it-swarm-eu.dev

Jak zajistím šifrování dat při přenosu Samba v systémech * NIX?

Mám heterogenní systém (MS i * nix), který komunikuje s CIFS/SMB. Jak mohu zajistit správné šifrování dat v aplikační vrstvě?

18
dalimama

Pokud se nachází v „aplikační vrstvě“, dělají to aplikace, na kterých aplikacích vidí, tj. Soubory. Jinými slovy, aplikace zvolí společný formát šifrovaných souborů. Zvažte formát OpenPGP jako výchozí bod a GnuPG jako knihovnu opensource a nástroj příkazového řádku, který zná tento formát. Stále se musíte rozhodnout, jaký druh bezpečnostního modelu chcete uplatnit; stačí obyčejný společný klíč sdílený mezi příslušnými nainstalovanými aplikacemi, nebo ne, v závislosti na tom, co se snažíte udělat (šifrování je jako medecine, není to jediná věc, kterou lze obecně použít všude; jsou zde podrobnosti).

Pokud byste naproti tomu chtěli, aby samotné aplikace blaženě nevěděly o žádném šifrování, takže aplikace uvidí pouze „normální“ CIFS/SMB, který se zašifruje pod kapotou, pak to samozřejmě není šifrování „na aplikační vrstvě“, ale na jiné hlubší vrstvě. Navrhuji použít VPN . IPsec je bezpečnostní protokol, který do IP přidává funkce podobné VPN a které implementuje mnoho operačních systémů (včetně Windows a ne prehistorických Unixů). VPN bude dobrá, pokud je váš zamýšlený bezpečnostní model o útočnících, kteří špionují na komunikačních linkách mezi zapojenými počítači; v případě sdílených souborů to nepomůže, pokud je počítač, na kterém jsou soubory fyzicky hostovány, také nepřátelský.

4
Tom Leek

Použijte Samba 3.3.x + a nastavte server signing = [auto|mandatory|disabled] v globální sekci (ve výchozím nastavení zakázáno). Úroveň sdílení SMB šifrování je ve výchozím nastavení automatické. Toto bylo testováno s WinXP/Win7 a AIX 5.3 se spuštěním Samba 3.6.7. SMB šifrování se stalo dostupným v Sambě) 3.2, ale podepisování serverů se neobjevilo dříve než 3.3. Tyto jsou vyžadovány pro klienty Win7 nakonfigurované podle bezpečnostních doporučení společnosti Microsoft (NTLMv2 a 128bitové šifrování).

Viz: http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

11
Mark Gray

Ačkoli jste na to možná přišli, hledal jsem stejné informace a možná jsem našel něco trochu užitečnějšího. Zdá se, že hledáte „šifrovaný síťový přenos“ a je k dispozici v Sambě od verze 3.2 (alespoň) .

Je smutné, že je krvavé těžké zjistit, jak to nastavit, když se podíváme na dokumenty (i Samba Wiki zřejmě nemá informace o tom), ale jeden způsob, jak to udělat, je pomocí -e volba pro smbclient. Možná budete mít štěstí najít podrobnosti o tom, jak připojit sdílenou složku Samba pomocí šifrování, ale zatím jsem nebyl schopen (domnívám se, že to má více společného s konfigurací serveru než s konfigurací klienta).

Tato stránka about SMB šifrování přenosu v systému Windows může být také užitečné).

2
Marcus P S