Je bezpečné otevřít Sambu do Internetu?

[tuxmartin]

Ahoj,
po asi 2 letech jsem se znovu vratil k tematu, zda je bezpecne otevrit sambu volne do internetu.

V soucasne dobe mam Sambu pouze v lan a pres OpenVPN. Pristup z venku mam reseny pomoci SFTP a FTPes.
Jenze ve Windows je to hodne nepohodlne. Samba se na Windows pres SSH neda tunelovat (musel by byt loopback adpater, slozite, potrebuje admin prava).

Co jsem videl, tak vsichni stale tuneluji sambu pres nejaky typ VPN. Je to stale nutne, nebo jde o zvyk z minulosti?

Na serveru mam Debian Jessie s distribucni sambou 4.2.10.

Otazka zni: pokud budou mit uzivatele kvalitni heslo a pomoci fail2ban omezim pocet pokusu o prihlaseni na treba 3 pokusy za 10 minut - je bezpecne otevrit sambu do internetu?

Pls no flame :-)

[Reklama]

[madmax]

pomocou wiresharku sa daju rekonstruovat subory prenasane smb.

fail2ban moze byt kontraproduktivny. ak botnet objavi IP so sambou v konecnom dosledku boty kludne saturuju vasu linku. popripade server mebude robit nic ine len banova tony IPciek

[Janci]

Toto mi fungovalo celkom pohodlne
https://code.google.com/archive/p/win-sshfs/

[M.]

SMB protokol už nějakou dobu podporuje šifrování a Samba taktéž, takže pokud nechce vystavovat "staré" Netbios porty 13x, ale jen SMB port 445/TCP a v Sambě si zapne povinné šifrování (server signing=mandatory, smb encrypt=mandatory, smb min protocol=SMB3_00, smb max protocol=SMB3), klient bude Windows 8 nebo novější, tak s wireshark a podobné je smolík.
Jiná věc je, zda je to rozumné. Fail2ban občas udělá víc škod než užitku, SMB protokol není zrovna nejživější přes Internet, v kombinaci s tím šifrováním se sráží výkon dolů, a to i na LAN cca o pětinu, navíc řada ISP (a i firemních sítí na svých hraničních firewallech) v rámci univerzálního blaha mají provaření MS porty blokované, takže stejně na řadě míst skončí opět u nějaké VPN.
Ani sám MS se nesnaží, aby se to tak používalo, ale tlačí Direct Access, což ovšem znaména mít MS Windows server. Tím pádem, že DA na linuxu neuchodím (protože není podpora pro SecAuth "rozšíření" IKE, co si MS zavedl), tak končí u nějaké klasické VPN (my jedeme IPsec IKEv2 s nativním klientem, co je ve Windows).
Jiná možnost je zvážít něco jako WebDAV přes HTTPS, což jde také ve Windows používat v podstatě jako klasickou sdílenou složku, jenom najít použitelné server side řešení...

[tuxmartin]

SMB protokol už nějakou dobu podporuje šifrování a Samba taktéž, takže pokud nechce vystavovat "staré" Netbios porty 13x, ale jen SMB port 445/TCP a v Sambě si zapne povinné šifrování (server signing=mandatory, smb encrypt=mandatory, smb min protocol=SMB3_00, smb max protocol=SMB3), klient bude Windows 8 nebo novější, tak s wireshark a podobné je smolík.

Jiná možnost je zvážít něco jako WebDAV přes HTTPS, což jde také ve Windows používat v podstatě jako klasickou sdílenou složku, jenom najít použitelné server side řešení...

Presne tak. Jedna se mi o port 445.
Pokud si na samba serveru vynutim sifrovani, pujde to az od Windows 8? Predpokladam, ze neni moznost aktualizovat SMB 2.01 na SMB 3 ve Windows 7.

Jeste otazka na doplneni - pokud bych pouzil SMB3 (Win8 a novejsi), je uz bezpecne pouzit sambu pres internet?


S webdav jsem stravil dost casu a vysledek nikdy nebyl dokonaly :-(

[Reklama]

[tlapka]

Možná to bude šílené, nicméně nevyřešil by hodně věcí owncloud?

[tuxmartin]

Možná to bude šílené, nicméně nevyřešil by hodně věcí owncloud?

Neni to silene, ownCloud jsem zkousel.

• Hodne zatezuje CPU. Opravdu hodne.
• Uzivatelsky adresar se neda upravovat pres sftp/lokalne/... ale pouze pres owncloud.
• Jedine reseni je uzivateli do jeho owncloudu na serveru lokalne pripojit samba disk.

Resil jsem to dost dlouho a nic se mi nepodarilo nastavit/vygooglit.

[to_je_jedno]

Myslim, ze jsi dostal dost zajimavych tipu proc to NEdelat, ale jestli chces tak hura do toho.

[LivingLegend]

Na windows 10 pojede něco většího než smb1?

[Snow]

Webdav na widlich urcite nedoporucuji, sou tam jista omezeni na velikost souboru = nutna editace registru, navic implementace webdavu v widlich je silena. Nakonec sem to vytesil na lanu samba a venku webdav + totalcomander, v kterym to dunguje jak ma, ale ne kazdemu se chce platit.

[Snow]

(owncloud jde upravovat i z sftp kdyz vis kde sou uzivatelska data.)

[Filip Jirsák]

Fail2ban není bezpečnostní opatření, je to jen hračka (dobrá akorát tak k tomu, abyste útočníkovi usnadnil DoS). Takže musíte počítat s tím, že útočník bude zkoušet jedno heslo za druhým. Pokud chcete omezovat počet pokusů o přihlášení, musí to podporovat přímo příslušný autentizační server – a Samba to pokud vím neumí.

[JardaP .]

Jeste otazka na doplneni - pokud bych pouzil SMB3 (Win8 a novejsi), je uz bezpecne pouzit sambu pres internet?

Zvaz to, jak bylo widlosdileni zabezpecene v minulosti a k tomu jakou povest maji bezpecnostni reseni MS a jestli chces riskovat, ze tentokrat se to soudruhum snad povedlo. Aby se pak jednou nezjistilo, ze je to akorat nejaky stary kram olepeny nejakym bastlem, jaky dnes programuji i v IT krouzku z pomocne skoly.

@Snow: Tedy ne, ze by implementace WebDAVu v Linuxu zpusobovaly uzivatelum orgasmus. Jinak v Linuxu WebDAV chodil celkem dobre v Krusaderu. Ovsem pokud to clovek chce montovat jako vzdaleny disk, tak Krusader tohle nedela a soft, ktery to ma delat, je opravdu strasny. Ve Widlich docela dobre fungoval http://directnet-drive.net/ .

[M.]

Na windows 10 pojede něco většího než smb1?

Win10 podporují všechny vrianty SMBv1/v2/v3.

[M.]

Pokud si na samba serveru vynutim sifrovani, pujde to az od Windows 8? Predpokladam, ze neni moznost aktualizovat SMB 2.01 na SMB 3 ve Windows 7.

Jeste otazka na doplneni - pokud bych pouzil SMB3 (Win8 a novejsi), je uz bezpecne pouzit sambu pres internet?

Win7 podporuje jen SMB v2.1. Samba umí plné šifrování (od verze 3.něco) i pro starší SMB/CIFS varinty, ale je to její rozšíření, co funguje jen při spojení samba-samba.
V případě komunikace proti Win klientovi, tak je plné šifrování možné až od Win8/server2012. Win7 má chráněnu jen ověřovací fázi, ne přenos sdílených dat.
V případě zpřístupnění toho SMB portu Samby přímo do internetu je to i tom, jak věříš sambě. SMB protokol je dost šílenost a Samba už měla v sobě dost nehezkých chyb, tak možná jsou i další. Já mám zpřitupňen jen port pro Kerberos kvůli ticketům pro klienty, ale na 445 nemám odvahu. :-)