Ubuntu 加固 samba服务器

根据我的实际情况，我需要在内网提供samba给windows虚拟机

---------------------------------------------
一：不使用明语密码
samba默认为客户端使用明语密码，这样做虽然很方便，但却很不安全，我们可以通过配置/etc/samba/smb.conf,修改为密语方式，加入参数
encrypt passwords=yes
smb passwd file=/etc/samba/smbpasswd
这样，当security=user时，通过/etc/samba/smbpasswd文件进行验证，验证过程无明码传输

ps: 我是参照作的，

sudo apt-get install libpam-smbpass

编辑/etc/samba/smb.conf, 在 [share]部分修改为

guest ok = no

二：尽量不使用共享级别的安全当security=share的时候，samba安全性比较差，灵活性不强，所以应避免使用共享级别安全ps:完成security=user

三：尽量不要使用浏览器服务

保证系统安全的曲线方法是不要让不相关的人知道这一系统的存在，使用浏览器访问会留下痕迹，加大系统别知晓并攻击的可能，这时候应该关闭共享浏览功能。

ps:默认关闭

四：限制网络接口访问

这个适用于多网卡，限制samba只响应来自内网的请求，可以通过在配置文件中加入参数实现

interfaces=192.168.0.1/24 127.0.0.1

bind interfaces only=yes

第一个表示监听的接口列表，第二个表示绑定第一个设定的列表

ps : 我改成 interfaces = virbr0
bind interfaces only = yes
nmap扫描外网ip时，设置前开放139和445端口，设置后就扫不到了 ，说明设置有效

五：控制访问列表

你可以使用ip,主机名，用户名或组限制访问samba的用户，这也将一定提升安全性和管理性

可以在配置文件中添加参数实现控制

ip控制访问

hosts deny=ALL

hosts allow=192.168.0.0/24 127.0.0.1

先拒绝所有，在设置允许访问的ip或段

主机名控制访问

hosts deny=ALL

hosts allow=win01,win02,win05

用户或组控制访问

valid users=smb01,smb02,@samba@admin

允许用户smb01,smb02与组samba,admin访问

ps:未做

六：防御病毒

作为linux系统的samba服务，防范病毒是很重要的，虽然linux很少感染病毒，但win并不是，做为异构内网

作为服务的对象，大多是win系列的机器，病毒防范将做为第一安全要素，这也是samba不同与其他服务的地方，这里可以安装ClamAV杀毒软件与samba专用杀毒软件Samba-vscan配合进行防范

具体过程大家可以找资料完成，这里就不多罗嗦了

ps:未做

七：配置iptables保护samba

samba经常被配置在有双网卡的机器上，samba做为内网专用服务，应该隔绝外网以保护samba,

这里可以使用iptables封锁以下端口，不允许外网访问137，138，139端口！

ps:未做

八（不推荐）:使用ssl加固samba

不推荐的原因是配置ssl相当复杂，不仅耗费大量时间，也需要客户端配合，samba虽然是内网专用，但也可以连接到intnet上，只有这时候才推荐使用ssl，（还不如用ftp）

系统的可靠性取决于系统中最薄弱的环节，不要轻视每一个服务的安全性，不然后果可能很凄惨

samba的安全就说到这里，并不是每条都适合你的环境，希望能给用户提供一定参考