Samba over the internet

Panagiotis Atmatzidis p.atmatzidis at gmail.com
Thu Jan 26 19:28:18 EET 2006


On 1/26/06, DJ Art <djart at linux.gr> wrote:
> On Thursday 26 January 2006 13:19, Panagiotis Atmatzidis wrote:
> > Aν στήσεις samba μέσω internet κι αφήσεις το port ανοιχτό θα έχεις
> > εκπλήξεις σε λιγότερο από 48 ώρες. Τόσο άσχημα!
>
> Δηλαδή, συγγνώμη. Αν βγάλω publically ένα anonymous read-only samba
> share, σαν τί έκπληξη μπορεί να παρατηρήσω σε 48 ώρες ?? [0]
>
> Υπάρχει κάποιο συγκεκριμένο security report ή όλοι το πετάτε έτσι στον
> άερα αορίστως ότι είναι insecure ?

Όχι, δεν υπάρχει security report και να υπήρχε θα το μαθαίναμε
τελευταίοι πιστεύω. Πέρα από αυτό, μίλησα από προσωπική εμπειρία δική
μου. Αργότερα βρήκα κι άλλους, κι από όσο γνωρίζω δεν ήταν ακόμη
γνωστή η τρύπα του προγράμματος.

>
> Καλό και το ssh, αλλά δεν είναι πανάκεια:
>
> 1) Transfer rate της κακιάς ώρας
> 2) Προσωπικά δεν έχω δεί το sftp να υλοποιεί reget παρόλο που το
> πρωτόκολλο υποστηρίζει

Δεν έχω παρατηρήσει σημαντικές διαφορές στο transfer rate από sftp,
netatalk ή ftp στο τοπικό δίκτυο.

>
> Πάντως αν κάνω tail -f /var/log/auth.log |grep sshd σε ένα μηχάνημα που
> υπάρχει στο δίκτυο, η οθόνη κυλάει συνέχεια με μεγάλη ταχύτητα και
> attempts ανα 1-2 δευτερόλεπτα για login ως root.

Ναι γιαυτό είναι καλό να μην τρέχει σε standard port. Αλλά πέρα από
αυτό, ας πούμε ότι είναι ένα πρωτόκολλο φτιαγμένο για να είναι πάνω
από όλα ασφαλές. Πέρα από τις δυνατότητες (keys, varius auth modes,
etc) που έχει, είναι σχετικά δύσκολο να μπει κάποιος χωρίς να έχει
κωδικό χρήστη αλλά και πρόσβασης. Για SAMBA από όσο ξέρω, δεν
χρειάστηκε καν να ψάξει ο εισβολέας για κωδικό πρόσβασης.
Configuration error?

>
>
> Η on-topic ερώτηση είναι πώς γίνεται να δουλέψει το samba over the
> internet όχι αν είναι secure/προτεινόμενο.
>

Είχα μια άσχημη εμπειρία και *είπα* να την μοιραστώ δεν θα το ξανακάνω
αυτό το λάθος. Από εδώ κι εμπρός θα απαντώ μόνο σε on topic
απαντήσεις!
Αυτό το μέτρο ισχύει για όλους? :-)

> Εγώ αν θα είχα την ανάγκη να κάνω κάτι τέτοιο, θα κοίταγα αν μπορώ να
> θέσω VPN. Διότι το να ανοίξει κανείς τις πόρτες δε λέει τίποτα. Για να
> δουλέψει, πέρα από τα NetBIOS, WINS που πρέπει να είναι σε LAN τα
> μηχανήματα για να ανακαλύψει το ένα το άλλο, πρέπει να μιλάμε και για
> το ίδιο Workgroup ή Domain (έννοιες βασισμένες σε LAN-based τοπολογία).
>

Ναι αυτό η αλήθεια πως δεν το σκέφτηκα, δεν έφτασα έως εκεί.

>
>
> [0] Πέρα από τυχόν τεράστιο traffic/load/bottleneck ή 1 εκαττομύριο bots
> να προσπαθούν να εκτελέσουν γνωστά και υπάρχοντα worms/script attacks ή
> intrusion methods. Αυτά σίγουρα δεν αποτελούν έκπληξη.
>
> --
> Thanos Kyritsis <djart at linux.gr>
> Q: Εθελοντής ή θεατής ?
> A: Ιδιοκτήτης! ;-)
>
>
> --
> linux-greek-users mailing list -- http://lists.hellug.gr
>


--
Panagiotis




More information about the Linux-greek-users mailing list