Samba è uno strumento perfetto per condividere cartelle,file e servizzi in rete, ma soffre chiaramente se soggetto agli attacchi “comuni” provenienti dalla rete pubblica. Il modo più efficace per prevenire questi attacchi e mettere Samba in sicurezza è di effettuare alcuni piccoli accorgimenti sul config generale /etc/samba/smb.conf ;

Le direttive principali di sicurezza sono quelle dell’esclusione di tutti i range di IP. Sono esclusi dal parametro i tentativi di connessione da parte degli ip provenienti della rete interna marcati in hosts allow come da esempio:

hosts allow = 127.0.0.1 192.168.2.0/24 192.168.3.0/24  
hosts deny = 0.0.0.0/0

o anche

hosts allow = localhost, 10.0.0.6, 10.0.0.7
hosts deny = ALL 

Un altro tip di sicurezza può essere quello di ascoltare il traffico e i tentativi di connessione solo da determinate interfacce:

bind interfaces only = yes
interfaces = eth0 lo

o anche

bind interfaces only = yes
interfaces = eth* lo

NB: nell’ultimo caso samba ascolterà su tutte le interfacce di rete nominate eth*, esempio: eth0,eth1, etc … Chiaramente il nome delle interfacce cambia in base al sistema operativo (freebsd,linux,etc)

NB: E’ sempre consigliato l’utilizzo di un Firewall (iptables su linux), tenendo a mente che Samba utilizza le seguente porte TCP/UDP:

UDP/137 - utilizzata da nmbd
UDP/138 - utilizzata da nmbd
TCP/139 - utilizzata da smbd
TCP/445 - utilizzata da smbd

NB: Tutte le modifiche vanno  inserite nella sezione principale del file smb.conf sotto la direttiva [global] .

# End