यदि आप सांबा सर्वर होस्ट कर रहे हैं, तो यह महत्वपूर्ण है कि आप सर्वर को विरोधियों से सुरक्षित रखने पर अतिरिक्त ध्यान दें।

चाबी छीनना

  • अनधिकृत पहुंच और साइबर हमलों को रोकने के लिए एसएमबी ट्रैफ़िक के लिए एन्क्रिप्शन सक्षम करें। अपने Linux Samba सर्वर के ट्रैफ़िक को सुरक्षित करने के लिए ट्रांसपोर्ट लेयर सिक्योरिटी (TLS) का उपयोग करें।
  • /etc/samba/smb.conf कॉन्फ़िगरेशन फ़ाइल का उपयोग करके साझा संसाधनों के लिए सख्त पहुंच नियंत्रण और अनुमतियां लागू करें। यह सुनिश्चित करने के लिए कि केवल अधिकृत उपयोगकर्ता ही संसाधनों तक पहुँच सकें, पहुँच, अनुमतियाँ और प्रतिबंधों के नियमों को परिभाषित करें।
  • सुरक्षा बढ़ाने के लिए एसएमबी उपयोगकर्ता खातों के लिए मजबूत और अद्वितीय पासवर्ड लागू करें। कमजोरियों और साइबर हमलों से बचाने के लिए लिनक्स और सांबा को नियमित रूप से अपडेट करें और असुरक्षित SMBv1 प्रोटोकॉल का उपयोग करने से बचें।
  • एसएमबी पोर्ट तक पहुंच को प्रतिबंधित करने के लिए फ़ायरवॉल नियमों को कॉन्फ़िगर करें और अविश्वसनीय नेटवर्क से एसएमबी ट्रैफ़िक को अलग करने के लिए नेटवर्क विभाजन पर विचार करें। संदिग्ध गतिविधियों और सुरक्षा घटनाओं के लिए एसएमबी लॉग की निगरानी करें, और अतिथि पहुंच और अनाम कनेक्शन को सीमित करें।
    instagram viewer
  • विशिष्ट होस्ट तक पहुंच को नियंत्रित करने और दूसरों को पहुंच से वंचित करने के लिए होस्ट-आधारित प्रतिबंध लागू करें। अपने नेटवर्क को मजबूत करने और अपने लिनक्स सर्वर को मजबूत करने के लिए अतिरिक्त सुरक्षा उपाय करें।

SMB (सर्वर मैसेज ब्लॉक) प्रोटोकॉल कनेक्टेड वातावरण में फ़ाइल और प्रिंटर साझाकरण की आधारशिला है। हालाँकि, सांबा का डिफ़ॉल्ट कॉन्फ़िगरेशन महत्वपूर्ण सुरक्षा जोखिम पैदा कर सकता है, जिससे आपका नेटवर्क अनधिकृत पहुंच और साइबर हमलों के प्रति संवेदनशील हो सकता है।

यदि आप सांबा सर्वर होस्ट कर रहे हैं, तो आपको अपने द्वारा निर्धारित कॉन्फ़िगरेशन के साथ अतिरिक्त सतर्क रहने की आवश्यकता है। यह सुनिश्चित करने के लिए यहां 10 महत्वपूर्ण चरण दिए गए हैं कि आपका एसएमबी सर्वर सुरक्षित और संरक्षित रहे।

1. SMB ट्रैफ़िक के लिए एन्क्रिप्शन सक्षम करें

डिफ़ॉल्ट रूप से, SMB ट्रैफ़िक एन्क्रिप्टेड नहीं है। आप इसे सत्यापित कर सकते हैं tcpdump के साथ नेटवर्क पैकेट कैप्चर करना या वायरशार्क. यह सर्वोपरि है कि आप किसी हमलावर को ट्रैफ़िक को रोकने और उसका विश्लेषण करने से रोकने के लिए सभी ट्रैफ़िक को एन्क्रिप्ट करें।

यह अनुशंसा की जाती है कि आप अपने Linux Samba सर्वर के ट्रैफ़िक को एन्क्रिप्ट और सुरक्षित करने के लिए ट्रांसपोर्ट लेयर सिक्योरिटी (TLS) सेट करें।

2. साझा संसाधनों के लिए सख्त पहुंच नियंत्रण और अनुमतियां लागू करें

आपको यह सुनिश्चित करने के लिए सख्त पहुंच नियंत्रण और अनुमतियां लागू करनी चाहिए कि जुड़े हुए उपयोगकर्ता अनचाहे संसाधनों तक पहुंचने में सक्षम नहीं हैं। सांबा एक केंद्रीय कॉन्फ़िगरेशन फ़ाइल का उपयोग करता है /etc/samba/smb.conf जो आपको पहुंच और अनुमतियों के लिए नियम परिभाषित करने की अनुमति देता है।

विशेष सिंटैक्स का उपयोग करके, आप साझा करने के लिए संसाधनों को परिभाषित कर सकते हैं, उन संसाधनों तक पहुंच प्रदान करने के लिए उपयोगकर्ताओं/समूहों को परिभाषित कर सकते हैं, और क्या संसाधनों को ब्राउज़ किया जा सकता है, लिखा जा सकता है या पढ़ा जा सकता है। संसाधन घोषित करने और उस पर पहुंच नियंत्रण लागू करने के लिए नमूना वाक्यविन्यास यहां दिया गया है:

[sambashare]
comment= Samba Example
path = /home/your_username/sambashare
browseable = yes
writable = yes
valid users = @groupname

उपरोक्त पंक्तियों में, हम एक पथ के साथ एक नया शेयर स्थान जोड़ते हैं और वैध उपयोगकर्ताओं के साथ, हम केवल एक समूह तक शेयर तक पहुंच को प्रतिबंधित करते हैं। किसी शेयर पर नियंत्रण और पहुंच को परिभाषित करने के कई अन्य तरीके हैं। आप इसे कैसे सेट करें, इस बारे में हमारी समर्पित मार्गदर्शिका से इसके बारे में अधिक जान सकते हैं सांबा के साथ लिनक्स पर नेटवर्क-साझा फ़ोल्डर.

3. एसएमबी उपयोगकर्ता खातों के लिए मजबूत और अद्वितीय पासवर्ड का उपयोग करें

एसएमबी उपयोगकर्ता खातों के लिए मजबूत पासवर्ड नीतियां लागू करना एक मौलिक सुरक्षा सर्वोत्तम अभ्यास है। एक सिस्टम प्रशासक के रूप में, आपको सभी उपयोगकर्ताओं से अपने खातों के लिए मजबूत और अद्वितीय पासवर्ड बनाने का आग्रह करना चाहिए।

आप इस प्रक्रिया को तेज़ भी कर सकते हैं टूल का उपयोग करके स्वचालित रूप से मजबूत पासवर्ड उत्पन्न करना. वैकल्पिक रूप से, आप डेटा लीक और अनधिकृत पहुंच के जोखिम को कम करने के लिए नियमित रूप से पासवर्ड घुमा सकते हैं।

4. लिनक्स और सांबा को नियमित रूप से अपडेट करें

सभी प्रकार के साइबर हमलों के विरुद्ध निष्क्रिय सुरक्षा का सबसे सरल रूप यह सुनिश्चित करना है कि आप महत्वपूर्ण सॉफ़्टवेयर के अद्यतन संस्करण चला रहे हैं। एसएमबी कमजोरियों से ग्रस्त है। यह हमलावरों के लिए हमेशा एक आकर्षक लक्ष्य होता है।

अनेक हो गए हैं अतीत में महत्वपूर्ण SMB कमजोरियाँ जिससे संपूर्ण सिस्टम पर कब्ज़ा हो जाता है या गोपनीय डेटा नष्ट हो जाता है। आपको अपने ऑपरेटिंग सिस्टम और उस पर मौजूद महत्वपूर्ण सेवाओं दोनों को अद्यतन रखना होगा।

5. SMBv1 प्रोटोकॉल का उपयोग करने से बचें

SMBv1 एक असुरक्षित प्रोटोकॉल है. यह हमेशा अनुशंसा की जाती है कि जब भी आप एसएमबी का उपयोग करें, चाहे वह विंडोज या लिनक्स पर हो, आपको एसएमबीवी1 का उपयोग करने से बचना चाहिए और केवल एसएमबीवी2 और उससे ऊपर का उपयोग करना चाहिए। SMBv1 प्रोटोकॉल को अक्षम करने के लिए, इस पंक्ति को कॉन्फ़िगरेशन फ़ाइल में जोड़ें:

min protocol = SMB2

यह सुनिश्चित करता है कि उपयोग में आने वाला न्यूनतम प्रोटोकॉल स्तर SMBv2 होगा।

6. एसएमबी पोर्ट तक पहुंच प्रतिबंधित करने के लिए फ़ायरवॉल नियम लागू करें

एसएमबी पोर्ट तक पहुंच की अनुमति देने के लिए अपने नेटवर्क के फ़ायरवॉल को कॉन्फ़िगर करें, आमतौर पर पोर्ट 139 और पोर्ट 445 केवल विश्वसनीय स्रोतों से। यह अनधिकृत पहुंच को रोकने में मदद करता है और बाहरी खतरों से एसएमबी-आधारित हमलों के जोखिम को कम करता है।

आपको भी विचार करना चाहिए आईडीएस समाधान स्थापित करना यातायात के बेहतर नियंत्रण और लॉगिंग के लिए एक समर्पित फ़ायरवॉल के साथ। निश्चित नहीं है कि किस फ़ायरवॉल का उपयोग किया जाए? आपको सूची में से वह मिल सकता है जो आपके लिए उपयुक्त हो उपयोग करने के लिए सर्वोत्तम निःशुल्क Linux फ़ायरवॉल.

7. अविश्वसनीय नेटवर्क से एसएमबी ट्रैफ़िक को अलग करने के लिए नेटवर्क विभाजन लागू करें

नेटवर्क सेगमेंटेशन कंप्यूटर नेटवर्क के एकल मोनोलिथिक मॉडल को कई सबनेट में विभाजित करने की तकनीक है, प्रत्येक को नेटवर्क सेगमेंट कहा जाता है। यह नेटवर्क की सुरक्षा, प्रदर्शन और प्रबंधन क्षमता में सुधार के लिए किया जाता है।

एसएमबी ट्रैफ़िक को अविश्वसनीय नेटवर्क से अलग करने के लिए, आप एसएमबी ट्रैफ़िक के लिए एक अलग नेटवर्क सेगमेंट बना सकते हैं और केवल एसएमबी ट्रैफ़िक को इस सेगमेंट से आने-जाने की अनुमति देने के लिए फ़ायरवॉल नियमों को कॉन्फ़िगर कर सकते हैं। यह आपको एसएमबी ट्रैफ़िक को केंद्रित तरीके से प्रबंधित और मॉनिटर करने की अनुमति देता है।

लिनक्स पर, आप नेटवर्क सेगमेंट के बीच ट्रैफ़िक के प्रवाह को नियंत्रित करने के लिए फ़ायरवॉल नियमों को कॉन्फ़िगर करने के लिए iptables या समान नेटवर्किंग टूल का उपयोग कर सकते हैं। आप अन्य सभी ट्रैफ़िक को रोकते हुए एसएमबी नेटवर्क सेगमेंट में एसएमबी ट्रैफ़िक को आने और जाने की अनुमति देने के लिए नियम बना सकते हैं। यह एसएमबी ट्रैफ़िक को अविश्वसनीय नेटवर्क से प्रभावी ढंग से अलग कर देगा।

8. संदिग्ध गतिविधियों और सुरक्षा घटनाओं के लिए एसएमबी लॉग की निगरानी करें

संदिग्ध गतिविधियों और सुरक्षा घटनाओं के लिए एसएमबी लॉग की निगरानी करना आपके नेटवर्क की सुरक्षा बनाए रखने का एक महत्वपूर्ण हिस्सा है। एसएमबी लॉग में फ़ाइल एक्सेस, प्रमाणीकरण और अन्य घटनाओं सहित एसएमबी ट्रैफ़िक के बारे में जानकारी होती है। इन लॉग की नियमित निगरानी करके, आप संभावित सुरक्षा खतरों की पहचान कर सकते हैं और उन्हें कम कर सकते हैं।

लिनक्स पर, आप उपयोग कर सकते हैं जर्नलक्टल कमांड और इसके आउटपुट को पाइप करें ग्रेप कमांड SMB लॉग देखने और उनका विश्लेषण करने के लिए।

journalctl -u smbd.service

यह के लिए लॉग प्रदर्शित करेगा smbd.service इकाई जो एसएमबी यातायात के प्रबंधन के लिए जिम्मेदार है। आप इसका उपयोग कर सकते हैं -एफ वास्तविक समय में लॉग का अनुसरण करने या उपयोग करने का विकल्प -आर सबसे हाल की प्रविष्टियों को सबसे पहले देखने का विकल्प।

विशिष्ट घटनाओं या पैटर्न के लिए लॉग खोजने के लिए, जर्नलक्टल कमांड के आउटपुट को ग्रेप पर पाइप करें। उदाहरण के लिए, विफल प्रमाणीकरण प्रयासों को खोजने के लिए, चलाएँ:

journalctl -u smbd.service | grep -i "authentication failure"

यह उन सभी लॉग प्रविष्टियों को प्रदर्शित करेगा जिनमें "प्रमाणीकरण विफलता" टेक्स्ट शामिल है, जो आपको किसी भी संदिग्ध गतिविधि या क्रूर-बल प्रयासों को तुरंत पहचानने की अनुमति देगा।

9. अतिथि पहुंच और अनाम कनेक्शन का उपयोग सीमित करें

अतिथि पहुंच को सक्षम करने से उपयोगकर्ता बिना उपयोगकर्ता नाम प्रदान किए सांबा सर्वर से जुड़ सकते हैं पासवर्ड, जबकि अनाम कनेक्शन उपयोगकर्ताओं को बिना कोई प्रमाणीकरण प्रदान किए कनेक्ट करने की अनुमति देता है जानकारी।

अगर ठीक से प्रबंधित न किया जाए तो ये दोनों विकल्प सुरक्षा जोखिम पैदा कर सकते हैं। यह अनुशंसा की जाती है कि आप इन दोनों को बंद कर दें। ऐसा करने के लिए आपको सांबा कॉन्फ़िगरेशन फ़ाइल में कुछ पंक्तियाँ जोड़ने या संशोधित करने की आवश्यकता है। यहां बताया गया है कि आपको वैश्विक अनुभाग में क्या जोड़ना/संशोधित करना है smb.conf फ़ाइल:

map to guest = never
restrict anonymous = 2

10. होस्ट-आधारित प्रतिबंध लागू करें

डिफ़ॉल्ट रूप से, एक उजागर सांबा सर्वर को बिना किसी प्रतिबंध के किसी भी होस्ट (आईपी पते) द्वारा एक्सेस किया जा सकता है। पहुंच से तात्पर्य एक कनेक्शन स्थापित करना है, न कि वस्तुतः संसाधनों तक पहुंच बनाना।

विशिष्ट होस्ट तक पहुंच की अनुमति देने और आराम करने से इनकार करने के लिए, आप इसका उपयोग कर सकते हैं मेज़बान अनुमति देते हैं और मेजबान इनकार करते हैं विकल्प. होस्ट को अनुमति/अस्वीकार करने के लिए कॉन्फ़िगरेशन फ़ाइल में जोड़ने का सिंटैक्स यहां दिया गया है:

hosts allow = 127.0.0.1 192.168.1.0/24
hosts deny = 0.0.0.0/0

यहां आप सांबा को स्थानीय होस्ट और 192.168.1.0/24 नेटवर्क को छोड़कर सभी कनेक्शनों को अस्वीकार करने का आदेश दे रहे हैं। यह मूलभूत में से एक है अपने SSH सर्वर को सुरक्षित करने के तरीके बहुत।

अब आप जानते हैं कि अपने सांबा लिनक्स सर्वर को कैसे सुरक्षित करें

लिनक्स होस्टिंग सर्वर के लिए बहुत अच्छा है। हालाँकि, जब भी आप सर्वर के साथ काम कर रहे हों, तो आपको सावधानी से चलना होगा और अतिरिक्त जागरूक रहना होगा क्योंकि लिनक्स सर्वर हमेशा खतरे वाले अभिनेताओं के लिए एक आकर्षक लक्ष्य होते हैं।

यह सर्वोपरि है कि आप अपने नेटवर्क को मजबूत करने और अपने लिनक्स सर्वर को मजबूत करने के लिए ईमानदारी से प्रयास करें। सांबा को ठीक से कॉन्फ़िगर करने के अलावा, कुछ अन्य उपाय भी हैं जो आपको यह सुनिश्चित करने के लिए करने चाहिए कि आपका लिनक्स सर्वर विरोधियों के क्रॉसहेयर से सुरक्षित है।