Je bezpečné otevřít Sambu do Internetu?

[Snow]

@Jarda: jo to souhlasim, funkcnost na linuxu taky neni nejlepsi, je to skoda, stejne tak je skoda ze v nginx je webdav taky takrka nepouzitelnej, pritom si myslim ze by to bylo fajn reseni pro remote pristup... Ale i prez tyhle problemy sem lepsi reseni nenasel.

[Reklama]

[M.]

Pokud chcete omezovat počet pokusů o přihlášení, musí to podporovat přímo příslušný autentizační server – a Samba to pokud vím neumí.

Samba4 umí blokování přihlášení při neuspěšných pokusech, nastavení v ./samba-tool domain passwordsettings.

[Pedro]

Hoj. Stejne ti to nebude fungovat.
Prvni co kazdy rozumny ISP blokuje je samba a ETC.
Jak sifrovana tak klasicka.

Ipsec
Pptp
Openvpn

Reseni je dost. Primo do netu bych to ale nevrazel i kdyby to blokovane nebylo (jakoze bude).

[Tuxik]

První a poslední, co každý rozumný ISP blokuje, je nic. Říká se tomu síťová neutralita. Pokud ti ISP něco blokuje, reklamuj to, protože ti neposkytuje internet, ale jakousi okleštěnou cenzurovanou službu částečného přístupu kdoví kam.

Co se týče prvotní otázky - samba na to prostě není dělaná a nikdy nebylo jejím cílem fungovat po nějakých internetech. Můžou to lepit jak chcou, ale o moc lepší to už nebude. Osobně bych šel cestou VPN, jestli máš potřebu pracovat se soubory na vzdáleném disku, jestli potřebuješ něco jen sdílet veřejně, tak FTP.

[MP]

tak končí u nějaké klasické VPN (my jedeme IPsec IKEv2 s nativním klientem, co je ve Windows).

Dotaz, ipsec rikate? V jakych win? Protoze ve W10 mi tezce chybi nastaveni group_id/pass   Tak kdyby nahodou to slo nejak nastavit.

[Reklama]

[tuxmartin]

Fail2ban není bezpečnostní opatření, je to jen hračka (dobrá akorát tak k tomu, abyste útočníkovi usnadnil DoS). Takže musíte počítat s tím, že útočník bude zkoušet jedno heslo za druhým. Pokud chcete omezovat počet pokusů o přihlášení, musí to podporovat přímo příslušný autentizační server – a Samba to pokud vím neumí.

Muzes to trochu rozvest?

Klient se pokusi pripojit a zada spatne heslo - ulozi se zaznam do logu.
Fail2ban cte logy a pokud najde napr. 3 neuspesne pokusy o prihlaseni za posledni minutu, na 10 minut nastavi DROP na IP klienta, ktery se snazil pripojit.
Aby mohl zkouset jedno heslo za druhym, musel byt mit hodne IP, nejaky botnet. Uznavam, ze proti tomu fail2ban ucinny neni.
I tak jsem presveceny, ze fail2ban ma smysl.

Webdav na widlich urcite nedoporucuji, sou tam jista omezeni na velikost souboru = nutna editace registru, navic implementace webdavu v widlich je silena. Nakonec sem to vytesil na lanu samba a venku webdav + totalcomander, v kterym to dunguje jak ma, ale ne kazdemu se chce platit.

Muzes mi poslat blizsi info? Co jsi pouzil na linux serveru na webdav? Apache?
Ja vzdy narazel na problemy ve Windows. Kazda verze win mela nejakou chybu a bylo nutne upravovat registry a webdav server.

[David Karban]

Fail2ban není bezpečnostní opatření, je to jen hračka (dobrá akorát tak k tomu, abyste útočníkovi usnadnil DoS). Takže musíte počítat s tím, že útočník bude zkoušet jedno heslo za druhým. Pokud chcete omezovat počet pokusů o přihlášení, musí to podporovat přímo příslušný autentizační server – a Samba to pokud vím neumí.

Muzes to trochu rozvest?

Klient se pokusi pripojit a zada spatne heslo - ulozi se zaznam do logu.
Fail2ban cte logy a pokud najde napr. 3 neuspesne pokusy o prihlaseni za posledni minutu, na 10 minut nastavi DROP na IP klienta, ktery se snazil pripojit.
Aby mohl zkouset jedno heslo za druhym, musel byt mit hodne IP, nejaky botnet. Uznavam, ze proti tomu fail2ban ucinny neni.
I tak jsem presveceny, ze fail2ban ma smysl.

V reálu je už více útoků z botnetů, než z jednotlivých IP, 2 roky zpátky jsem si testoval mailserver s pár set účty. Z cca. 800 útoků bylo zhruba 300 z jedné IP, 50 3 pokusy z různých IP (ještě odchytitelné) a zbytek byl co pokus to jedna IP. A od té doby je to horší a horší. Fail2ban může fungovat, ale jen když jej máte třeba na loadbalanceru, takže analyzuje traffic/útoky na více serverů na jednom místě, ty IP se recyklují napříč více schránek/webů. Ale na jeden port/IP/web to už nemá smysl.

[tuxmartin]

Cim doporucujete nahradit fail2ban?

[M.]

Cim doporucujete nahradit fail2ban?

Pro popsané parmetry (3 neuspěšné přihlášení za minutu  blokovt pak 10 minut), tak pro Sambu je možno použít toto:
./samba-tool domain passwordsettings set --account-lockout-threshold=3 --reset-account-lockout-after=1 -account-lockout-duration=10
A podchytí to i distribuovaný útok. Nevýhoda tohoto je, že to blokne přístup k Sambě celkově daného uživatele, fail2bn blokuje na firewallu, takže legitimní uživatel se stále může z vnitřku přihlásit. Když to takto použiji přímo na Sambě  a někdo provede pokus s třemi hesly na existující účet, tak daný uživatel se dalších 10 minut neověří ani z vnitřní sítě. Nicméně toto neřeším, protože už mám vše kerberizovné, takže pokud toto blokne účet, tak uživateli vše funguje dál, pokud má u sebe platný KRBTGT ticket. Účet potřebuje mít odblokovaný jen když musí obnovit KRBTGT ticket.
 

[David Karban]

Cim doporucujete nahradit fail2ban?

Z principu moc nahradit nejde, resp. ne ve smyslu nástroje, co hlídá pokusy per IP a blokuje když jich je mnoho. Co jde, ale je nesrovnatelně náročnější na nastavení a provoz, je analyzovat přímo požadavky na úrovni hlaviček apod. Zabývají se tím např v. https://sucuri.net/, případně v čechách to dělá např. et netera: http://www.etnetera.cz/co-delame/ewa-cdn

Ale obávám se, že ve vztahu k sambě to moc použít nepůjde, tam maximálně omezení IP na přihlašování a nebo VPN, jak už bylo zmíněno.

[M.]

Dotaz, ipsec rikate? V jakych win? Protoze ve W10 mi tezce chybi nastaveni group_id/pass   Tak kdyby nahodou to slo nejak nastavit.

Majorita Win7, pár pokusných Win10. Grupový login nepoužíváme, takže jsem neměl potřebu to řešit (na místě IPsec serveru máme linux s StrongSWAN a konfigurace se dynamicky děje dle dat z FreeRADIUSu, který to zase posílá na základě členství ve skupinách ze Samby pro daný login).

[Snow]

@tuxmartin: zkousel sem hodne veci, ale jelikoz me jde jen o webdav tak sem nakonec vybral pythoni wsgidav, apache sem nechtel protoze se me s tim nechtelo srat a stejne na vsechno pouzivam nginx (kterej zase neimplementuje vse z webdavz), tak sem sahnul po necem co dokazu upravovat/opravovat wsgidavu...

Jenze jak sem psal problem s windows. Na sedmickach me slo napriklad nahravat jen 2 giga i pri uprave v registru, coz je blbe kdyz potrebujes nahravat 10+ giga, nakonec sem to vyresil totalcommanderem kterej funguje na jednicku. Rekl bych ze na widlich to bude nefunkcni vzdy, pokud nepouzijes externi program.

[JardaP .]

Nebylo by lepsi pouzit nejaky prehistoricky SMB protokol bez sifrovani nebo nejakym smesnym sifrovanim a tlacit to skrz ssh tunel? Kdyz uz to tedy musi byt z tch Widli, tak skrz PuTTY by to melo jit.

@Snow: Tedy predstava, jak tlacim pres ADSL na WebDAV 2 GB a vice, me dost desi. WebDAV je dost hovezi protokol. Kdyz mi na modemu vypadne spojeni, je otazka, jestli se podari navazat spojeni na WebDAV server bez restartu pocitace nebo aspon klienta, pokud to jde. Pak je otazka, jestli se prenos navaze tam, kde prestal nebo se to cele zace tlacit znovu a dokonce jestli se to vubec zacne tlacit nebo budu muset znovu sam spustit kopii, protoze klient vyplivl chybovou hlasku a zahodil to. A kdyz v tom budu potrebovat zeditovat jeden bit, bude se to cele stahovat ke me a pak zase rvat zpatky. To bych radsi pouzil rsync, ktery muzu mit i na Widlich a bez Cygwinu. Jak jsem kdysi zkousel WebDAV na Widlich i na Linuxu, tak na obou me to pekne sralo a dospel jsem k zaveru, ze tohle se pouzivat neda.

[Snow]

@Jarda: ja pres to tlacim 10giga a vic a v totalcomanderu naprosto v pohode. Lidi co pres to potrebujou tlacit tyhle fajly sedej na rychlim internetu a jelikoz jde o videa, meneni kusu bez nutnosti noveho renderu nepripada v uvahu
Jestli to ma navazovani netusim, muzu testnout, ale asi spis ne.
rsync atp je fajn, ale nauc s tim  ezneho uzivatele.

[JardaP .]

@Snow: Toz na Widlich je situace asi poekud horsi, ale na Linuxu jsou pro rsync nejake frontendy, se kterymi by to pro BFU melo vyjit tak nastejno, jako v TotalCommanderu. Aspon tedy doufam, ja to nezkousel.