介绍
我的目的是使文件可从我的本地网络访问。(流媒体视频/音乐、共享文件......)
为此,我安装了一台装有 Ubuntu 的 Intel NUC,并将其连接到我的本地网络。由于我希望它能同时适用于 OS X 和 Windows,我了解到 Samba 是此情况下的正确选择。
问题
一切都很顺利!但我不确定安全性和任何可能的互联网流量。
问题一:安全性
我所做的唯一两件与安全相关的事情如下:
- 我添加了一个用户,用于连接服务器时的身份验证
- 我使用了“主机允许”和“主机拒绝”参数,如下所示
- 主机允许 = 192.168.0
- 主机拒绝 = 全部
那么,通过这种设置,我是否可以安全地与外部连接?我只是不想公开任何内容。一切都应该只关注我的本地网络。
问题 2:互联网流量
由于我也传输/共享大文件,如果有任何互联网流量也会降低网络中其他计算机上的带宽,那将会很有趣。
问题
那么是否有可能检查我的 Ubuntu Samba 设置是否可以安全地抵御来自 NAT 公共端的连接?
答案1
它可能是安全的,但没有任何保证。
samba 服务作为一个进程运行,至少在 TCP 端口 139 和 445 上监听。默认情况下,它接受来自任何地方的连接。
您的主机允许/拒绝参数仅使这些端口上的身份验证变得不可能,但它们不会禁止与您的 samba 服务的连接,因此这些服务很容易受到不同方法的攻击(例如,DoS 攻击或系统中任何可能的 sechole)。
我认为,你能做的最好、最简单的事情就是设置 samba 来收听仅在您的内部网络上interfaces
。这可以通过您的 中的设置来完成smb.conf
。例如,interfaces = 192.168.1.1/24
如果您的内部 IP 位于192.168.1.1
/24 子网上,则设置 。
另外,您也可以更改防火墙设置。这取决于您的防火墙。如果使用 iptables,则会iptables -A INPUT -j DROP ! -s 192.168.1.0/24 -m multiport -p tcp --dports 139,445
拒绝来自内部网络的所有 samba 服务传入连接。