Samba otevřená do internetu

[beer]

Já žádný nas nemám, tak nevím jak to funguje . Problém s přihlašováním by se přesunul do php, to by bezpečnost neřešilo. Šifrování dat by se dalo řešit stunnelem, jak už bylo zmíněno, ale pro mne je důležitější, aby se ke mne nepřihlásil někdo, kdo nemá. Pokud by mohl dostat ban, tak by to bylo ideální.


Źádný skript, který bych na to mohl použít jsem zatím nenašel. Možná samba není ideální pro to, co potřebuji.


Teď jsem navíc zjistil, že i když jsem jí nastavil jako nezapisovatelnou, že stejně uživatel může zapisovat.

Asi není podstatné, kolik lidí vidíte v logu, že to zkoušelo. Důležité je aby nikdo neprolezl.

Je možné, že jsem něco popletl, serverových služeb a nástrojů je poměrně dost. Tady je jeden odkaz, který vám na něco odpoví nebo navede. Prostě snad pomůže.

http://www.linuxexpres.cz/praxe/sprava-linuxoveho-serveru-prakticke-rady-pro-zabezpeceni

Problém je, do jaké míry to můžete použít pokud to je pouze, rozumím-li tomu dobře, ta Samba nemáte linuxový server, ale pouze hosting.

Díky, pročtu. Ne, můj domácí pc je server. Na modemu mám přesměrované porty do něj a pak mám cz doménu, její subdoména je přesměrovaná na veřejnou ip adresu modemu u registrátora.

[Reklama]

[beer]

veřejná ip adresa je samozřejmě ta moje, prostě, když zadám kdekoliv smb://subdoména.doména.cz tak se přihlásím jménem a heslem odkudkoliv.

[Tom Liberec]

Čili je otázkou zda můžete použít něco s tohoto. Pokud ano snad jsem vám pomohl odkazem, přiznávám sám v tom plavu s občasnými andělíčky.

http://www.linuxexpres.cz/praxe/sprava-linuxoveho-serveru-linuxovy-firewall-zaklady-iptables

http://www.linuxexpres.cz/praxe/sprava-linuxoveho-serveru-linuxovy-firewall-zaklady-iptables-2

Ještě jsou tam 2 pokračování. I pasáže o Sambě.

Dobrá kniha  o obraně a administraci je podle mne, ale jsem začátečník ( snad ne věčný ) : Linux Kuchařka administrátora sítě.  Kdesi na tomto fóru v nějakém vláknu bylo řečeno, že je celá na webu, ale v originále tedy anglicky.

- Teď mě něco napadlo ale opět to zřejmě funguje pouze na plně funkčním serveru. prostě tu Sambu vypínat a zapínat pouze když ji potřebujete. Nevím jaké jsou vaše možnosti, třeba na nestandardním portu ji asi zpřístupňovat nemůžete, že?

Problém by řešilo pokud by jste mohl port zavřít a otevřít SSH.
 

 

[Tom Liberec]

Routery s USBčkem umožňují přístup k zařízením třeba i externímu HDD, prostřednictvím asymetrického šifrování přes server výrobce routeru. Takto mi funguje WD My Essential Book  2 TB.....

Škoda, že nemůžete nějakým skriptem po použití vždy zavřít porty. Protože třeba ten NAS jich má otevřeno na můj vkus až moc.

I s prvního ještě dva budu zavírat.

Starting Nmap 6.00 ( http://nmap.org ) at 2014-01-28 14:41 CET
Nmap scan report for 192.168.1.2
Host is up (0.00052s latency).
Not shown: 996 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http
111/tcp  open  rpcbind
3000/tcp open  ppp

Nmap done: 1 IP address (1 host up) scanned in 0.12 seconds
XXX@YYY:~$ nmap -T aggressive 192.168.1.4

poznámka : aggressive se doporučuje mimo síť kterou celou vlastníte nepoužívat

Starting Nmap 6.00 ( http://nmap.org ) at 2014-01-28 14:41 CET
Nmap scan report for 192.168.1.4
Host is up (0.00044s latency).
Not shown: 992 closed ports
PORT     STATE SERVICE
21/tcp   open  ftp
80/tcp   open  http
139/tcp  open  netbios-ssn
443/tcp  open  https
445/tcp  open  microsoft-ds
631/tcp  open  ipp
8082/tcp open  blackice-alerts
9001/tcp open  tor-orport

Tohle co píšete předpokládá použití nějakého skriptu.

Poslal: beer
« kdy: Dnes v 12:10:51 »
Vložit citaci
Proto bych rád rovnou zabanoval případného útočníka, například po 2-3 pokusu.   

Nebo se mýlím a máte tolik administračních možností?

[beer]

Díky, zavřít porty samozřejmě můžu, například na dálku přes ssh:

Kód: [Vybrat]

sudo ufw deny Samba. To neřeší, že když bude port otevřený, že to může někdo hacknout.

[Reklama]

[Tom Liberec]

A nelze náhodou v iptables povolit přístup pouze pro určitou nebo určité IP ?

Něco v tomto duchu :

Pravidla

V jednotlivých řetězech lze definovat pravidla, která provádí vlastní filtrování paketů. Tato pravidla mají určité podmínky, resp. kritéria, kterým musí paket vyhovět, a příslušnou akci, která se má provést, pokud paket pravidlu vyhověl. Kupříkladu:

iptables -A INPUT -s 1.2.3.4 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
Tyto dva příkazy přidají dvě pravidla na konec řetězu INPUT. První pravidlo zachytí pakety se zdrojovou adresou 1.2.3.4 (-s 1.2.3.4) a propustí je (-j ACCEPT), tj. příslušný paket již nebude procházet žádnými dalšími pravidly. Pokud paket toto kritérium nesplní, přijde na řadu druhé pravidlo, kterému vyhoví jakýkoliv TCP paket s cílovým portem 22 (-p tcp --dport 22), přičemž tyto pakety budou zahozeny (-j DROP).

Někde v těch dvou zdrojích co jsem vám napsal jsem je to dva dny četl nějakou sofistikovanější možnost.

[Pavel 'TIGER' Růžička]

A nelze náhodou v iptables povolit přístup pouze pro určitou nebo určité IP ?

Něco v tomto duchu :

Pravidla

V jednotlivých řetězech lze definovat pravidla, která provádí vlastní filtrování paketů. Tato pravidla mají určité podmínky, resp. kritéria, kterým musí paket vyhovět, a příslušnou akci, která se má provést, pokud paket pravidlu vyhověl. Kupříkladu:

iptables -A INPUT -s 1.2.3.4 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
Tyto dva příkazy přidají dvě pravidla na konec řetězu INPUT. První pravidlo zachytí pakety se zdrojovou adresou 1.2.3.4 (-s 1.2.3.4) a propustí je (-j ACCEPT), tj. příslušný paket již nebude procházet žádnými dalšími pravidly. Pokud paket toto kritérium nesplní, přijde na řadu druhé pravidlo, kterému vyhoví jakýkoliv TCP paket s cílovým portem 22 (-p tcp --dport 22), přičemž tyto pakety budou zahozeny (-j DROP).

Někde v těch dvou zdrojích co jsem vám napsal jsem je to dva dny četl nějakou sofistikovanější možnost.

Šel bych ještě dál a zkombinoval bych to ještě s MAC adresou. Pravdou je, že u samby jsem to nikdy neřešil, nikdy jsem jí ven nepotřeboval.

[Tom Liberec]

Tohle nepomůže ?    http://forum.root.cz/index.php?topic=454.0

Nebo tohle :

Příklad nejjednoduššího, nestavového firewallu

Tento díl zakončím příkladem nejjednoduššího firewallu, který lze sestavit. Nejprve vyčistím všechna pravidla:

iptables -F
Nyní specifikuji jednotlivá pravidla. Povolím veškerý provoz z místního rozsahu 10.0.0.0/8. Přístup k SSH povolím pouze z IP adresy 11.22.33.44. (A tady by jste to změnil na přístupy k té Sambě ! )Dále povolím přístup k webserveru a k SMTP serveru.

iptables -A INPUT -s 10.0.0.0/8 -j ACCEPT
iptables -A INPUT -s 11.22.33.44 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
Nakonec specifikuji výchozí politiku ve všech třech základních řetězech. Pro konstrukci firewallu se hodí strategie "vše zakázat, a povolit to nejnutnější", takže nastavím u řetězu INPUT politiku DROP:

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
Tímto bych tento díl ukončil. Příště vám představím stavový firewall a ukážu, jak pomocí něj zkonstruovat podstatně dokonalejší formu firewallu než tu, kterou jsem představil výše.

V dalších kapitolách je tam vytvoření celých firewallů, kterými by jste to mohl ubránit.

http://www.linuxexpres.cz/praxe/sprava-linuxoveho-serveru-linuxovy-firewall-zaklady-iptables-2

No mě nezbývá doufat, že u nás se nikdo nedostane přes router.

[beer]

iptables asi nemá moc cenu se učit, protože už jsou za ně náhrady. Jsem zvyklý na ufw a řešilo by se to asi takto:
¨

Kód: [Vybrat]

sudo ufw allow proto tcp from 192.168.0.0/24 to 192.168.0.11 port 135
sudo ufw allow proto tcp from 192.168.0.0/24 to 192.168.0.11 port 139
sudo ufw allow proto tcp from 192.168.0.0/24 to 192.168.0.11 port 445
sudo ufw allow proto udp from 192.168.0.0/24 to 192.168.0.11 port 137
sudo ufw allow proto udp from 192.168.0.0/24 to 192.168.0.11 port 138

Bohužel ale na mobilu mám dynamickou adresu, po každém zapojení dat jinou.

[beer]

V ufw aktuálně mám povolen veškerý odchozí provoz a zakázán veškerý příchozí, vyjma Samby, OpenSSH, http a 9091 pro ovládání transmission.

[beer]

Tak jsem zadal

Kód: [Vybrat]

sudo ufw allow proto tcp from 192.168.0.0/24 to 192.168.0.11

Takže v rámci domácí sítě mi Samba funguje, ale z internetu ne.... Teď se mi tam nikdo nenabourá, ale stejně  bych rád měl ten mobilní přístup, achjo. No, asi se na to vybodnu a povolím si ještě jen rozsah mých n2n sítí. Takže se dostanu odkudkoliv, kde budu mít n2n.

[beer]

+

Kód: [Vybrat]

sudo ufw allow proto udp from 192.168.0.0/24 to 192.168.0.11 ale budu muset pravidla asi vyrezetovat, dal jsem sudo ufw deny Samba, takže i při povolení provozu z 192.168.0.0/24 asi Samba nepojede.

[beer]

ještě jsem si chtěl povolit pro mac adresu mobilu, uložilo se to, ale nefunguje :-(. Ani po reloadu.

Kód: [Vybrat]

iptables -A INPUT -p tcp --destination-port 139 -m mac --mac-source moje-mac -j ACCEPT
iptables -A INPUT -p tcp --destination-port 445 -m mac --mac-source moje-mac -j ACCEPT
iptables -A INPUT -p udp --destination-port 137 -m mac --mac-source moje-mac -j ACCEPT
iptables -A INPUT -p udp --destination-port 138 -m mac --mac-source moje-mac -j ACCEPT
 

[beer]

Koukám, že mám špatně porty, tak nic :-)

[Tom Liberec]

S iptables doporucuji si hrat pouze pokud máte k serveru fyzicky pristup. Nezakazal jste si komplet pristup k serveru?