On Thursday 19 June 2003 23:09, Joachim Kieferle wrote:
Robert Szentmihalyi wrote:
[ ... ]
Stimmt schon, aber der Server hängt am Netz und ich will aus Sicherheitsgründen nur die Dienste laufen lassen, die ich unbedingt brauche. Und weil er hauptsächlich die Windosen bedienen soll, komme ich um Samba nicht herum.
Schlechtes Argument. Wenn der Samba Server ohne Firewall direkt am Netz hängt, hast Du sowieso grundlegende Security Probleme (kann nich dir bei Bedarf gerne zeigen). Mit Firewall macht es keinen Unterschied, ob NFS zusätzlich läuft oder nicht, da die Dienste sowieso nur aus dem Intranet erreichbar sind, wenn die Firewall vernünftig konfiguriert ist.
Hallo Robert,
kannst Du zu den "Security Problemen" bitte etwas genaueres sagen? Wie sieht's aus, wenn man in der smb.conf explizit nur die eigene IP-Range freigibt?
Das sollte man sowieso tun. Das ist aber ein schwacher Schutz, denn er verhindert nur, dass SMB requests auf anderen als dem angegebenen interfaces beantwortet werden, zumindest nicht, solange der Angreifer keine Lücke in Samba findet (setzt unter anderem vorraus dass du immer die aktuelle Version am Laufen hast, was bei den meisten nicht der Fall ist), denn die Ports sind ja ohne Firewall immer noch offen. Das ist aber ohnehin der unwahrscheinlichere Fall. Wahrscheinlicher ist, dass der Angreifer über eine andere Sicherheitslücke in dein System eindringt, und wenn der Server ohne Firewall direkt am Internet hängt hat er dann direkten Zugriff auf das Dateisystem des Rechner auf dem sich deine ganzen Daten befinden. Solltest du einen solchen Server am Netz haben, lass halt mal Nessus drüber laufen und lass dich überraschen :-)
Wäre sicher für die eine / den anderen interessant, die einen öffentlich zugänglichen Server (und sei's nur über dyndns o.ä. ) am Laufen haben.
Dyndns ist grundsätzlich gefährlich und ohne Firewall würde ich das sowieso nicht machen. Leider machen es trotzdem viele Firmen, das kann ich aus Erfahrung bestätigen.
Viele Grüsse
Joachim
Hoffe deine Frage beantwortet zu haben. Gruss, Robert -- Robert Szentmihalyi, Entracom GmbH Enter and start communication. - http://www.entracom.de solidBITS - The Server On CD Solution - http://www.solidbits.com