it-swarm-eu.dev

Wie stelle ich die Datenverschlüsselung bei der Samba-Übertragung auf * NIX-Systemen sicher?

Ich habe ein heterogenes System (sowohl MS als auch * nix), das mit CIFS/SMB kommuniziert. Wie kann ich eine ordnungsgemäße Datenverschlüsselung auf Anwendungsebene sicherstellen?

18
dalimama

Wenn es sich auf der "Anwendungsschicht" befindet, wird es von Anwendungen ausgeführt, auf denen Anwendungen angezeigt werden, d. H. Dateien. Mit anderen Worten, die Anwendungen müssen ein gemeinsames Format für verschlüsselte Dateien wählen. Betrachten Sie OpenPGP-Format als Ausgangspunkt und GnuPG als OpenSource-Bibliothek und Befehlszeilenprogramm, das dieses Format kennt. Sie müssen sich noch entscheiden, welche Art von Sicherheitsmodell Sie durchsetzen möchten. Ein einfacher gemeinsamer Schlüssel, der von den relevanten installierten Anwendungen gemeinsam genutzt wird, kann ausreichen oder nicht, je nachdem, was Sie versuchen (Verschlüsselung ist wie Medizin, es ist keine einzige Sache, die generisch überall angewendet werden kann; es gibt Details).

Wenn Sie andererseits möchten, dass die Anwendungen selbst keine Verschlüsselung bemerken, sodass die Anwendungen nur ein "normales" CIFS/SMB sehen, das unter der Haube verschlüsselt wird, ist dies per Definition keine Verschlüsselung "auf der Anwendungsschicht", aber auf einer anderen, tieferen Schicht. Ich schlage vor, ein VPN zu verwenden. IPsec ist ein Sicherheitsprotokoll, das IP VPN-ähnliche Funktionen hinzufügt und das von vielen Betriebssystemen implementiert wird (einschließlich Windows und dem nicht-prähistorischen Unix-ähnlichen). Ein VPN ist gut, wenn es sich bei Ihrem beabsichtigten Sicherheitsmodell um Angreifer handelt, die die Kommunikationsleitungen zwischen den beteiligten Computern ausspionieren. Bei freigegebenen Dateien ist dies nicht hilfreich, wenn der Computer, auf dem die Dateien physisch gehostet werden, möglicherweise auch feindlich eingestellt ist.

4
Tom Leek

Verwenden Sie Samba 3.3.x + und setzen Sie server signing = [auto|mandatory|disabled] im Abschnitt Global (standardmäßig deaktiviert). Freigabestufe SMB Die Verschlüsselung erfolgt standardmäßig automatisch. Dies wurde mit WinXP/Win7 und AIX 5.3 unter Samba 3.6.7 getestet. SMB-Verschlüsselung wurde in Samba verfügbar 3.2, aber die Serversignatur wurde erst nach 3.3 angezeigt. Diese sind für Win7-Clients erforderlich, die gemäß den Sicherheitsempfehlungen von Microsoft konfiguriert sind (NTLMv2- und 128-Bit-Verschlüsselung).

Siehe: http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

11
Mark Gray

Obwohl Sie dies vielleicht herausgefunden haben, habe ich nach denselben Informationen gesucht und möglicherweise etwas hilfreicheres gefunden. Was Sie anscheinend suchen, ist "verschlüsselter Netzwerktransport", und er ist in Samba seit Version 3.2 (mindestens) verfügbar.

Leider ist es verdammt schwer herauszufinden, wie man dies einrichtet, indem man sich die Dokumente ansieht (selbst das Samba-Wiki scheint keine Informationen darüber zu haben), aber eine Möglichkeit, dies zu tun, ist die Verwendung von -e Option für smbclient. Möglicherweise haben Sie besseres Glück, wenn Sie Details zum Mounten einer Samba-Freigabe mithilfe von Verschlüsselung finden, aber bisher war dies nicht möglich (ich kann mir vorstellen, dass dies mehr mit der Serverkonfiguration als mit der Clientkonfiguration zu tun hat).

Diese Seite about SMB Transportverschlüsselung in Windows kann ebenfalls hilfreich sein.

2
Marcus P S