it-swarm-vi.com

Làm cách nào để đảm bảo mã hóa dữ liệu khi truyền Samba trên các hệ thống * NIX?

Tôi có một hệ thống không đồng nhất (cả MS và * nix) giao tiếp với CIFS/SMB. Làm thế nào tôi có thể đảm bảo mã hóa dữ liệu thích hợp ở lớp ứng dụng?

18
dalimama

Nếu nó ở "lớp ứng dụng" thì nó được thực hiện bởi các ứng dụng, trên những ứng dụng nào nhìn thấy, tức là các tệp. Nói cách khác, các ứng dụng sẽ chọn một định dạng chung cho các tệp được mã hóa. Hãy xem xét định dạng OpenPGP làm điểm bắt đầu và GnuPG là thư viện mã nguồn mở và tiện ích dòng lệnh biết định dạng này. Bạn vẫn phải quyết định loại mô hình bảo mật nào bạn muốn thực thi; một khóa chung đơn giản được chia sẻ giữa các ứng dụng được cài đặt có liên quan có thể là đủ hoặc không, tùy thuộc vào những gì bạn đang cố gắng thực hiện (mã hóa giống như medecine, nó không phải là một thứ duy nhất có thể được áp dụng chung ở mọi nơi; có chi tiết).

Mặt khác, nếu bạn muốn các ứng dụng không biết về bất kỳ mã hóa nào, thì các ứng dụng chỉ nhìn thấy một CIFS/SMB "bình thường" được mã hóa dưới mui xe, theo định nghĩa, đây không phải là mã hóa "Ở lớp ứng dụng" nhưng ở một số lớp khác, sâu hơn. Tôi đề nghị sử dụng một VPN . IPsec là một giao thức bảo mật bổ sung các tính năng giống như VPN cho IP và được nhiều hệ điều hành triển khai (bao gồm cả Windows và Unix giống như thời tiền sử). VPN sẽ tốt nếu mô hình bảo mật dự định của bạn là về những kẻ tấn công theo dõi các đường liên lạc giữa các máy liên quan; Nó sẽ không giúp ích trong trường hợp các tệp được chia sẻ nếu máy mà các tệp được lưu trữ trên thực tế cũng có khả năng bị thù địch.

4
Tom Leek

Sử dụng Samba 3.3.x + và đặt server signing = [auto|mandatory|disabled] trong phần Toàn cầu (bị tắt theo mặc định). Mức chia sẻ SMB theo mặc định là tự động. Điều này đã được thử nghiệm với WinXP/Win7 và AIX 5.3 chạy Samba 3.6.7. SMB đã có sẵn trong Samba 3.2 nhưng việc ký máy chủ không xuất hiện cho đến 3.3. Những điều này là bắt buộc đối với các máy khách Win7 được định cấu hình theo khuyến nghị bảo mật của Microsoft (mã hóa NTLMv2 và 128 bit).

Xem: http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

11
Mark Gray

Mặc dù bạn có thể đã tìm ra điều này, tôi đã tìm kiếm thông tin tương tự và có thể đã tìm thấy một cái gì đó hữu ích hơn một chút. Thứ bạn dường như đang tìm kiếm là "vận chuyển mạng được mã hóa" và nó có sẵn ở Samba kể từ phiên bản 3.2 (ít nhất) .

Đáng buồn thay, thật khó để tìm ra cách thiết lập điều này bằng cách xem các tài liệu (ngay cả Samba Wiki dường như không có thông tin về nó), nhưng một cách để làm điều đó là sử dụng -e tùy chọn cho smbclient. Bạn có thể may mắn hơn khi tìm thấy chi tiết về cách gắn kết chia sẻ Samba bằng mã hóa, nhưng tôi đã không thể thực hiện được (tôi tưởng tượng nó có liên quan nhiều đến cấu hình máy chủ hơn cấu hình máy khách).

Trang này about SMB mã hóa vận chuyển trong Windows cũng có thể hữu ích.

2
Marcus P S