Sambaが稼動するマシンのセキュリティ環境について

前へ 次へ
このQ&Aのポイント
  • 1台のマシンでLAN外部用サービスとLAN内部用サービス(Samba)を兼用する際のセキュリティリスクについて調査しました。
  • LAN内のSambaファイルサーバに外部からアクセスされると、Windowsファイル共有が盗まれる可能性があります。
  • ルータの設定でポートフォワーディング設定を行っているが、Sambaには何も設定していないことに注意が必要です。
回答を見る
  • ベストアンサー

Sambaが稼動するマシンのセキュリティ環境

LAN外部用サービス(WEB、FTP、メール等)とLAN内部用サービス(Samba)を 『1台のマシンで兼用』させるのはセキュリティ的にあぶないでしょうか? LAN内のsambaファイルサーバにルータ外部からアクセスされwindowsファイル共有を しているファイルが盗まれるなどの可能性はあるのでしょうか? ※ルータの設定では外部サービス用にWEB、FTP,メールなどに対してはポートフォワーディング設定を行っていますが、sambaに対しては何も設定していません。 サーバ機:CentOS 「ルータ」→「サーバ機」(web、メール、FTP、Samba) ※なおサーバの運用は仕事とかではなく個人的な遊び目的です。 よろしくお願いします。

質問者が選んだベストアンサー

  • ベストアンサー
  • Wr5
  • ベストアンサー率53% (2177/4070)
回答No.1

sambaの設定で対応するネットワークの範囲が設定できます。 # hosts allowとか、interfacesとか…。 >「ルータ」→「サーバ機」(web、メール、FTP、Samba) >※なおサーバの運用は仕事とかではなく個人的な遊び目的です。 FTPはPASVモードとか設定しないと動作しないかも知れませんし、ルータがコマンドやレスポンスを書き換えている可能性があります。 メールは…当たり前ですが不正中継されないように設定して下さい。 # 不正中継されたら迷惑です。 まぁ、ISPの方で対策していたりするので不正中継されることはない…と思われますけどね。 # ついでに、外部から受けることもできない…でしょう。たぶん… sshやる場合は、非標準ポートとか公開鍵認証とかにしないとサクっとアタックされるのでご注意を。 # パスワード認証で標準ポート…なんてやっていたら1ヶ月で10万近くのリクエスト受けるやも知れません。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • 仮想マシン上でsambaでファイルサーバー化

    こんばんわ。 現在CentOS v5.4を入れてXenを使って同じCentOS v5.4を準仮想化で走らせています。 その準仮想化で走っているCentOSにsambaを導入しファイルサーバーとしたいのですが、うまくいきません。 私のやったことは・・ Samba・swatのインストール Linux/Samba上のユーザー設定 SELinuxの無効化 ファイアーウォールの設定 サービスの立ち上げ です。 現在のところファイルサーバーどころかswatの設定ページ(http:○○:901のやつ)すら出てきません。 どうすればよいのでしょうか?やはり仮想化上OSでは無理なのでしょうか? ホストOSにも何か設定は、いるのでしょうか?

  • samba とセキュリティについて

    いまから7、8年くらいまえsambaはセキュリティ上の問題があるといわれていて、lan上のサーバ(グローバルIPを持っていない)にしか入れていませんでした。それからもうかなり年月が経過しましたが、現在でもsambaをインターネット上のサーバーにインストールするのは危険性があるでしょうか? たとえばscpでファイルをやり取りするのと比べてどういう危険性があるのか御教え願えないでしょうか?

  • Sambaのアクセス権について

    Sambaのアクセス権について、質問させていただきます。 【環境】 ・CentOS6.4 ・Samba4.1 今回初めてSambaでファイルサーバーを構築しようとしているのですが、アクセス権の設定で つまづいています。 Windowsのファイルサーバーであれば、NTFSアクセス権の設定でグループを複数追加することが 可能ですが、Sambaでは複数のグループにアクセス権を設定することは不可能でしょうか。 smb.confでの共有設定では可能だと思いますが、下の階層のディレクトリに複数グループを 設定したいと思っています。 よろしくお願いします。

  • samba4とopenladap

    ドメインを作成しようと考えています。 OSは、CentOS6を考えています。 ユーザ、グループの一元管理を 「Samba4でするか」 「openldap1ですか」 の二つを考えています。 ちなみに、作成したドメインに、 「メールリレーサーバ(postfix)」 「メールサーバExchange)」 「監視サーバ(nagios or cacti or mrtg or monit)」 「ntpサーバ(ntpd)」 「dnsサーバ(bind」 「ファイルサーバ(openldap使用時は、samba)」 「Windowsサーバ(2008と2008R2と2012) 「クライアント(Win7、CentOS)」 を参加させます。(クライアント以外は、CentOS6を使用) どちらを選択してドメインを作成するのがよいのでしょうか ご教示お願いします。

  • Fedora core2 sambaの設定について

    Fedora core2でsambaファイルサーバを構築したのですが、Firewallを有効にしているのでアクセスできません。無効にした場合は、ちゃんと接続できるのですが・・・。 信頼できるサービスという項目で、WWW、FTP、SSH、Telnet、mailなどがあるんですが、どうにかしてsambaもFirewallを越すことはできないのでしょうか?? また、Firewallを無効にすると、やっぱりマズイでしょうか?? よろしくお願い致します。

  • sambaに関する基本的な質問

    今、LAN内においてsambaサーバ構築がほぼ完了した所です。(1台がlinuxで1台がwin2000です。) LAN外から接続を試す事が出来ないのと、sambaの機能についてよく分かっていないので基本的な質問になると思うのですが、よろしくお願いします。 まず、 sambaはルータのポート開けをする必要は無いのでしょうか? LAN外から訪れたクライアントはLAN内にある、どのPCに問い合わせをしたら良いのか分からないと思いますが、ルータの設定は必要なのですよね?

  • ネットワーク構成例の案

    ネットワーク構成について検討しています。 用意されているのは、 ・グローバルIP2つ ・ルータ2台 ・ハブ数個 です。これらを用いて、クライアントとサーバをどのように構成しようか考えています。 サーバで稼動させたいサービスは、 ・Webサービス(外部公開) ・Samba(クライアントからのみ使用可能) を1台のサーバで構成したいと考えています。サーバ自身にはiptablesも設定しますが、多段防御としてルータも使用したいという考えです。グローバルIPやルータが余る事には問題ありません。 以上の条件で、良いネットワーク構成案はありませんでしょうか? ちなみに、現在考えている案としては以下のものです。ルータ1はWebサービスのみ通過、ルータ2はSambaに必要なポートのみ通過です。グローバルIPはルータ1のWAN側のみに使用し、他はプライベートIPとポートフォワーディングでサービスを公開します。 WAN---ルータ1-----ルータ2---クライアント         |         ---サーバ この構成のデメリットについても挙げていただきたいと思います。よろしくお願いします。

  • Sambaの新サーバの移行が出来なく困っています。

    Sambaの新サーバの移行が出来なく困っています。 CentOS5.4で新しいサーバを構築して、古いサーバ(同じくCentOS5.4)と交換したいと考えています。 しかしながら、Sambaのドメイン移行に行き詰っています。バージョンは3.0.33です。 以下の作業を行ないました。 1. 新サーバをのsmb.confを以下のように。(その他の部分の設定は同じ)        domain master = No 2. 新サーバで、# net rpc getsid        Storing SID S-x-x-xxx-xxxxxx for Domain (新サーバ) in secrets.tdb    (net getlocalsid でSIDが同じになっている事を確認済み。) 3. 旧サーバのpassdb.tdbを新サーバにファイルコピー。 4. 新サーバをのsmb.confを以下に戻す。        domain master = Yes 5. 旧サーバのsambaサービスを止め、新サーバのsambaを起動。 sambaはエラーなく起動し、旧サーバでドメイン参加していたクライアントPC(Windows XP)からログインすると、ログインそのものは出来るのですが、新しいデスクトップが作成されてしまい、以前の環境でログインができません。サーバー名は異なりますが、ドメイン名は同じにしてあります。 Windowsクライアント側の設定を変更する事なく、sambaドメインサーバーを入れ替えるのに何を見逃しているのでしょうか?ご教授をお願いします。

  • sambaを追加インストールするには

    sentOS5でwebサーバとFTPサーバを構築しました。 最初はファイル共有は使用しないので、sambaを必要ないと思い、sentOS5インストール時にオプションパッケージでチェックを入れませんでした。ですが、後からsambaを使ってファイル共有を出来るようにと課題が出され、どうすればいいか困っています。 もともと入れてないのですから、/etc/sambaさえないです。 調べるとネットワークを使ってYUMを利用してインストールが可能という事ですが、ネットはローカルで行っていますので、いいものか・・ またCDがあるし、もともとsentOSには入っていたのだからどうにかコマンドでもCDからでも可能なんじゃないのかなぁと・・・。 お解りになる方返信お待ちしております。

  • sambaについて

    sambaでファイルサーバの構築テストしているのですが ひとつ質問があります。 sambaサーバへアクセスするとき、WindowsXPからファイル名を指定して 実行で\サーバ名\と打つと、ファイルサーバにアクセスできますが、 Windowsに登録してあるユーザ名、パスワードとsambaのユーザ名、パスワードが 同じときは認証無しでファイルサーバにアクセスすることができますよね。 そこまではできているのですが、そのときに別のsambaユーザでアクセスすることってできないのでしょうか? 例えば、testというユーザがWindows側、samba側に両方いたときにsambaにはそのままアクセスできます。このとき同じWindows機で、test2というsambaユーザとしてファイルサーバにアクセスしたいのですが、アクセスできません。 というより、そのままだと、testというユーザの権限でファイルサーバにアクセスしてしまいます。 マイネットワークを右クリックして、ネットワークドライブの割り当てで\\サーバ名\test2でマウントしようとするのですが "Z:\にアクセスできません。ネットワークアクセスは拒否されました。"と表示されてします。同じやり方でtestユーザでマウントすると、正常にアクセスできます。 ちなみにsamba側のtestユーザのsmbpasswdをWindows機とは違うパスワードにしたときは、test、test2共にどちらもユーザでもアクセスできました。 このような現象で回避策があるのであればご教授ください。よろしくお願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する