• ベストアンサー

セキュアなWindows共有(Samba)サーバを構築するには?

LAN内部限定で作っていたsambaサーバを外部からもつなげるようにして欲しい。と言われ、とても困惑しています。 TCP Wrapperで使うユーザのみ許可しようとしましたが、どこでネットにつなぐか分からないのでIPを固定するのは不可能でした。少なくとも国外から繋ぐことは無いと思われるので.jp以外は弾きますが、それでも心配です。 というのはパスワードが生で流れているのではないかと思われるからです。 だからといってSSHやVPNは面倒だといわれ、とても困っています。 どなたかセキュアにSambaサーバの構築する方法を教えていただけませんでしょうか。 環境:Mac OSX Tiger(BSD)+OS標準で入っているSambaサーバ(設定はSharePointsでしました)

  • bunch
  • お礼率82% (251/303)

質問者が選んだベストアンサー

  • ベストアンサー
  • Toshi0230
  • ベストアンサー率51% (836/1635)
回答No.4

元々セキュリティをあまり意識しない形のWindowsファイル共有をセキュアにするのは結構大変だと思います。 > VPNは面倒だといわれ 「じゃあ使うな」とはじくことは出来ないんですか? ユーザの利便性は大切ですが、それを重視するあまり内部の情報が漏れた場合の責任は誰がとるんでしょうかね? 「面倒だ」と言った人がとるんですか?(^^) No.1さんへの補足で > ほかの人はPuttyなどを起動するのが面倒で、ローカルディスク同様に手軽に使用したいそうです。 とありますが、市販のVPNクライアントの中にはPCに常駐して、必要なときだけVPNで接続する物もあります。 そういう物を探すのも一つの手かと思いますが。 # 昔のCisco Secureがそうでした。

その他の回答 (3)

  • yoneda_16
  • ベストアンサー率47% (166/350)
回答No.3

「SSHやVPNは面倒」という人に使えるかどうかはわかんないですが、WebDAVではどうでしょうか。 クライアント側での設定はかなり簡単です。 http://www.atmarkit.co.jp/flinux/special/webdav/webdav02b.html SSLを使うことでかなりセキュアになります。 MAC OS XならWebDAVサーバにするのも簡単だと聞いています。資料も多そうです。 http://wikiroom.com/n071316/index.php?Mac%20OS%20X%A4%C7WebDAV%20over%20SSL http://homepage1.nifty.com/glass/tom_neko/web/web_webdav.html http://www.hideshi.jp/macosx/webdav.html

noname#17587
noname#17587
回答No.2

Samba3.0からはNTLMv2をサポートしています。 これは結構強力な暗号化認証なのである程度のセキュリティは保たれます。 Sambaサーバの設定とともに、Windowsも「ローカルセキュリティ」のLANMAN認証レベルを「NTLMv2応答のみを送信する」に設定してください ただし、98/Meは認証できないし「NTLMv2応答のみを送信する」を設定していないWindowsで認証できなかったりするので注意してください。 細かい点は調べなきゃならなら無いので、勘弁してください。 質問者の質問レベルから見るとこれらのキーワードからご自分で調査できると思われます。

  • 0KG00
  • ベストアンサー率36% (334/913)
回答No.1

パスワードの問題だけなら参考URLの方法もありますけど... でも、根本的な解決にはならないですよね。やはり、SSHなどがよいのではないかと思いますけど。あとは、公開用のセグメントを作ってサーバ自体を移動させた方が良いのではないでしょうか?

参考URL:
http://www.samba.gr.jp/doc/encrypt-passwd.html
bunch
質問者

お礼

PortForwardingをさせるSSHは既に用意してあり、私だけが使っている状況です。 ほかの人はPuttyなどを起動するのが面倒で、ローカルディスク同様に手軽に使用したいそうです。 現在、フロントサーバはポート22以外、および私が利用する地域のISP以外からはTCP Wrapperで接続拒否としています。 パスワードを書けることも然りですが、共有フォルダに入っているデータをも可能な限り盗聴されても大丈夫なよう、保護したいのです。 フロントサーバ:MacOSX Tiger(SSH・プリンタサーバ) 内部からの接続専用サーバ:MacOSX Tiger (Samba:データ共有) 外部からはPort22のみフロントサーバへ届きます。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ハードウェア・サーバー

関連するQ&A

  • Sambaとファイヤーウォールのことで

    Sambaでファイルサーバーをたてようと思い、 DebianでLinuxをはじめてみました。 クライアント側のPCはWindowsXP Proです。 外部に公開するような用途には使わないので (というかまだ知識もないですし) 内部だけのでアクセスができればいいと考えており、 Iptablesでファーイヤーウォールの設定をしています。 基本的には外部からと内部からのパケットは破棄し、 ping・samba・ssh・ループバックアドレスは許可するように設定しました。 Iptablesの設定をする前は、Sambaで設定したフォルダに しっかりとアクセスできていたのですが、 iptablesを稼動させると、アクセスできなくなってしまいます。 SSHはiptablesを稼動させてもアクセスできているんです。 Sambaの使用するポートも udp 137 138 tcp 139 445はあけているのですが・・・ アドバイス頂けたら幸いです。

  • Samba + LDAP サーバー構築 2

    Samba + LDAP サーバーの構築をしています。 Samba、OpenLDAPのインストールと設定が終わりました。 smbldap-tools でユーザーアカウントも追加しました。 しかし(別のマシン)Windwosの『ネットワーク』に当該サーバーが表示されません。 Sambaの /etc/samba/smb.conf の設定では以下のように設定してます。 wins support を yes とした為、今まで見えなかったマシンも見えるようにはなりました。 しかし Samba サーバーが見えないのです。 どこに問題があると考えられますでしょうか? また smb.conf の設定を変更した場合、smbldap-tools を一から実行する必要があるのでしょうか? OSは CentOS 5 です。 よろしくお願いします。 -------------------------- workgroup = WORKGROUP netbios name = MESV server string = hogehoge interfaces = 192.168.1./24 hosts allow = 192.168.1. 127. bind interfaces only = yes domain master = yes local master = yes prefered master = yes wins support = yes remote announce = 192.168.78.255 remote browse sync = 192.168.78.255 os level = 128 time server = no lm announce = no min protocol = COREPLUS socket options = TCP_NODELAY IPTOS_LOWDELAY name resolve order = wins lmhosts host bcast --------------------------

  • Win2000やSambaのファイルサーバのポート番号は?

    DMZにファイルサーバを置きFireWallの内部からのみエクスプローラで見えるようにしたいのですが、Windows2000や、Sambaでファイル共有を行う場合のTCP/IPのポート番号を教えてください。又、TCP/IPでなくNET/BEUIを通過させないと駄目なのでしょうか?

  • Fedora core2 sambaの設定について

    Fedora core2でsambaファイルサーバを構築したのですが、Firewallを有効にしているのでアクセスできません。無効にした場合は、ちゃんと接続できるのですが・・・。 信頼できるサービスという項目で、WWW、FTP、SSH、Telnet、mailなどがあるんですが、どうにかしてsambaもFirewallを越すことはできないのでしょうか?? また、Firewallを無効にすると、やっぱりマズイでしょうか?? よろしくお願い致します。

  • SSHトンネルを通じたWindows共有フォルダについて

    こんばんは。 自宅のSAMBAサーバに外部PCからファイルの共有をしようと設定に苦戦しています。 考えているネットワークは次の通りです。 PC----インターネット------ルータ-----SAMBAサーバ(兼SSHサーバ) (ルータより右側が自宅LANです) 設定条件は、 PC:Win XP SP2 SSHクライアント:Putty Puttyのポートフォーワード PCの127.0.0.2:139をサーバの127.0.0.1:139へトンネル LAN内部からSAMBAへの接続確認 外部PCからSAMBAサーバへのSSHによる接続 外部PCからsmbclient-winによるSAMBAサーバへの接続 以上のことを確認しています。しかし、 Explorerから\\127.00.2として接続すると"PCの名前@guest"としてログインしようとし、SAMBAサーバに登録されているどのユーザーのパスワードも受け付けません。 以上のことから、おそらくSSHトンネルは問題なく動作しているが、Explorerがローカルの共有フォルダを探しに行っているのではないかと推測しています。 どうにかして共有フォルダを使いたいのですが、何か良いヒントはないでしょうか。

  • ファイルサーバ構築ポリシー

    ファイルサーバの統合、再構築を現在検討しています。 クライアントマシン300台、ファイルサーバ6台(LinuxのSambaでWindowsとファイル共有)、本社東京と国内拠点6拠点をVPNで結んでいるという環境の会社です。 現在、ファイルサーバー全てLinuxで運用していますが、Windowsへ移行し、なおかつ拡張をくりかえして無駄に台数が増えてしまったファイルサーバを統合、再構築したいと考えています。 、6台のファイルサーバ全てで現在の使用HDD容量がおよそ、1TB程度です。 ファイルサーバを構築する際に将来的な拡張性と実際のハード構成ポリシー(たとえばCPUはXeon,OSはRAID1で、、、など)の事例をご教示いただきたく、ご質問しました。 初めてWindowsサーバを構築しますので、注意点なども併せてお教えいただけるとありがたいです。 よろしくお願いします。

  • sambaで使用するポートについて

    RedHat9でsambaを構築しました。 サーバーのiptables設定でポート137、138、139、445に対して INPUT許可してあります。 WinパソコンのネットワークコンピューターからMicrosoftWindowsNetworkからだと ワークグループにはsambaサーバーのコンピューター名が表示されるのですが、 そこから先が見ることが出来ません。 「アクセス出来ません。ネットワークパスが見つかりません」エラーになります。 ただ、エクスプローラーのアドレス欄に「192.168.xx.xx」とIPアドレス指定すると 共有フォルダ内部まで問題なく見れます。 サーバーのiptables設定をクリアすると問題なく接続できるので、iptablesの 設定が影響してるものと思います。上記のポートの他に何番か許可する 必要があるのでしょうか? サーバー:RedHat9、samba-2.2.11.ja-1 クライアントPC:WinXPHomeEdition よろしくお願い致します。

  • sshサーバの設定でwin共有が見れない

    centos6.5を使用して約1ヶ月のlinux初心者です。 http://naka7772.blog.fc2.com/blog-entry-111.html ここを見ながら真似して CentOSからWindows共有フォルダへアクセス出来ていました。 取り敢えずselinuxは無効化してsambaをyum inatallしたらアクセスできました。 その後、 http://www.server-world.info/query?os=CentOS_6&p=ssh ここを見ながらsshサーバを組んでいて 多分成功したのですが、その設定をして 再起動したら sambaを使ってのサーバへの接続 http://naka7772.blog.fc2.com/blog-entry-111.htmlが出来なくなってしまいました。原因はsshサーバ設定ですよね…?どこを戻せば元に戻るのでしょう? それと多分これもssh絡みだと思うのですが、管理者モードでgeditが開けなくなってしまいました。 http://www.unix.com/unix-dummies-questions-answers/122419-gtk-warning-cannot-open-display-ssh.html こことか英語のサイトなので詳しくわからないのですが、多分サイトに書かれているコードを何処かに入力すれば解決する気もするのですが良くわかりません。質問は(多分) ssh設定の何処をいじれば元に戻るのでしょうか? (1)windowsネットワークのsambaによる簡易接続の復活 (2)geditをroot権限で使えるようにするには? です。 ssh設定絡みじゃなかったらスミマセン。 http://suncat6.blog95.fc2.com/blog-entry-4.html ここに書かれている事もひと通りやってみました。 (ただ、意味不明だったのは 2)root の DISPLAY 値に先ほどログインユーザで確認した DISPLAY 値を指定 (私は.bash_profileをいじった) # export DISPLAY=:0.0 と書かれている所で.bash_profileをいじった、とありますが具体的にどうすれば いいのでしょうか?解らないのでこれは実行していません。) とりあえず他にやった事と言えば IPv6を有効にする グローバルユニキャストアドレスを手動で設定する デフォルトゲートウェイアドレスを設定する このあたりの設定を弄りました。 win7機なのですが、IPv6とIPv4の優先順位を変えました。 TCP/IPのconfファイルも http://www.h2.dion.ne.jp/~micased/linuxnetwork.html ここを参照に少々弄りました。 後は、 NVIDIAのグラフィックドライバをインストールした事、位でしょうか?何か思い当たるフシがあれば宜しくご教授願います。

  • ゲーム用Linuxサーバー構築

    現在C言語でオンラインゲームの製作をしている者です。 ネットワーク部分を作成しようと思ったのですがあまりに知識がないために書籍や検索の方向すら分からない状態です。 自身で分かりうる範囲内で調べたところ私が目指す形態は「サーバー型」のネットワークシステムだと分かりました。 速度的にLinuxに軍配が上がるということを知り、ゲームを実行するOSはWindowsですがTCP/IPという規格のおかげでサーバーとクライアントのOSを一致させる必要がないようなので、オンラインゲーム用Linuxサーバーを構築することを目標としました。 (目標内容としては30人くらいが同時にチャットできるシステム) しかしこの先、多種多様な情報から必要なものかどうかを判断できずに困っております。 知りたい情報は以下の通りです。 ・サーバには種類?があるらしいのですが(SSH、DHCP、Samba、DNS、Mail、Web、FTP、プロキシ)ゲーム用途に使うサーバーはどれにあたるのか?またこの考え方自体が間違っているのか? ・ネット通信の例をみたところ、当たり前ですがサーバー側にもプログラムというものが存在するようです。このプログラムはLinuxのOS上で作成するものなのか?また言語は何になるのか?またその言語の中で速度的に有利なものはなんなのか?開発ソフトが存在するのか?デバッグはできるのか?(果てしなく続きます) 上記の内容を理解したうえで参考になる書籍を購入したいと考えています。 「参考URL」「書籍名」「検索に必要なワード」「ライブラリ名」 手がかりになる情報を少しでも頂ければ幸いです。 自身の検索能力が低いことでお手を煩わせていることは重々承知しておりますが、何卒よろしくお願いいたします。 こちらも再度調査していく姿勢であります。 失礼いたします。

  • CPU速度とメモリサイズのどちらが優先?

    Linux等でサーバ (DNS、Samba、SSH、FTP、HTTP、IMAP、MAIL、VPN、NFS等) を構築するマシンとして CPU速度とメモリサイズのどちらを優先したらにいいのでしょうか? (勿論、予算があれば双方とも大きいのに越した事はないでしょうけど。どちらかを選択しないといけない場合にはどちら?) 例えば、 CPU…2.4GHz、メモリ…256MB と CPU…700MHz、メモリ…1GB とではどちらがいいんでしょうか?

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する