server samba sicurezza

nicolodo · 23-09-2019, 01:13

Ciao a tutti!
Vi racconto questo problema che sto riscontrando nel esposizione di samba su internet in una macchina linux-debian.
Possiedo una cartella con file per nulla sensibili, quindi la sicurezza mi interessa fino ad un certo punto.
Utilizzo il protocollo samba per esporre questi file in internet e un utente con il quale posso accederci ( utente pi).
Siccome non voglio rischiare però eventuali intromissioni e per capirci un pò di più in sicurezza ( è passato un pò di tempo dal corso universitario :lol: ) ho deciso di criptare lo scambio di dati tra il client e il server samba. Ho notato che anche azure usa samba criptato quindi penso che ormai questo protocollo abbia raggiunto una minima sicurezza. Nei prossimi mesi poi userò una connessione vpn per esporre dati molto più sensibili ( ho escluso l'over ssh perchè con i client mobile non è molto comodo).
Allora samba è facilmente acessibile dal esterno, il forwarding funziona ma...leggendo nella documentazione documentazione samba conf si può vedere che l'encrypt è di default attivo. Bene stampo quindi l'output di questo comando

Codice:

smbstatus

e ottengo
Samba version 4.5.12
PID Username Group Machine Protocol Version Encryption Signing
----------------------------------------------------------------------------------------------------------------------------------------
26898 nobody nogroup _smbclient (ipv4:xx:xx:xx::xxxx) NT1 - -
26909 pi pi 192.168.1.64 (ipv4:192.168.1.64:52661) SMB3_02 - partial(AES-128-CMAC)
26966 nobody nogroup _smbclient (ipv4:xx:xx:xx::xxxx) NT1 - -

Come potete notare sotto a encryption non ottengo nulla solo in uno dei tre processi sembra che il signing( che in questo caso no capisco cosa intenda) sia avvenuto tramite AES. Ma non è presente Encryption.
Come posso sapere se effettivamente esiste una crittografia nello scambio dei dati oppure no?.
So che samba non è il massimo per la sicurezza ma in questa determinata situazione mi servirebbe solo per un periodo di tempo limitato e con dati come detto completamente non sensibili, è una specie di "testing :lol: "

Grazie mille per le dritte

Dane · 23-09-2019, 15:24

perchè non giri attorno al problema di samba e ci metti in mezzo qualche tunnel ipsec?

Pardo · 30-09-2019, 16:34

Nessuno usa smb su internet direttamente...
A volte la porta 139+445 e` anche bloccata dal provider.
Metti una vpn semplice su Linux tipo Openvpn, oppure installa Nextcloud o qualcosa del genere per accedere su https.

Kaya · 01-10-2019, 08:23

Concordo su switchare su nextcloud.
O se proprio proprio un server FTP?

23-09-2019, 01:13	#1
nicolodo Junior Member Iscritto dal: Sep 2016 Messaggi: 2	server samba sicurezza Ciao a tutti! Vi racconto questo problema che sto riscontrando nel esposizione di samba su internet in una macchina linux-debian. Possiedo una cartella con file per nulla sensibili, quindi la sicurezza mi interessa fino ad un certo punto. Utilizzo il protocollo samba per esporre questi file in internet e un utente con il quale posso accederci ( utente pi). Siccome non voglio rischiare però eventuali intromissioni e per capirci un pò di più in sicurezza ( è passato un pò di tempo dal corso universitario :lol: ) ho deciso di criptare lo scambio di dati tra il client e il server samba. Ho notato che anche azure usa samba criptato quindi penso che ormai questo protocollo abbia raggiunto una minima sicurezza. Nei prossimi mesi poi userò una connessione vpn per esporre dati molto più sensibili ( ho escluso l'over ssh perchè con i client mobile non è molto comodo). Allora samba è facilmente acessibile dal esterno, il forwarding funziona ma...leggendo nella documentazione documentazione samba conf si può vedere che l'encrypt è di default attivo. Bene stampo quindi l'output di questo comando Codice: smbstatus e ottengo Samba version 4.5.12 PID Username Group Machine Protocol Version Encryption Signing ---------------------------------------------------------------------------------------------------------------------------------------- 26898 nobody nogroup _smbclient (ipv4:xx:xx:xx::xxxx) NT1 - - 26909 pi pi 192.168.1.64 (ipv4:192.168.1.64:52661) SMB3_02 - partial(AES-128-CMAC) 26966 nobody nogroup _smbclient (ipv4:xx:xx:xx::xxxx) NT1 - - Come potete notare sotto a encryption non ottengo nulla solo in uno dei tre processi sembra che il signing( che in questo caso no capisco cosa intenda) sia avvenuto tramite AES. Ma non è presente Encryption. Come posso sapere se effettivamente esiste una crittografia nello scambio dei dati oppure no?. So che samba non è il massimo per la sicurezza ma in questa determinata situazione mi servirebbe solo per un periodo di tempo limitato e con dati come detto completamente non sensibili, è una specie di "testing :lol: " Grazie mille per le dritte

23-09-2019, 15:24	#2
Dane Senior Member Iscritto dal: Jun 2001 Città: Gorizia/Trieste/Slovenia Messaggi: 4338	perchè non giri attorno al problema di samba e ci metti in mezzo qualche tunnel ipsec? __________________ Dio ha fatto il cavo, il diavolo il wireless. "CCIE-level challenges should stay in CCIE labs." (cit I.Pepelnjak)

30-09-2019, 16:34	#3
Pardo Senior Member Iscritto dal: Dec 2000 Messaggi: 1187	Nessuno usa smb su internet direttamente... A volte la porta 139+445 e` anche bloccata dal provider. Metti una vpn semplice su Linux tipo Openvpn, oppure installa Nextcloud o qualcosa del genere per accedere su https.

01-10-2019, 08:23	#4
Kaya Senior Member Iscritto dal: Apr 2005 Messaggi: 3297	Concordo su switchare su nextcloud. O se proprio proprio un server FTP?

Strumenti
Mostra una versione stampabile Invia questa pagina per email