Jika Anda menghosting server Samba, penting bagi Anda untuk memberikan perhatian ekstra untuk mengamankan server dari musuh.

Takeaway kunci

  • Aktifkan enkripsi untuk lalu lintas SMB untuk mencegah akses tidak sah dan serangan siber. Gunakan Transport Layer Security (TLS) untuk mengamankan lalu lintas server Linux Samba Anda.
  • Terapkan kontrol akses dan izin yang ketat untuk sumber daya bersama menggunakan file konfigurasi /etc/samba/smb.conf. Tetapkan aturan untuk akses, izin, dan batasan untuk memastikan hanya pengguna yang berwenang yang dapat mengakses sumber daya.
  • Terapkan kata sandi yang kuat dan unik untuk akun pengguna SMB untuk meningkatkan keamanan. Perbarui Linux dan Samba secara rutin untuk melindungi dari kerentanan dan serangan siber, dan hindari penggunaan protokol SMBv1 yang tidak aman.
  • Konfigurasikan aturan firewall untuk membatasi akses ke port SMB dan pertimbangkan segmentasi jaringan untuk mengisolasi lalu lintas SMB dari jaringan yang tidak tepercaya. Pantau log SMB untuk aktivitas mencurigakan dan insiden keamanan, serta batasi akses tamu dan koneksi anonim.
    • instagram viewer
  • Terapkan pembatasan berbasis host untuk mengontrol akses ke host tertentu dan menolak akses ke yang lain. Ambil langkah-langkah keamanan tambahan untuk membentengi jaringan Anda dan memperkuat server Linux Anda.

Protokol SMB (Server Message Block) adalah landasan berbagi file dan printer di lingkungan yang terhubung. Namun, konfigurasi default Samba dapat menimbulkan risiko keamanan yang signifikan, membuat jaringan Anda rentan terhadap akses tidak sah dan serangan siber.

Jika Anda menghosting server Samba, Anda harus ekstra hati-hati dengan konfigurasi yang telah Anda tetapkan. Berikut adalah 10 langkah penting untuk memastikan server SMB Anda tetap aman dan terlindungi.

1. Aktifkan Enkripsi untuk Lalu Lintas SMB

Secara default, lalu lintas SMB tidak dienkripsi. Anda dapat memverifikasi ini dengan menangkap paket jaringan dengan tcpdump atau Wireshark. Sangat penting bagi Anda untuk mengenkripsi semua lalu lintas untuk mencegah penyerang mencegat dan menganalisis lalu lintas.

Anda disarankan untuk menyiapkan Transport Layer Security (TLS) untuk mengenkripsi dan mengamankan lalu lintas server Linux Samba Anda.

2. Terapkan Kontrol Akses Ketat dan Izin untuk Sumber Daya Bersama

Anda harus menerapkan kontrol dan izin akses yang ketat untuk memastikan bahwa pengguna yang terhubung tidak dapat mengakses sumber daya yang tidak diinginkan. Samba menggunakan file konfigurasi pusat /etc/samba/smb.conf yang memungkinkan Anda menentukan aturan untuk akses dan izin.

Menggunakan sintaks khusus, Anda dapat menentukan sumber daya untuk dibagikan, pengguna/grup untuk memberikan akses ke sumber daya tersebut, dan apakah sumber daya dapat diakses, ditulis, atau dibaca. Berikut adalah contoh sintaks untuk mendeklarasikan sumber daya dan mengimplementasikan kontrol akses padanya:

[sambashare]
comment= Samba Example
path = /home/your_username/sambashare
browseable = yes
writable = yes
valid users = @groupname

Pada baris di atas, kami menambahkan lokasi berbagi baru dengan jalur dan dengan pengguna yang valid, kami membatasi akses ke berbagi hanya untuk satu grup. Ada beberapa cara lain untuk menentukan kontrol dan akses ke sebuah share. Anda dapat mempelajarinya lebih lanjut dari panduan khusus kami tentang cara menyiapkan a folder jaringan bersama di Linux dengan Samba.

3. Gunakan Kata Sandi yang Kuat dan Unik untuk Akun Pengguna SMB

Menegakkan kebijakan kata sandi yang kuat untuk akun pengguna SMB adalah praktik terbaik keamanan mendasar. Sebagai administrator sistem, Anda harus membuat atau mendesak semua pengguna untuk membuat kata sandi yang kuat dan unik untuk akun mereka.

Anda juga dapat mempercepat proses ini dengan secara otomatis menghasilkan kata sandi yang kuat menggunakan alat. Opsional, Anda juga dapat merotasi kata sandi secara teratur untuk mengurangi risiko kebocoran data dan akses tidak sah.

4. Perbarui Linux dan Samba secara teratur

Bentuk pertahanan pasif paling sederhana terhadap semua jenis serangan dunia maya adalah dengan memastikan bahwa Anda menjalankan versi terbaru dari perangkat lunak penting. SMB rentan terhadap kerentanan. Itu selalu menjadi target yang menguntungkan bagi penyerang.

Ada beberapa kerentanan kritis SMB di masa lalu yang menyebabkan pengambilalihan sistem secara menyeluruh atau hilangnya data rahasia. Anda harus selalu memperbarui sistem operasi dan layanan penting di dalamnya.

5. Hindari Menggunakan Protokol SMBv1

SMBv1 adalah protokol yang tidak aman. Itu selalu disarankan bahwa setiap kali Anda menggunakan SMB, baik itu di Windows atau Linux, Anda harus menghindari penggunaan SMBv1 dan hanya menggunakan SMBv2 dan yang lebih tinggi. Untuk menonaktifkan protokol SMBv1, tambahkan baris ini ke file konfigurasi:

min protocol = SMB2

Ini memastikan bahwa tingkat protokol minimum yang digunakan adalah SMBv2.

6. Terapkan Aturan Firewall untuk Membatasi Akses ke Port SMB

Konfigurasikan firewall jaringan Anda untuk mengizinkan akses ke port SMB, umumnya port 139 dan port 445 hanya dari sumber tepercaya. Ini membantu mencegah akses tidak sah dan mengurangi risiko serangan berbasis SMB dari ancaman eksternal.

Anda juga harus mempertimbangkan menginstal solusi IDS bersama dengan firewall khusus untuk memiliki kontrol dan pencatatan lalu lintas yang lebih baik. Tidak yakin firewall mana yang akan digunakan? Anda mungkin menemukan satu yang cocok untuk Anda dari daftar firewall Linux gratis terbaik untuk digunakan.

7. Terapkan Segmentasi Jaringan untuk Mengisolasi Lalu Lintas SMB Dari Jaringan Tidak Tepercaya

Segmentasi jaringan adalah teknik membagi model monolitik tunggal jaringan komputer menjadi beberapa subnet, masing-masing disebut segmen jaringan. Ini dilakukan untuk meningkatkan keamanan, kinerja, dan pengelolaan jaringan.

Untuk mengisolasi lalu lintas SMB dari jaringan yang tidak tepercaya, Anda dapat membuat segmen jaringan terpisah untuk lalu lintas SMB dan mengonfigurasi aturan firewall agar hanya mengizinkan lalu lintas SMB ke dan dari segmen ini. Ini memungkinkan Anda untuk mengelola dan memantau lalu lintas SMB dengan cara yang terfokus.

Di Linux, Anda dapat menggunakan iptables atau alat jaringan serupa untuk mengonfigurasi aturan firewall guna mengontrol aliran lalu lintas antar segmen jaringan. Anda dapat membuat aturan untuk mengizinkan lalu lintas SMB ke dan dari segmen jaringan SMB sambil memblokir semua lalu lintas lainnya. Ini secara efektif akan mengisolasi lalu lintas SMB dari jaringan yang tidak dipercaya.

8. Pantau SMB Log untuk Aktivitas Mencurigakan dan Insiden Keamanan

Memantau log SMB untuk aktivitas mencurigakan dan insiden keamanan merupakan bagian penting dalam menjaga keamanan jaringan Anda. Log SMB berisi informasi tentang lalu lintas SMB, termasuk akses file, autentikasi, dan aktivitas lainnya. Dengan memantau log ini secara teratur, Anda dapat mengidentifikasi potensi ancaman keamanan dan memitigasinya.

Di Linux, Anda dapat menggunakan perintah journalctl dan menyalurkan outputnya ke perintah grep untuk melihat dan menganalisis log SMB.

journalctl -u smbd.service

Ini akan menampilkan log untuk smbd.service unit yang bertanggung jawab untuk mengelola lalu lintas SMB. Anda dapat menggunakan -F pilihan untuk mengikuti log secara real-time atau menggunakan -R opsi untuk melihat entri terbaru terlebih dahulu.

Untuk mencari log untuk peristiwa atau pola tertentu, kirimkan output dari perintah journalctl ke grep. Misalnya, untuk mencari upaya autentikasi yang gagal, jalankan:

journalctl -u smbd.service | grep -i "authentication failure"

Ini akan menampilkan semua entri log yang berisi teks "authentication failure", yang memungkinkan Anda mengidentifikasi aktivitas mencurigakan atau upaya kekerasan dengan cepat.

9. Batasi Penggunaan Akses Tamu dan Koneksi Anonim

Mengaktifkan akses tamu memungkinkan pengguna untuk terhubung ke server Samba tanpa memberikan nama pengguna atau kata sandi, sementara koneksi anonim memungkinkan pengguna untuk terhubung tanpa memberikan otentikasi apa pun informasi.

Kedua opsi ini dapat menimbulkan risiko keamanan jika tidak dikelola dengan baik. Anda disarankan untuk mematikan keduanya. Untuk melakukannya, Anda perlu menambahkan atau memodifikasi beberapa baris di file konfigurasi Samba. Inilah yang perlu Anda tambahkan/modifikasi di bagian global dari smb.conf mengajukan:

map to guest = never
restrict anonymous = 2

10. Terapkan Pembatasan Berbasis Host

Secara default, server Samba yang terbuka dapat diakses oleh semua host (alamat IP) tanpa batasan. Dengan akses, ini dimaksudkan untuk membuat koneksi dan bukan, secara harfiah mengakses sumber daya.

Untuk mengizinkan akses ke host tertentu, dan menolak untuk beristirahat, Anda dapat memanfaatkannya tuan rumah mengizinkan Dan tuan rumah menyangkal pilihan. Inilah sintaks untuk ditambahkan ke file konfigurasi untuk mengizinkan/menolak host:

hosts allow = 127.0.0.1 192.168.1.0/24
hosts deny = 0.0.0.0/0

Di sini Anda memerintahkan Samba untuk menolak semua koneksi kecuali dari host lokal dan jaringan 192.168.1.0/24. Ini adalah salah satu yang mendasar cara untuk mengamankan server SSH Anda juga.

Sekarang Anda Tahu Cara Mengamankan Server Samba Linux Anda

Linux sangat bagus untuk hosting server. Namun, setiap kali Anda berurusan dengan server, Anda harus berhati-hati dan ekstra hati-hati karena server Linux selalu menjadi target yang menggiurkan bagi para pelaku ancaman.

Sangatlah penting bagi Anda untuk melakukan upaya yang tulus untuk memperkuat jaringan Anda dan memperkuat server Linux Anda. Selain mengonfigurasi Samba dengan benar, ada beberapa langkah lain yang harus Anda ambil untuk memastikan server Linux Anda aman dari serangan musuh.