إذا كنت تستضيف خادم Samba ، فمن المهم أن تولي اهتمامًا إضافيًا لتأمين الخادم من الخصوم.

الماخذ الرئيسية

  • تمكين التشفير لحركة مرور SMB لمنع الوصول غير المصرح به والهجمات الإلكترونية. استخدم بروتوكول أمان طبقة النقل (TLS) لتأمين حركة مرور خادم Linux Samba الخاص بك.
  • تنفيذ ضوابط وصول صارمة وأذونات للموارد المشتركة باستخدام ملف التكوين /etc/samba/smb.conf. حدد قواعد الوصول والأذونات والقيود لضمان وصول المستخدمين المصرح لهم فقط إلى الموارد.
  • فرض كلمات مرور قوية وفريدة من نوعها لحسابات مستخدمي SMB لتعزيز الأمان. قم بتحديث Linux و Samba بانتظام للحماية من الثغرات الأمنية والهجمات الإلكترونية ، وتجنب استخدام بروتوكول SMBv1 غير الآمن.
  • تكوين قواعد جدار الحماية لتقييد الوصول إلى منافذ SMB والنظر في تقسيم الشبكة لعزل حركة مرور SMB عن الشبكات غير الموثوق بها. مراقبة سجلات SMB للأنشطة المشبوهة والحوادث الأمنية ، والحد من وصول الضيف والاتصالات المجهولة.
  • تطبيق القيود المستندة إلى المضيف للتحكم في الوصول إلى مضيفين محددين ورفض الوصول إلى الآخرين. اتخذ إجراءات أمنية إضافية لتقوية شبكتك وتقوية خوادم Linux الخاصة بك.
instagram viewer

بروتوكول SMB (Server Message Block) هو حجر الزاوية لمشاركة الملفات والطابعات في البيئات المتصلة. ومع ذلك ، يمكن أن يشكل التكوين الافتراضي لـ Samba مخاطر أمنية كبيرة ، مما يجعل شبكتك عرضة للوصول غير المصرح به والهجمات الإلكترونية.

إذا كنت تستضيف خادم Samba ، فأنت بحاجة إلى توخي مزيد من الحذر مع التكوينات التي قمت بتعيينها. فيما يلي 10 خطوات مهمة لضمان بقاء خادم SMB آمنًا ومحميًا.

1. تمكين التشفير لحركة مرور SMB

افتراضيًا ، لا يتم تشفير حركة مرور SMB. يمكنك التحقق من ذلك عن طريق التقاط حزم الشبكة باستخدام tcpdump أو Wireshark. من الأهمية بمكان أن تقوم بتشفير كل حركات المرور لمنع المهاجم من اعتراض وتحليل حركة المرور.

يوصى بإعداد بروتوكول أمان طبقة النقل (TLS) لتشفير وتأمين حركة مرور خادم Linux Samba الخاص بك.

2. تنفيذ ضوابط وصول صارمة وأذونات للموارد المشتركة

يجب عليك تنفيذ ضوابط وصول صارمة وأذونات لضمان عدم تمكن المستخدمين المتصلين من الوصول إلى الموارد غير المرغوب فيها. يستخدم Samba ملف تكوين مركزي /etc/samba/smb.conf يسمح لك بتحديد قواعد الوصول والأذونات.

باستخدام صيغة خاصة ، يمكنك تحديد الموارد التي تريد مشاركتها ، والمستخدمين / المجموعات لمنح حق الوصول إلى هذه الموارد ، وما إذا كان يمكن تصفح المورد (الموارد) أو الكتابة عليه أو القراءة منه. إليك نموذج بناء الجملة للتصريح عن مورد وتنفيذ ضوابط الوصول عليه:

[sambashare]
comment= Samba Example
path = /home/your_username/sambashare
browseable = yes
writable = yes
valid users = @groupname

في الأسطر أعلاه ، نضيف موقع مشاركة جديدًا بمسار ومع مستخدمين صالحين ، نقصر الوصول إلى المشاركة على مجموعة واحدة فقط. هناك عدة طرق أخرى لتحديد الضوابط والوصول إلى مشاركة. يمكنك معرفة المزيد عنها من دليلنا المخصص حول كيفية إعداد ملف مجلد شبكة مشترك على Linux مع Samba.

3. استخدم كلمات مرور قوية وفريدة من نوعها لحسابات مستخدمي SMB

يعد فرض سياسات كلمات مرور قوية لحسابات مستخدمي SMB من أفضل ممارسات الأمان الأساسية. بصفتك مسؤول النظام ، يجب عليك إنشاء أو حث جميع المستخدمين على إنشاء كلمات مرور قوية وفريدة من نوعها لحساباتهم.

يمكنك أيضًا تسريع هذه العملية عن طريق إنشاء كلمات مرور قوية تلقائيًا باستخدام الأدوات. اختياريًا ، يمكنك أيضًا تدوير كلمات المرور بانتظام للتخفيف من مخاطر تسرب البيانات والوصول غير المصرح به.

4. قم بتحديث لينكس وسامبا بانتظام

إن أبسط أشكال الدفاع السلبي ضد جميع أنواع الهجمات الإلكترونية هو التأكد من أنك تقوم بتشغيل إصدارات محدثة من البرامج الهامة. SMB عرضة لنقاط الضعف. إنه دائمًا هدف مربح للمهاجمين.

كان هناك العديد نقاط الضعف الحرجة SMB في الماضي التي تؤدي إلى الاستيلاء الكامل على النظام أو فقدان البيانات السرية. يجب أن تحافظ على تحديث كل من نظام التشغيل الخاص بك والخدمات الهامة فيه.

5. تجنب استخدام بروتوكول SMBv1

SMBv1 هو بروتوكول غير آمن. يوصى دائمًا بتجنب استخدام SMBv1 واستخدام SMBv2 وما بعده عند استخدام SMB ، ربما يكون على نظام Windows أو Linux. لتعطيل بروتوكول SMBv1 ، أضف هذا السطر إلى ملف التكوين:

min protocol = SMB2

هذا يضمن أن يكون الحد الأدنى لمستوى البروتوكول المستخدم هو SMBv2.

6. فرض قواعد جدار الحماية لتقييد الوصول إلى منافذ SMB

قم بتكوين جدار الحماية الخاص بشبكتك للسماح بالوصول إلى منافذ SMB ، المنفذ 139 والمنفذ 445 بشكل عام من مصادر موثوقة فقط. يساعد هذا في منع الوصول غير المصرح به ويقلل من مخاطر الهجمات المستندة إلى SMB من التهديدات الخارجية.

يجب أن تفكر أيضًا تثبيت حل IDS جنبًا إلى جنب مع جدار حماية مخصص لتحسين التحكم في حركة المرور وتسجيلها. غير متأكد من جدار الحماية الذي يجب استخدامه؟ قد تجد واحدًا يناسبك من قائمة أفضل جدران حماية Linux المجانية للاستخدام.

7. تنفيذ تجزئة الشبكة لعزل حركة مرور SMB من الشبكات غير الموثوق بها

تجزئة الشبكة هي تقنية تقسيم نموذج أحادي واحد لشبكة الكمبيوتر إلى شبكات فرعية متعددة ، تسمى كل واحدة منها مقطع الشبكة. يتم ذلك لتحسين أمان الشبكة وأدائها وإدارتها.

لعزل حركة مرور SMB عن الشبكات غير الموثوق بها ، يمكنك إنشاء قطاع شبكة منفصل لحركة مرور SMB وتكوين قواعد جدار الحماية للسماح فقط بحركة مرور SMB من وإلى هذا المقطع. يتيح لك ذلك إدارة ومراقبة حركة مرور SMB بطريقة مركزة.

في نظام التشغيل Linux ، يمكنك استخدام iptables أو أداة شبكات مماثلة لتكوين قواعد جدار الحماية للتحكم في تدفق حركة المرور بين أجزاء الشبكة. يمكنك إنشاء قواعد للسماح بحركة مرور SMB من وإلى قطاع شبكة SMB أثناء حظر جميع حركات المرور الأخرى. سيؤدي هذا إلى عزل حركة مرور SMB بشكل فعال عن الشبكات غير الموثوق بها.

8. مراقبة سجلات SMB للأنشطة المشبوهة والحوادث الأمنية

تعد مراقبة سجلات SMB للأنشطة المشبوهة والحوادث الأمنية جزءًا مهمًا من الحفاظ على أمان شبكتك. تحتوي سجلات SMB على معلومات حول حركة مرور SMB ، بما في ذلك الوصول إلى الملفات والمصادقة والأحداث الأخرى. من خلال مراقبة هذه السجلات بانتظام ، يمكنك تحديد التهديدات الأمنية المحتملة والتخفيف من حدتها.

على نظام Linux ، يمكنك استخدام ملفات الأمر journalctl وتوصيل إخراجها إلى الأمر grep لعرض وتحليل سجلات SMB.

journalctl -u smbd.service

سيعرض هذا سجلات لـ خدمة smbd الوحدة المسؤولة عن إدارة حركة مرور SMB. يمكنك استخدام ال -F خيار لمتابعة السجلات في الوقت الحقيقي أو استخدام -r الخيار لعرض أحدث الإدخالات أولاً.

للبحث في السجلات عن أحداث أو أنماط معينة ، قم بتمرير إخراج الأمر journalctl إلى grep. على سبيل المثال ، للبحث عن محاولات المصادقة الفاشلة ، قم بتشغيل:

journalctl -u smbd.service | grep -i "authentication failure"

سيعرض هذا جميع إدخالات السجل التي تحتوي على النص "فشل المصادقة" ، مما يتيح لك التعرف بسرعة على أي نشاط مشبوه أو محاولات القوة الغاشمة.

9. الحد من استخدام وصول الضيف والاتصالات المجهولة

يتيح تمكين وصول الضيف للمستخدمين الاتصال بخادم Samba دون تقديم اسم مستخدم أو كلمة المرور ، بينما تسمح الاتصالات المجهولة للمستخدمين بالاتصال دون تقديم أي مصادقة معلومة.

يمكن أن يشكل كلا الخيارين خطرًا أمنيًا إذا لم تتم إدارته بشكل صحيح. يوصى بإيقاف تشغيل كلاهما. للقيام بذلك ، تحتاج إلى إضافة أو تعديل سطرين في ملف تكوين Samba. إليك ما تحتاج إلى إضافته / تعديله في القسم العام من ملف smb.conf ملف:

map to guest = never
restrict anonymous = 2

10. تنفيذ القيود المستندة إلى المضيف

بشكل افتراضي ، يمكن الوصول إلى خادم Samba المكشوف من قبل أي مضيف (عنوان IP) دون قيود. من خلال الوصول ، يُقصد به إنشاء اتصال وليس الوصول إلى الموارد حرفيًا.

للسماح بالوصول إلى مضيفين معينين ، ورفض الراحة ، يمكنك الاستفادة من يسمح المضيفون و ينكر المضيفون خيارات. إليك الصيغة التي يجب إضافتها إلى ملف التكوين للسماح / رفض المضيفين:

hosts allow = 127.0.0.1 192.168.1.0/24
hosts deny = 0.0.0.0/0

أنت هنا تأمر Samba برفض جميع الاتصالات باستثناء تلك الخاصة بالمضيف المحلي وشبكة 192.168.1.0/24. هذا هو واحد من الأساسيات طرق لتأمين خادم SSH الخاص بك أيضاً.

أنت الآن تعرف كيفية تأمين خادم Samba Linux الخاص بك

Linux رائع لاستضافة الخوادم. ومع ذلك ، عندما تتعامل مع الخوادم ، عليك أن تخطو بحذر وأن تكون أكثر وعياً لأن خوادم Linux هي دائمًا هدف مربح لممثلي التهديد.

من الأهمية بمكان أن تبذل جهدًا صادقًا في تقوية شبكتك وتقوية خوادم Linux الخاصة بك. إلى جانب تكوين Samba بشكل صحيح ، هناك بعض الإجراءات الأخرى التي يجب عليك اتخاذها للتأكد من أن خادم Linux الخاص بك في مأمن من تقاطع الأعداء.