ФСТЭК тоже пишет статьи по IT. Так на портале fstec.ru опубликованы рекомендации по безопасной настройке программного обеспечения Samba.
Статья обобщает ключевые положения документа, выделяя наиболее важные и практичные шаги для специалистов. Аудитория: Системные администраторы, специалисты по информационной безопасности, ответственные за настройку и сопровождение файловых серверов на базе Samba в смешанных средах (Linux/Windows).
Документ начинается с классического сценария развертывания простой файловой шары. Рекомендации предлагают системный подход к ужесточению безопасности:
- Сетевой периметр. Запрет подключений по умолчанию (hosts deny = 0.0.0.0/0) и явное разрешение только доверенных подсетей (hosts allow = 192.168.0.0/24).
- Отказ от устаревших небезопасных протоколов. Принудительное отключение протокола SMBv1, уязвимого для таких атак, как EternalBlue. Использование только современных версий (server min protocol = SMB2).
- Сужение поверхности атаки. Отключение службы NetBIOS (disable netbios = yes) и привязка SMB только к порту TCP/445, что упрощает конфигурацию межсетевых экранов.
- Контроль прав. Тонкая настройка масок создания файлов и каталогов (create mask = 0640, directory mask = 0750) для предотвращения несанкционированного доступа к новым данным.
Один из самых ценных разделов документа — настройка комплексного аудита. Вместо базового логирования предлагается задействовать мощный модуль виртуальной файловой системы (VFS) full_audit. Он позволяет записывать в syslog детальную информацию о каждом действии пользователя.
Если Samba выступает в роли контроллера домена (AD DC), рекомендации предписывают дополнительные меры:
- Шифрование трафика. Требование сильной аутентификации для LDAP (ldap server require strong auth = yes) и настройка использования стойких шифров Kerberos (AES-256, AES-128).
- Защита критичных данных. Контроль прав на каталог SYSVOL, регулярное ручное резервное копирование базы AD с последующим ограничением доступа к бэкапам.
- Административный контроль. Регулярная проверка состава групп привилегированных пользователей (например, "Domain Admins") и списка групповых политик на наличие нелегитимных изменений.
- Парольная политика. Установка строгих требований к паролям: длина от 15 символов, обязательная сложность (верхний/нижний регистр, цифры, спецсимволы), история паролей, срок действия.
Не обошлось без косяков, Так где-то smbd написано как smdb, но это мелочи. Обратить внимание нужно на опечатки, привнесённые автоматическими изменениями текстовых редакторов. В команде samba-tool domain backup offline стоит длинное тире –. В терминале используется обычный дефис -. Нужно заменить –target-dir на --target-dir.
В целом же это практическое, многоуровневое руководство по безопасной настройке, охватывающее весь жизненный цикл — от первоначального развертывания файлового сервера с учетом сетевой безопасности до организации детального аудита и защиты доменных служб.
