我正在配置一个 debian 10 VPS 并且最近安装了 samba。我印象深刻——以一种糟糕的方式:)——关于 /var/log/samba 开始填充各种尝试访问我设置的共享的速度有多快。
为了加强我的设置,我做了一些在线研究并对 /etc/samba/smb.conf 进行了一些更改:
- 日志级别 = 3
- 映射到访客服务器 = 从不
- 限制匿名 = 2
这似乎让攻击者感到沮丧。但我不擅长阅读 samba 日志文件,所以我不确定。
通过查看为访问尝试记录的日志文件,我相信这些更改会导致攻击者放弃。我这么说是因为所有日志文件的大小都差不多,并且都在这样的日志事件之后结束:
[2021/11/20 18:01:59.454538, 3] ../auth/auth_log.c:610(log_authentication_event_human_readable) Auth: [SMB,(null)] user [][] at [Sat, Nov 20 2021 18: 01:59.454490 UTC] 与 [No-Password] 状态 [NT_STATUS_OK] 工作站 [] 远程主机 [ipv4:61.184.77.182:56818] 变为 [HWSRV-901112][nobody] [S-1-5-21-4219689906-1908890436 -3181349475-501]。本地主机 [ipv4:104.168.220.233:445] {"timestamp": "2021-11-20T18:01:59.454714+0000", "type": "Authentication", "Authentication": {"version": {"major “:1,“次要”:0},“状态”:“NT_STATUS_OK”,“localAddress”:“ipv4:104.168.220.233:445”,“remoteAddress”:“ipv4:61.184.77.182:56818”,“serviceDescription” :“SMB”,“authDescription”:空,“
但是,我担心的是最后一个条目之前紧跟的是如下所示的条目:
[2021/11/20 18:01:59.454449, 3] ../source3/auth/auth.c:256(auth_check_ntlm_password) auth_check_ntlm_password: 用户 [] 的匿名身份验证成功
我不知道 samba,但匿名身份验证成功令人不安。
我还应该做些什么来强化我的安装?我可以添加一些防火墙规则来阻止除某些 IP 地址之外的所有访问。但这会干扰我在旅行时访问共享的尝试。
无论您的 Samba 设置如何,让您的 Samba/CIFS 端口对 Internet 开放都是一种非常糟糕的做法。Samba 在 root 用户下运行(需要),如果存在可远程利用的漏洞,您的整个系统将越来越有可能受到威胁。
如果您绝对需要远程访问您的 Samba 共享,您可以
knock仅向受信任的用户开放您的端口knock是最容易实现的,并且允许使用几乎任何操作系统访问您的设备。