安全化Samba的六种简单方法


a防火墙

当然,你也可以在防火墙设置阻塞Samba所必须的端口。这可以有效地限制防火墙以外的其它机器访问Samba。如果你想使用防火墙来堵塞 Samba通道,只需要选择TCP/135,UDP/135,UDP/137,UDP/138,UDP/139和TCP/139端口。这可以有效地阻止其 它计算机访问Samba服务器,甚至是网络中任何Windows服务器。

b.不需要浏览器

另一种保证系统安全的方法是不要让用户知道这一系统的存在。通过阻止用户浏览这一系统的方式,将可大大减少系统成为被攻击对象的可能。

这一过程非常容易实现,即只需关闭共享浏览功能就可以了。其中一种简单的方法是,将浏览器选项中的每一个共享菜单设置为NO。你也可以用$符号给共享浏览器命名,这也是隐藏共享的一种标准Windows方法。

同样,你可以手动设置IPC$共享来停止所有浏览连接。IPC$共享是一种隐藏的进程间的通讯共享。为了避免所有共享之间的查看,可以建立IPC$ 共享区,并将主机设置为deny = 0.0.0.0/0。你也应该将其它一主机设置为allow = 127.0.0.1,从而本地计算机可以使用IPC$共享。
c.简单的病毒保护

在很多情况下,用户访问的文件共享不应该包含可执行文件。文件共享可以使得用户存放自己的文档,电子数据表等。Samba可以设置以限制共享的文件类型, 可以通过每一共享的Veto Files属性来实现。Veto Files选项将文件说明与斜线字符(/)区别开,并支持标准通配符,星号(*)以及问号(?)。如果你不允许共享EXE文件,COM文件,或者DLL文 件,可以将一个veto文件属性设置如下:

Veto files = /*.exe/*.com/*.dll/



这一方法将可以阻止访问和存储这些类型的文件,并有效阻止Samba服务器传播各种类型的Windows病毒。你也可以限制其它文件类型,以有效地排除被病毒感染的文件。
d.密码

很多时候,构建系统安全性的基础是设置密码。用户名及其匹配的密码仍然是鉴别用户最好的方法之一。然而,这一方法当前也面临很多困难,因为对那些可以容易下载和使用的网络监视工具,查找一个密码已经是小事一桩。

在网络中限制密码的发送

在Windows系统中,发送和接收密码的方法有多种。对于Windows 2000 Service Pack 3,clear-text就是发送和接收密码的方式之一。即基本为,用户名和密码封装在一起然后在没有任何保护的情况即被发送到网络。

在Samba工具中,第一步即将Encrypted Passwords选项设置为Yes,这将使得Samba从不再使用clear-text密码方式。然而在缺省情况下,Samba会以LAN Manager格式使用的原来密码。它不是纯文本格式,但是这一密码非常容易破解,所以不推荐使用这一方法。

为了关闭LAN Manager密码,你可以添加Lanman Auth选项并将其设置为No。由于只有NI权限的客户才可以交流,这就可以中断非Windows NT/2000/XP的客户。NT权限比LAN Manager密码更难被破解。事实上,NT权限有两种版本,而其中任何一种都能够有效地保护当前处理器的安全。

确定寻找密码的地址

一旦你知道密码已经被安全地发送出去,你将可以大胆继续使用其它策略。Samba具有很好的兼容性,你可以使用本地UNIX服务器,单机 Windows服务器,Windows 2000主机,或者一台LDAP服务器限制或允许不同的用户连接到服务器。无论你选择哪个菜单,Samba服务器都具有很好的安全性。

如果你希望用户记住密码,而前提不是将密码标记在一个显眼的地方。通过在他们共同使用系统中限制用户名和密码的个数,进行单个用户名注册可以实现这一期望。通过使用已有的用户名和密码架构,你可以让Samba起到很好的安全保护作用。
空格密码

毫无疑问,允许用户使用空格密码将会导致一大堆的潜在问题,但是许多组织仍然允许使用空格密码。Samba通过管理员阻止用户采用空格或者无效密码连接方 式,以此强迫用户选择一个有效密码,而这一过程可通过添加一个Null Passwords特性并将其设置为NO来实现。

e.限制主机

Samba允许你控制访问者的另一个方法是控制他们可以连接的主机。事实上,Samba有两种可以在主机上控制访问的方法。

f.指定接口方法
如果你的Samba系统安装了多张网络卡,可以限制Samba响应请求的地址。例如,你在局域网络中安装了一张网络卡,在公共网络中也安装了一张网络卡。因为在进行网络地址转化(简称NAT)时需要使用服务器,此时你就可以规定Samba只响应来自局域网络的请求。

你也可以通过设置Bind Interfaces中的全局属性参数Yes来实现这一功能。这将告诉Samba只响应来自你指定接口的请求。下一个步骤是通过添加一个接口全局属性和指 定支持的接口来规定可以接受的接口,这一接口属性将接受UNIX接口名称或者接口的IP地址。

f允许连接主机的列表

Samba在主机上控制的第二种方法是使用Hosts Allow列表属性。这一方法允许你指定允许访问的主机。地址列表可以是子网掩码,所以你可以同一时间访问整个网络。例如,如果你的局域网使用的是 Class A地址(10.x.x.x),你可以指定为10.,或者10.0.0.0/255.0.0.0来允许局域网中的任何一台计算机访问Samba服务器。

如果你使用的是DHCP和IP地址,而你又想限制访问多台主机,此时你可以在Hosts Allow属性中列出其主机名。此外,不允许连接主机的列表属性可以让你指定不允许连接的主机名。

文章来源:http://bbs.chinaunix.net/viewthread.php?tid=920030
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值