SAMBA com acesso bloqueado [RESOLVIDO]

1. SAMBA com acesso bloqueado [RESOLVIDO]

vaini
(usa Debian)

Enviado em 24/10/2009 - 07:56h

Vou implantar em um cliente dois servidores. Um será o servidor de internet rodando squid que ja esta pronto. Agora estou configurando o servidor de arquivos que rodará samba. Minha intenção é a seguinte: quero bloquear o servidor de arquivos, de forma que somente a rede local tenha acesso, e ninguem consiga acessar pela internet, exceto uma porta de acesso SSH que usarei para criar usuarios, e fazer alterações. No entanto, quero fazer da forma mais segura possível. Pensei em criar uma regra no servidor de internet, para que ele direcione o acesso ssh. Então gostaria que a galera me ajudasse a criar essas regras, pois como iniciante nao tenho muito conhecimento de iptables. Preciso primeiramente da regra que libere apenas acesso local no samba e essa que falei no squid.

Lembrando que aceito outras sugestões que resolvam meu problema. Pensei em fazer tudo em um unico PC, mas não seguro deixar samba e squid no mesmo pc...

Por ora, obrigado.

0 0

Quote

2. MELHOR RESPOSTA

Diede
(usa Debian)

Enviado em 26/10/2009 - 14:17h

Isso é, ao meu ver, puramente filosófico.

Qual seriam as possiveis brechas de segurança ao usar vários serviços em um único servidor?
É possível pensar em coisas como um DDoS, que ao ser lançado contra o Squid inviabilizaria também o acesso ao Samba. Ou o contrário.
Um exploit quem sabe, seria 2x mais possível, visto que teria-se o dobro de serviços na mesma máquina.
Mas, se você mantém os serviços (Samba, Squid) atualizados, não haveria muito o que temer quanto a isso.
Até haveria, mas não seria algo assim tão preocupante a ponto de ter que disponibilizar um servidor para cada aplicação.

Quanto a melhor a segurança: Mantenha tudo atualizado, e foque-se na implementação de um bom firewall...

0 0

Quote

3. Re: SAMBA com acesso bloqueado [RESOLVIDO]

Diede
(usa Debian)

Enviado em 24/10/2009 - 09:14h

Configure o samba para dar bind apenas na interface da rede local, algo como:
interfaces = 127.0.0.0/8 eth0
bind interfaces only = yes
(considerando que eth0 seja a interface da rede local)

Quanto a redirecionar a porta para o SSH:

iptables -t nat -I PREROUTING -p tcp -i eth1 --dport 22 -j DNAT --to IP_DO_SERVIDOR_DE_ARQUIVOS:22
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -I FORWARD -p tcp --dport 22 -j ACCEPT

Isso, considerando que "eth1" seja a interface ligada à Internet, e que você queira conectar externamente pela porta 22.

Agora, quanto a questão de segurança, não há problemas em deixar tudo no mesmo PC.
Na verdade, é até melhor, pois dependendo do número de clientes na rede, ao colocar cada serviço em um servidor, você teria apenas 2 servidores ociosos, na maior parte do tempo...

0 0

Quote

4. E a questão da segurança

vaini
(usa Debian)

Enviado em 25/10/2009 - 16:04h

Gostaria de uma luz sobre o assunto segurança em se tratando de usar squid e samba no mesmo servidor, ou seja, o servidor de arquivos (que poderá conter dados comerciais e/ou confidenciais) e o servidor de internet no mesmo computador. Já algumas discussões sobre o assunto que não tiveram um ponto final. Será que é realmente seguro? Devemos levar em conta que nenhum servidor esta 100% seguro, porem o que podemos fazer para melhorar a segurança?

0 0

Quote

5. Re: SAMBA com acesso bloqueado [RESOLVIDO]

vaini
(usa Debian)

Enviado em 30/10/2009 - 13:48h

Obrigado pela ajuda. Foi muito valiosa.

Em todo o caso, vou ficar com a opção de configurar o samba e o squid no mesmo servidor...
Quanto ao samba, vou faze-lo autenticar somente na interface interna...já diminuirá muito o risco de acessos nao autorizados. Mais uma vez, obrigado pelas dicas.

0 0

Quote