Samba in-sicurezza

pizeta · 08-02-2005, 20:14

Non so da dove iniziare, da cattivo amministratore ho ignorato i log sul mio server (slack) per qualche settimana, ci ho dato un occhio adesso ed ho trovato in /var/log 38786 file di questo tipo

samba.ip_non_della_lan

in particolare pare che dagli ip 82.50.*.* a 80.52.*.* li abbia tutti
il problema poi è che ci sono anche file del tipo
samba.0022a1d2c24c467
samba.zeus
samba.your-6bvpxyztoq
samba.windowsxp
samba.valentina
e così via

Il contenuto di uno di questi file è

root@RinoServer:/home/install# cat /var/log/samba.valentin-1oh94x
[2005/02/05 02:09:12, 0] lib/util_sock.c:read_socket_data(384)
read_socket_data: recv failure for 4. Error = Connection reset by peer
[2005/02/05 02:43:35, 0] lib/util_sock.c:read_socket_data(384)
read_socket_data: recv failure for 4. Error = Connection timed out

root@RinoServer:/home/install# cat /var/log/samba.cedro
[2005/01/21 18:31:58, 1] rpc_server/srv_util.c:get_domain_user_groups(298)
get_domain_user_groups: primary gid of user [samba] is not a Domain group !
get_domain_user_groups: You should fix it, NT doesn't like that
[2005/01/21 18:31:58, 0] rpc_server/srv_util.c:get_alias_user_groups(206)
get_alias_user_groups: gid of user samba doesn't exist. Check your /etc/passwd and /etc/group files

Il log level di samba è 1

Tutti questi messaggi devono preoccuparmi, inquetarmi o semplicemente farmi abbassare a 0 il log level ?

preciso che ho uno script iptables ed ho chiuse dall'esterno tutte le porte escluse 22,80,113 (10000 e 15000 per altri servizi)

Maestro · 08-02-2005, 21:00

di solito sono gli utenti windows affetti da Blaster/Sasser che cercano di contaminare altri PC (ovviamente con target uguale al sitema operativo, quindi se hai linux non devi preoccuparti)

la cosa più importante e' pero' che in teoria questi tentativi non dovresti riceverli, in quanto e' consigliato limitare SAMBA alla LAN.

Se devi accederci da fuori, e' consigliato usare altri mezzi come NFS, FTP (o meglio SFTP/SCP/SSH).

HexDEF6 · 09-02-2005, 08:32

Quote:

Originariamente inviato da Maestro
Se devi accederci da fuori, e' consigliato usare altri mezzi come NFS, FTP (o meglio SFTP/SCP/SSH).

o se ti colleghi con un client win e samba ti fa comodo ti consiglio di fare una bella vpn (con openvpn)

pizeta · 10-02-2005, 10:05

il problema è che non devo accedere da fuori ed è anche configurato per non accedere

abbè tanto in settimana cancello tutto per mettere su la nuova slack

stefanoxjx · 10-02-2005, 10:26

Molti di questi, sono tentativi di connettersi alle tue unità di rete.
Sicuramente, non hai attivato nessun firewall.
Questo problema l'hò risolto tirando su un firewall con iptables.
Ciao.

08-02-2005, 20:14	#1
pizeta Member Iscritto dal: Feb 2005 Città: bologna Messaggi: 238	Samba in-sicurezza Non so da dove iniziare, da cattivo amministratore ho ignorato i log sul mio server (slack) per qualche settimana, ci ho dato un occhio adesso ed ho trovato in /var/log 38786 file di questo tipo samba.ip_non_della_lan in particolare pare che dagli ip 82.50.. a 80.52.. li abbia tutti il problema poi è che ci sono anche file del tipo samba.0022a1d2c24c467 samba.zeus samba.your-6bvpxyztoq samba.windowsxp samba.valentina e così via Il contenuto di uno di questi file è root@RinoServer:/home/install# cat /var/log/samba.valentin-1oh94x [2005/02/05 02:09:12, 0] lib/util_sock.c:read_socket_data(384) read_socket_data: recv failure for 4. Error = Connection reset by peer [2005/02/05 02:43:35, 0] lib/util_sock.c:read_socket_data(384) read_socket_data: recv failure for 4. Error = Connection timed out root@RinoServer:/home/install# cat /var/log/samba.cedro [2005/01/21 18:31:58, 1] rpc_server/srv_util.c:get_domain_user_groups(298) get_domain_user_groups: primary gid of user [samba] is not a Domain group ! get_domain_user_groups: You should fix it, NT doesn't like that [2005/01/21 18:31:58, 0] rpc_server/srv_util.c:get_alias_user_groups(206) get_alias_user_groups: gid of user samba doesn't exist. Check your /etc/passwd and /etc/group files Il log level di samba è 1 Tutti questi messaggi devono preoccuparmi, inquetarmi o semplicemente farmi abbassare a 0 il log level ? preciso che ho uno script iptables ed ho chiuse dall'esterno tutte le porte escluse 22,80,113 (10000 e 15000 per altri servizi)

08-02-2005, 21:00	#2
Maestro Senior Member Iscritto dal: Jun 2002 Messaggi: 442	di solito sono gli utenti windows affetti da Blaster/Sasser che cercano di contaminare altri PC (ovviamente con target uguale al sitema operativo, quindi se hai linux non devi preoccuparti) la cosa più importante e' pero' che in teoria questi tentativi non dovresti riceverli, in quanto e' consigliato limitare SAMBA alla LAN. Se devi accederci da fuori, e' consigliato usare altri mezzi come NFS, FTP (o meglio SFTP/SCP/SSH). __________________ -

10-02-2005, 10:05	#4
pizeta Member Iscritto dal: Feb 2005 Città: bologna Messaggi: 238	il problema è che non devo accedere da fuori ed è anche configurato per non accedere abbè tanto in settimana cancello tutto per mettere su la nuova slack

10-02-2005, 10:26	#5
stefanoxjx Senior Member Iscritto dal: Jul 2002 Città: Padova Messaggi: 4245	Molti di questi, sono tentativi di connettersi alle tue unità di rete. Sicuramente, non hai attivato nessun firewall. Questo problema l'hò risolto tirando su un firewall con iptables. Ciao.

Strumenti
Mostra una versione stampabile Invia questa pagina per email