Samba otevřená do internetu

beer

  • *****
  • 729
    • Zobrazit profil
Samba otevřená do internetu
« kdy: 28. 01. 2014, 11:40:12 »
Mám sambu přístupnou z internetu přes veřejnou ip i přes doménu, na klasické jméno a heslo. Jak je to bezpečné a ochrání mne něco před bruteforce útoky? Něco, co by zabanovalo ip adresu, když by z ní byl pokus o neplatné přihlášení? Mám tam denyhosts, ale ten mi asi na sambu nepomůže. Co poradíte?


A ještě jedna věc, to heslo se odesílá u samby nešifrovaně?


Používal bych třeba sshfs, ale chci co největší kompatibilitu - pro windows klienty nebo pro android a ta samba mi jinak vyhovuje.
« Poslední změna: 28. 01. 2014, 17:07:03 od Petr Krčmář »


doctorXY

Re:samba
« Odpověď #1 kdy: 28. 01. 2014, 11:50:20 »
jak je hodne nebezpecne postavit sambu primo na internet, ale na tyto porty se masivne utoci.
Nebylo by lepsi tam postavit jakoukoliv VPNku a pod mi pak pouzivat sambu a jine sluzby?

beer

  • *****
  • 729
    • Zobrazit profil
Re:samba
« Odpověď #2 kdy: 28. 01. 2014, 12:09:46 »
jak je hodne nebezpecne postavit sambu primo na internet, ale na tyto porty se masivne utoci.
Nebylo by lepsi tam postavit jakoukoliv VPNku a pod mi pak pouzivat sambu a jine sluzby?


Nechci platit za VPN a n2n na androidu zatím nefunguje. Chápu, že tam budou asi útoky. Modem technicolor má zapnutý firewall a detekci proti skenování, takže sken neukáže, že je port otevřený, přesto, že je. Ale kdyby někdo místo skenování rovnou zkoušel loginy, tak mne dostane. Jsem pohodlný a heslo nemám příliš dlouhé.

beer

  • *****
  • 729
    • Zobrazit profil
Re:samba
« Odpověď #3 kdy: 28. 01. 2014, 12:10:51 »
Proto bych rád rovnou zabanoval případného útočníka, například po 2-3 pokusu.

beer

  • *****
  • 729
    • Zobrazit profil
Re:samba
« Odpověď #4 kdy: 28. 01. 2014, 12:15:08 »
Tak oprava, dá se zjistit, jestli naslouchá na portu, ale nereaguje na ping. Nevím, jak postupují, jestli napřed pingají a pak zkouší útočit, nebo rovnou útočí?


Re:samba
« Odpověď #5 kdy: 28. 01. 2014, 12:20:18 »
Proto bych rád rovnou zabanoval případného útočníka, například po 2-3 pokusu.

Skúsil by som fail2ban, dá sa tam nakonfigurovať reakcia na veľa druhov útokov.

trubicoid2

Re:samba
« Odpověď #6 kdy: 28. 01. 2014, 12:20:38 »
Nechci platit za VPN ...

openvpn?

beer

  • *****
  • 729
    • Zobrazit profil
Re:samba
« Odpověď #7 kdy: 28. 01. 2014, 12:33:59 »
Nechci platit za VPN ...

openvpn?


S openvpn zkušenost nemám. Dík za tip, ale nejsem si jist, jestli bych na to po technické straně stačil. Samotná samba mi vyhovuje, protože je jednoduchá a snadno tam připojím zařízení i z windows a nemusím tam nic dalšího instalovat. Pokud bych musel někde něco instalovat, tak to rovnou mohu nasadit sshfs, protože to na windows se dá nasadit taky, když se něco přiinstaluje.


Proto bych rád rovnou zabanoval případného útočníka, například po 2-3 pokusu.

Skúsil by som fail2ban, dá sa tam nakonfigurovať reakcia na veľa druhov útokov.


v manuálu k fail2ban se slovo samba nevyskytuje :-(. Jak na to?


Re:samba
« Odpověď #8 kdy: 28. 01. 2014, 12:43:55 »
A co takhle webové rozhraní s přihlášením, třeba v PHP a teprve za ním ta Samaba? Nebo přes nějaké asymetrické šifrování jako to má např. NETGEAR u domácích cloudů ?

mca

  • ***
  • 181
    • Zobrazit profil
Re:samba
« Odpověď #9 kdy: 28. 01. 2014, 12:46:03 »
Vlastni SMB protokol sifrovat neumi, na to se pouziva stunnel.

beer

  • *****
  • 729
    • Zobrazit profil
Re:samba
« Odpověď #10 kdy: 28. 01. 2014, 12:55:12 »
A co takhle webové rozhraní s přihlášením, třeba v PHP a teprve za ním ta Samaba? Nebo přes nějaké asymetrické šifrování jako to má např. NETGEAR u domácích cloudů ?


To si moc nedokážu představit, jak by to fungovalo, to by byl přístup jen přes webový prohlížeč? V zásadě by to ale problém asi neřešilo, protože i na webové rozhraní je možné vést brute force útok...




Re:samba
« Odpověď #11 kdy: 28. 01. 2014, 12:59:13 »
Na netu jsou na tenhle váš nápad, cituji  -   Proto bych rád rovnou zabanoval případného útočníka, například po 2-3 pokusu. - už hotové SSH scripty. To však zřejmě nepůjde pustit, pokud na druhé straně je pouze ta Samba.

Tohle je dobrý nápad. cituji  - Skúsil by som fail2ban, dá sa tam nakonfigurovať reakcia na veľa druhov útokov.Včera jsem to zkoušel, ale nemám jej zatím zřejmě instalován.

Ovšem opět nevím zda to pojede bez LAMP serveru na druhé straně.


beer

  • *****
  • 729
    • Zobrazit profil
Re:samba
« Odpověď #12 kdy: 28. 01. 2014, 13:23:35 »
Na netu jsou na tenhle váš nápad, cituji  -   Proto bych rád rovnou zabanoval případného útočníka, například po 2-3 pokusu. - už hotové SSH scripty. To však zřejmě nepůjde pustit, pokud na druhé straně je pouze ta Samba.

Tohle je dobrý nápad. cituji  - Skúsil by som fail2ban, dá sa tam nakonfigurovať reakcia na veľa druhov útokov.Včera jsem to zkoušel, ale nemám jej zatím zřejmě instalován.

Ovšem opět nevím zda to pojede bez LAMP serveru na druhé straně.

fai2ban jsem nainstaloval, ale neumím ho používat. Jaké ssh skripty? Samba přece nejede přes ssh.

Koukám, mám tam už hafo logů z cizích pc, ale jsou asi prázdné, v /var/log/samba/log.... Doufám, že se někdo nepřihlásil. porry pro sambu jsem na routeru otevřel včera.

Re:samba
« Odpověď #13 kdy: 28. 01. 2014, 14:05:03 »
Myslel jsem to takto.

1 ) Udělat pro přístup k Sambě webové rozhraní a přihlášení, jméno, heslo.
2 ) To celé pod PHP, tedy budete zřejmě potřebovat nainstalovat webový server a PHP.

V podstatě něco podobného jako má snad každý NAS.

Re:samba
« Odpověď #14 kdy: 28. 01. 2014, 14:12:18 »
Asi není podstatné, kolik lidí vidíte v logu, že to zkoušelo. Důležité je aby nikdo neprolezl.

Je možné, že jsem něco popletl, serverových služeb a nástrojů je poměrně dost. Tady je jeden odkaz, který vám na něco odpoví nebo navede. Prostě snad pomůže.

http://www.linuxexpres.cz/praxe/sprava-linuxoveho-serveru-prakticke-rady-pro-zabezpeceni

Problém je, do jaké míry to můžete použít pokud to je pouze, rozumím-li tomu dobře, ta Samba nemáte linuxový server, ale pouze hosting.