samba 加固安全

一:不使用明语密码 
samba默认为客户端使用明语密码,这样做虽然很方便,但却很不安全,我们可以通过配置/etc/samba/smb.conf,修改为密语方式,加入参数 
encrypt passwords=yes 
smb passwd file=/etc/samba/smbpasswd 
这样,当security=user时,通过/etc/samba/smbpasswd文件进行验证,验证过程无明码传输 

二:尽量不使用共享级别的安全 
当security=share的时候,samba安全性比较差,灵活性不强,所以应避免使用共享级别安全 

三:尽量不要使用浏览器服务访问 
保证系统安全的曲线方法是不要让不相关的人知道这一系统的存在,使用浏览器访问会留下痕迹,加大系统别知晓并攻击的可能,这时候应该关闭共享浏览功能。 

四:限制网络接口访问 
这个适用于多网卡用户,限制samba只响应来自内网的用户请求,可以通过在配置文件中加入参数实现 
interfaces=192.168.1.1/24 127.0.0.1 
bind interfaces only=yes 
第一个表示监听的接口列表,第二个表示绑定第一个设定的列表 

五:控制访问列表 
你可以使用ip,主机名,用户名或组限制访问samba的用户,这也将一定提升安全性和管理性 

可以在配置文件中添加参数实现控制 


ip控制访问 
hosts deny=ALL 

hosts allow=192.168.1.0/24 127.0.0.1 

先拒绝所有,在设置允许访问的ip或段 


主机名控制访问 
hosts deny=ALL 

hosts allow=win01,win02,win05 


用户或组控制访问 
valid users=smb01,smb02,@samba@admin 
允许用户smb01,smb02与组samba,admin访问 

六:防御病毒 
作为linux系统的samba服务,防范病毒是很重要的,虽然linux很少感染病毒,但win并不是,做为异构内网 
作为服务的对象,大多是win系列的机器,病毒防范将做为第一安全要素,这也是samba不同与其他服务的地方,这里可以安装ClamAV杀毒软件与samba专用杀毒软件Samba-vscan配合进行防范 
具体过程大家可以找资料完成,这里就不多罗嗦了 

七:配置iptables保护samba 
samba经常被配置在有双网卡的机器上,samba做为内网专用服务,应该隔绝外网以保护samba, 
这里可以使用iptables封锁以下端口,不允许外网访问137,138,139端口! 

八(不推荐):使用ssl加固samba 
不推荐的原因是配置ssl相当复杂,不仅耗费大量时间,也需要客户端配合,samba虽然是内网专用,但也可以连接到intnet上,只有这时候才推荐使用ssl,(还不如用ftp) 

你可能感兴趣的:(samba 加固安全)