Samba è uno strumento perfetto per condividere cartelle,file e servizzi in rete, ma soffre chiaramente se soggetto agli attacchi “comuni” provenienti dalla rete pubblica. Il modo più efficace per prevenire questi attacchi e mettere Samba in sicurezza è di effettuare alcuni piccoli accorgimenti sul config generale /etc/samba/smb.conf ;
Le direttive principali di sicurezza sono quelle dell’esclusione di tutti i range di IP. Sono esclusi dal parametro i tentativi di connessione da parte degli ip provenienti della rete interna marcati in hosts allow come da esempio:
hosts allow = 127.0.0.1 192.168.2.0/24 192.168.3.0/24 hosts deny = 0.0.0.0/0
o anche
hosts allow = localhost, 10.0.0.6, 10.0.0.7
hosts deny = ALL
Un altro tip di sicurezza può essere quello di ascoltare il traffico e i tentativi di connessione solo da determinate interfacce:
bind interfaces only = yes
interfaces = eth0 lo
o anche
bind interfaces only = yes
interfaces = eth* lo
NB: nell’ultimo caso samba ascolterà su tutte le interfacce di rete nominate eth*, esempio: eth0,eth1, etc … Chiaramente il nome delle interfacce cambia in base al sistema operativo (freebsd,linux,etc)
NB: E’ sempre consigliato l’utilizzo di un Firewall (iptables su linux), tenendo a mente che Samba utilizza le seguente porte TCP/UDP:
UDP/137 - utilizzata da nmbd UDP/138 - utilizzata da nmbd TCP/139 - utilizzata da smbd TCP/445 - utilizzata da smbd
NB: Tutte le modifiche vanno inserite nella sezione principale del file smb.conf sotto la direttiva [global] .
# End