  9 15:52 log.62.118.140.194
-rw-r--r-- 1 root root       0 Dec  9 15:54 log.62.165.8.61
-rw-r--r-- 1 root root    6340 Dec  9 16:10 log.77.87.101.199
-rw-r--r-- 1 root root       0 Dec  9 15:55 log.77.93.126.233
-rw-r--r-- 1 root root    6340 Dec  9 16:09 log.78.37.18.90
-rw-r--r-- 1 root root    9414 Dec  9 16:11 log.78.37.23.185
-rw-r--r-- 1 root root       0 Dec  9 15:54 log.80.245.123.121
-rw-r--r-- 1 root root     184 Dec  9 16:01 log.81.4.202.157
-rw-r--r-- 1 root root    3138 Dec  9 16:04 log.89.109.10.56
-rw-r--r-- 1 root root    9414 Dec  9 16:10 log.89.109.43.52
-rw-r--r-- 1 root root    9414 Dec  9 16:11 log.91.210.179.177

И так далее. Ужаснулся что это такое, неужели ктото к самбе может подключиться извне? Как это все понять?

Спасибо.

Пользователь добавил сообщение 09 Декабрь 2020, 17:29:33:
Открыты порты:

Not shown: 991 closed ports
PORT     STATE    SERVICE
21/tcp   open     ftp
22/tcp   open     ssh
53/tcp   open     domain
80/tcp   open     http
139/tcp  filtered netbios-ssn
445/tcp  filtered microsoft-ds
8000/tcp open     http-alt
8080/tcp open     http-proxy
9091/tcp open     xmltec-xmlmail

8000, 8080 - проброс видеорегистратора, 9091 - ftp клиент Transmission.
« Последнее редактирование: 09 Декабрь 2020, 17:29:33 от tarya »

Оффлайн AlexDem

  • Активист
  • *
  • Сообщений: 467
    • Просмотр профиля
Re: Samba безопастность
« Ответ #1 : 09 Декабрь 2020, 18:30:20 »
Если задача ограничить доступ самбы только для внутренних ip адресов, то можно в /etc/samba/smb.conf добавить нужные опции

interfaces = 10.100.0.1/24
hosts allow = 127.0.0.1 10.100.0.1/24
bind interfaces only = yes
Т.е. у тебя будет доступ только из localhost и из внутренней сети 10.100.0.Х. Ну или поменять на свое внутреннее адресное пространство, например 192.168.1.1

А вообще можно и внешнее подключение организовать, нет проблем, если порты 137-139 и 445 открыты. В этом случае надо настроить доступ по паролю-логину через smbpasswd

Да и вопрос, а Самба у тебя где, за NAT или просто на неком сервере, который в интернет светит портами?
« Последнее редактирование: 09 Декабрь 2020, 18:46:05 от AlexDem »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27663
    • Просмотр профиля
Re: Samba безопастность
« Ответ #2 : 09 Декабрь 2020, 20:04:22 »
interfaces = 127.0.0.0/8 10.100.0.0/24
hosts allow = 127.0.0.0/8 10.100.0.0/24

тогда уже…
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн tarya

  • Автор темы
  • Активист
  • *
  • Сообщений: 301
    • Просмотр профиля
Re: Samba безопастность
« Ответ #3 : 10 Декабрь 2020, 01:29:36 »
Если задача ограничить доступ самбы только для внутренних ip адресов, то можно в /etc/samba/smb.conf добавить нужные опции

interfaces = 10.100.0.1/24
hosts allow = 127.0.0.1 10.100.0.1/24
bind interfaces only = yes
Т.е. у тебя будет доступ только из localhost и из внутренней сети 10.100.0.Х. Ну или поменять на свое внутреннее адресное пространство, например 192.168.1.1

А вообще можно и внешнее подключение организовать, нет проблем, если порты 137-139 и 445 открыты. В этом случае надо настроить доступ по паролю-логину через smbpasswd

Да и вопрос, а Самба у тебя где, за NAT или просто на неком сервере, который в интернет светит портами?

Сколько читал инструкций по установки Самбы никогда на этом не акцинтировали внимание. Да, стоит на том же серванте что торчит в мир. Ну и срака.

Никогда не замечал чтоб было чтото не так, или подозрительное. Мда. Это моя вина. Сейчас закрою. Спасибо за подсказки.

Пользователь добавил сообщение 10 Декабрь 2020, 01:35:32:
Прописал вот так:

interfaces = 127.0.0.0/8 192.168.30.0/24
hosts allow = 127.0.0.0/8 192.168.30.0/24
bind interfaces only = yes

Я в ужасе. Там конечно все было под сильными паролями, но все равно. А как это соединиться на удаленный хость по SMB? Так само как и на локальный?
« Последнее редактирование: 10 Декабрь 2020, 01:35:32 от tarya »

Оффлайн valrust

  • Активист
  • *
  • Сообщений: 285
    • Просмотр профиля
Re: Samba безопастность
« Ответ #4 : 10 Декабрь 2020, 01:41:46 »
Может samba по ipv6 слушает. Проверьте.
Код: (bash) [Выделить]
sudo lsof -i 6:microsoft-ds,netbios-ssn
« Последнее редактирование: 10 Декабрь 2020, 01:45:16 от valrust »

Оффлайн tarya

  • Автор темы
  • Активист
  • *
  • Сообщений: 301
    • Просмотр профиля
Re: Samba безопастность
« Ответ #5 : 10 Декабрь 2020, 01:55:25 »
Ответ пустой.

Я прописал все как посоветовали выше, и еще сейчас те порты закрою нафиг.

Пользователь добавил сообщение 10 Декабрь 2020, 01:57:41:
sudo iptables -nvL INPUT
Chain INPUT (policy ACCEPT 49292 packets, 12M bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:1194
 7201  899K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    1    60 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:32400
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:32400
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:32410
 3648  179K ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:32412
 3648  179K ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:32414
6433K 9549M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
  194 12299 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:500
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:4500

32400 - Plex

Пользователь добавил сообщение 10 Декабрь 2020, 02:17:42:
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:1194
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:32400
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:32400
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:32410
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:32412
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            state NEW udp dpt:32414
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:500
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:4500
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpts:137:139
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:445

Кажется забанил 137-139, 445. Но nmap со стороны видит такое:

139/tcp  filtered netbios-ssn
445/tcp  filtered microsoft-ds

Так и должно быть?

Пользователь добавил сообщение 10 Декабрь 2020, 02:40:33:
Все, кажется все закрыл. Ничего лишнего в логах кажется нет. Фу.
« Последнее редактирование: 10 Декабрь 2020, 02:40:33 от tarya »

Оффлайн AlexDem

  • Активист
  • *
  • Сообщений: 467
    • Просмотр профиля
Re: Samba безопастность
« Ответ #6 : 10 Декабрь 2020, 09:13:17 »
А как это соединиться на удаленный хость по SMB? Так само как и на локальный?
Через любой Samba клиент, или через проводник Windows (он там встроенный) по \\ip\volumeВообще, самба штука не самая безопасная (а уж v 1.0 тем более, она была скомпрометирована), она предназначалась для организации внутренней сети Windows, и то, что можно организовать при этом доступ к ней извне на тех же принципах, безопаснее её не делает.
Если уж так надо сделать внешний доступ, то надо сделать как описано выше + добавить в интерфейсы адреса внутренней VPN сети, а весь внешний трафик завернуть в VPN пакеты. Тогда получим и безопасный сервер, и защищенное шифрованное подключение, и авторизацию по ключам, и менеджмент пользователей грамотный и пр.
« Последнее редактирование: 10 Декабрь 2020, 09:29:17 от AlexDem »

Оффлайн tarya

  • Автор темы
  • Активист
  • *
  • Сообщений: 301
    • Просмотр профиля
Re: Samba безопастность
« Ответ #7 : 10 Декабрь 2020, 10:09:31 »
Спасибо, нет, с внешней стороны не нужно ничего.

Если чесно столько делал по разным мануалам - хоть бы кто заикнулся. Но кажется ничего такого. Один раз в пустой шаре без пароля появились вирусы, но тогда я подумал что это изнутри. Теперь все понятно. Фу.

Пользователь добавил сообщение 10 Декабрь 2020, 10:12:25:
А как это соединиться на удаленный хость по SMB? Так само как и на локальный?
Через любой Samba клиент, или через проводник Windows (он там встроенный) по \\ip\volumeВообще, самба штука не самая безопасная (а уж v 1.0 тем более, она была скомпрометирована), она предназначалась для организации внутренней сети Windows, и то, что можно организовать при этом доступ к ней извне на тех же принципах, безопаснее её не делает.
Если уж так надо сделать внешний доступ, то надо сделать как описано выше + добавить в интерфейсы адреса внутренней VPN сети, а весь внешний трафик завернуть в VPN пакеты. Тогда получим и безопасный сервер, и защищенное шифрованное подключение, и авторизацию по ключам, и менеджмент пользователей грамотный и пр.

Интересно, а вы не знаете, нет ли возможности вести логирование кто что где скачивал. Тоесть активность по самбе, я именно это и хотел проверить как вирус появился в папке без пароля. Тогда я не нашел ни одной машинки с вирусами что меня и держало в тонусе. Теперь вероятно так они и попали.
« Последнее редактирование: 10 Декабрь 2020, 10:12:25 от tarya »

Оффлайн AlexDem

  • Активист
  • *
  • Сообщений: 467
    • Просмотр профиля
Re: Samba безопастность
« Ответ #8 : 10 Декабрь 2020, 10:17:39 »
Если чесно столько делал по разным мануалам - хоть бы кто заикнулся.
Просто потому, что даже делая по мануалам, надо примерно понимать что происходит. Просто мануал пишется для некого среднего пользователя, без учета всех обстоятельств и конфигураций сети. И то, что хорошо для сервера внутри сети за NAT может быть крайне опасным для внешнего сервера, который смотрит в интренет напрямую. Я не зря тебя про NAT спросил. Судя по всему ты делал настройку по мануалу для первого случая.

Оффлайн tarya

  • Автор темы
  • Активист
  • *
  • Сообщений: 301
    • Просмотр профиля
Re: Samba безопастность
« Ответ #9 : 10 Декабрь 2020, 10:30:46 »
Да, будет мне наука!

Благо ничего критического не произошло, но нужно быть на чеку.

 

Страница сгенерирована за 0.091 секунд. Запросов: 25.