ot Ying Zhang(13-04-2000)

reiting (18)   [ dobre ]  [ zle ]

Printer Friendly Variant za otpechatvane

Tazi statiia e prevedena s razreshenieto na avtora i Ying Zhang.
Adresut na originalnata statiia e http://dcfonline.sfu.ca/ying/linux
Prevod: Bozhidar Ivanov - bobyri@mailexcite.com.

Produlzhenie na [ chast 2 ].

Uvelichavane na sigurnostta na Samba

Vseki put, kogato dobaviate niakakva usluga kato Samba na vasheto PC, Vie nesuznatelno predostaviate na krakurite oshte edno pole za ataka. Sega shte Vi pokazha niakoi nachini da zashtitite Vashiia Samba survur.

S pomoshtta na Samba

S pomoshtta na konfiguratsionniia fail na Samba (/etc/smb.conf), Vie mozhete izrichno da ukazhete koi IP adres da slusha. Redovete, koito osushtestviavat tova sa:

interfaces = 192.168.0.1/24 127.0.0.1/24
bind interfaces only = Yes

Estestveno, Vie bihte mogli da zamenite tozi red, taka che da okazhete sobstven obhvat ot IP adresi. Ponezhe sum paranoik, az vuvedoh idrugo nivo na zashtita, kato filtrirah portovete na NetBIOS-a.

Filtrirane na portovete

Potrebitelski portove ot tip SMB 137-139; za po-sigurno az blokirah dvata porta na TCP i UDP 137-139. Ako izpolzvate iadroto 2.0, Vie shte izpolzvate instrument, narechen ipfwadm, za da postignete goreposochenoto nivo na zashtita. S iadra 2.1 i 2.2, Vie shte izpolzvate ipchains.

Nachin na izpolzvane na ipfwadm

Uverete se, che razpolagate s ipfwadm. Ako li ne, Vie mozhete da go svalite kato RPM ot slednata stranitsa: http://www.rpmfind.net/linux/RPM.

Dobavete slednite redove vuv vashiia fail /etc/rc.local:

ipfwadm -I -P tcp -a deny -S any/0 137:139 -W eth0
ipfwadm -I -P udp -a deny -S any/0 137:139 -W eth0
ipfwadm -O -P tcp -a deny -S any/0 137:139 -W eth0
ipfwadm -O -P udp -a deny -S any/0 137:139 -W eth0

Tova shte zabrani vsichki pristigashti i zaminavashti paketi ot portovete 137-139 pod eth0 interfeisa. eth0 e NIC-ut koito svurzva moiata kutiia s Internet - mozhe bi Vie triabva da modifitsirate tezi komandi, za da mogat da pasnat na Vashata sistemna konfiguratsiia. Prochetete naruchnika na ipfwadm za poveche informatsiia.

Nachin na izpolzvane na ipchains

Vie imate nuzhda ot paketa ipchains, za da napravite tazi nastroika; mislia che mozhe da go svalite ot: http://www.rpmfind.net/linux/RPM

Dobavete slednite redove vuv vashiia fail /etc/rc.local :

ipchains -A input -p tcp -j DENY --destination-port 137:139 -i eth0
ipchains -A input -p udp -j DENY --destination-port 137:139 -i eth0
ipchains -A output -p tcp -j DENY --destination-port 137:139 -i eth0
ipchains -A output -p udp -j DENY --destination-port 137:139 -i eth0

Tozi red vurshi sushtata rabota kato komandata ipfwadm ot predhodniia paragraf.

Podtvurzhdavane na samolichnostta chrez parola

Ako imate nuzhda ot potrebitelski akaunti i paroli za avtentichnost, bi triabvalo da izsledvate drugite metodi za potvurzhdavane na avtentichnost v Samba (naprimer sigurnost na nivo potrebitel, sigurnost na nivo domein, i t.n.). Tova e izvun temata na tozi dokument.
Zaklyuchenie:

S tova se izcherpva sudurzhanieto na nashiia dokument za opisanie na produkta stupka po stupka. Ako imate nuzhda ot poveche informatsiia otnosno Samba, posetete tiahnata ofitsialna stranitsa na adres: (http://www.samba.org) i prochetete tiahnata dokumentatsiia.

Vizhte [ CHast 1 | CHast 2 | CHast 3 ]



<< Purvi stupki s MySQL | Instalirane i konfigurirane na Samba (chast 2) >>