it-swarm.dev

Come posso garantire la crittografia dei dati sulla trasmissione Samba su sistemi * NIX?

Ho un sistema eterogeneo (sia MS che * nix) che comunica con CIFS/SMB. Come posso garantire una corretta crittografia dei dati a livello di applicazione?

18
dalimama

Se è a "livello di applicazione", allora viene fatto dalle applicazioni, su ciò che le applicazioni vedono, cioè i file. In altre parole, le applicazioni devono scegliere un formato comune per i file crittografati. Considera formato OpenPGP come punto di partenza e GnuPG come libreria opensource e utility da riga di comando che conosce questo formato. Devi ancora decidere quale tipo di modello di sicurezza desideri applicare; una semplice chiave comune condivisa tra le applicazioni installate pertinenti potrebbe essere sufficiente o meno, a seconda di ciò che si sta tentando di fare (la crittografia è come la medicina, non è una singola cosa che può essere applicata genericamente ovunque; ci sono dettagli).

Se, d'altra parte, desideri che le applicazioni stesse siano inconsapevolmente beate di qualsiasi crittografia, in modo tale che le applicazioni vedano solo un CIFS/SMB "normale" che viene crittografato sotto il cofano, quindi, per definizione, non si tratta di crittografia "a livello di applicazione" ma in qualche altro livello più profondo. Suggerisco di usare un VPN . IPsec è un protocollo di sicurezza che aggiunge funzionalità di tipo VPN all'IP e che molti sistemi operativi implementano (incluso Windows e il tipo non preistorico Unix). Una VPN andrà bene se il tuo modello di sicurezza previsto riguarda gli aggressori che spiano le linee di comunicazione tra le macchine coinvolte; non sarà d'aiuto nel caso di file condivisi se anche la macchina su cui sono ospitati fisicamente i file è potenzialmente ostile.

4
Tom Leek

Usa Samba 3.3.x + e imposta server signing = [auto|mandatory|disabled] nella sezione Globale (disabilitato per impostazione predefinita). Livello di condivisione SMB è automatica per impostazione predefinita. È stata testata con WinXP/Win7 e AIX 5.3 con Samba 3.6.7. SMB è diventata disponibile in Samba 3.2 ma la firma del server non è apparsa fino al 3.3, richiesti per i client Win7 configurati secondo le raccomandazioni di sicurezza di Microsoft (crittografia NTLMv2 e 128 bit).

Vedi: http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

11
Mark Gray

Anche se potresti averlo capito, stavo cercando le stesse informazioni e avrei potuto trovare qualcosa di un po 'più utile. Quello che sembra cercare è "trasporto di rete crittografato" ed è disponibile in Samba dal versione 3.2 (almeno) .

Purtroppo, è dannatamente difficile scoprire come configurarlo guardando i documenti (anche il Samba Wiki non sembra avere informazioni a riguardo), ma un modo per farlo è usare il -e opzione per smbclient. Potresti avere più fortuna a trovare dettagli su come montare una condivisione Samba usando la crittografia, ma finora non sono stato in grado (immagino che abbia più a che fare con la configurazione del server che con la configurazione del client).

Questa pagina about SMB crittografia di trasporto in Windows può anche essere utile.

2
Marcus P S