Table des matières
Points clés à retenir
- Activez le chiffrement du trafic SMB pour empêcher les accès non autorisés et les cyberattaques. Utilisez Transport Layer Security (TLS) pour sécuriser le trafic de votre serveur Linux Samba.
- Implémentez des contrôles d’accès et des autorisations stricts pour les ressources partagées à l’aide du fichier de configuration /etc/samba/smb.conf. Définissez des règles d’accès, d’autorisations et de restrictions pour vous assurer que seuls les utilisateurs autorisés peuvent accéder aux ressources.
- Appliquez des mots de passe forts et uniques pour les comptes d’utilisateurs SMB afin d’améliorer la sécurité. Mettez régulièrement à jour Linux et Samba pour vous protéger contre les vulnérabilités et les cyberattaques, et évitez d’utiliser le protocole SMBv1 non sécurisé.
- Configurez des règles de pare-feu pour limiter l’accès aux ports SMB et envisagez la segmentation du réseau pour isoler le trafic SMB des réseaux non approuvés. Surveillez les journaux SMB pour détecter les activités suspectes et les incidents de sécurité, et limitez l’accès des invités et les connexions anonymes.
- Implémentez des restrictions basées sur l’hôte pour contrôler l’accès à des hôtes spécifiques et refuser l’accès à d’autres. Prenez des mesures de sécurité supplémentaires pour fortifier votre réseau et renforcer vos serveurs Linux.
Le protocole SMB (Server Message Block) est la pierre angulaire du partage de fichiers et d’imprimantes dans les environnements connectés. Cependant, la configuration par défaut de Samba peut poser des risques de sécurité importants, laissant votre réseau vulnérable aux accès non autorisés et aux cyberattaques.
Si vous hébergez un serveur Samba, vous devez être très prudent avec les configurations que vous avez mises en place. Voici 10 étapes critiques pour vous assurer que votre serveur SMB reste sécurisé et protégé.
1. Activer le chiffrement pour le trafic SMB
Par défaut, le trafic SMB n’est pas chiffré. Vous pouvez le vérifier en capturant les paquets réseau avec tcpdump ou Wireshark. Il est primordial que vous cryptiez tout le trafic pour empêcher un attaquant d’intercepter et d’analyser le trafic.
Il est recommandé de configurer Transport Layer Security (TLS) pour chiffrer et sécuriser le trafic de votre serveur Linux Samba.
2. Mettre en œuvre des contrôles d’accès et des autorisations stricts pour les ressources partagées
Vous devez implémenter des contrôles d’accès et des autorisations stricts pour vous assurer que les utilisateurs connectés ne sont pas en mesure d’accéder à des ressources non sollicitées. Samba utilise un fichier de configuration central /etc/samba/smb.conf qui vous permet de définir des règles d’accès et d’autorisations.
En utilisant une syntaxe spéciale, vous pouvez définir des ressources à partager, des utilisateurs/groupes pour donner accès à ces ressources, et si la ou les ressources peuvent être parcourues, écrites ou lues. Voici l’exemple de syntaxe permettant de déclarer une ressource et d’y implémenter des contrôles d’accès :
[sambashare]
comment= Samba Example
path = /home/your_username/sambashare
browseable = yes
writable = yes
valid users = @groupname
Dans les lignes ci-dessus, nous ajoutons un nouvel emplacement de partage avec un chemin et avec des utilisateurs valides, nous restreignons l’accès au partage à un seul groupe. Il existe plusieurs autres façons de définir les contrôles et l’accès à un partage. Vous pouvez en savoir plus à ce sujet dans notre guide dédié sur la configuration d’un dossier partagé en réseau sous Linux avec Samba.
3. Utilisez des mots de passe forts et uniques pour les comptes d’utilisateurs SMB
L’application de stratégies de mot de passe robustes pour les comptes d’utilisateurs SMB est une bonne pratique de sécurité fondamentale. En tant qu’administrateur système, vous devez créer ou inciter tous les utilisateurs à créer des mots de passe forts et uniques pour leurs comptes.
Vous pouvez également accélérer ce processus en générant automatiquement des mots de passe forts à l’aide d’outils. En option, vous pouvez également alterner régulièrement les mots de passe pour atténuer le risque de fuites de données et d’accès non autorisés.
4. Mettez régulièrement à jour Linux et Samba
La forme la plus simple de défense passive contre toutes sortes de cyberattaques consiste à s’assurer que vous utilisez des versions mises à jour de logiciels critiques. Les PME sont sujettes aux vulnérabilités. C’est toujours une cible lucrative pour les attaquants.
Il y a eu plusieurs vulnérabilités critiques SMB dans le passé qui ont conduit à une prise de contrôle complète du système ou à la perte de données confidentielles. Vous devez maintenir à jour votre système d’exploitation et les services critiques qu’il contient.
5. Évitez d’utiliser le protocole SMBv1
SMBv1 est un protocole non sécurisé. Il est toujours recommandé que chaque fois que vous utilisez SMB, que ce soit sous Windows ou Linux, vous devez éviter d’utiliser SMBv1 et n’utiliser que SMBv2 et versions ultérieures. Pour désactiver le protocole SMBv1, ajoutez cette ligne au fichier de configuration :
min protocol = SMB2
Cela garantit que le niveau de protocole minimal utilisé serait SMBv2.
6. Appliquer les règles de pare-feu pour restreindre l’accès aux ports SMB
Configurez le pare-feu de votre réseau pour autoriser l’accès aux ports SMB, généralement le port 139 et le port 445 uniquement à partir de sources fiables. Cela permet d’empêcher les accès non autorisés et réduit le risque d’attaques basées sur les PME provenant de menaces externes.
Vous devriez également envisager d’installer une solution IDS avec un pare-feu dédié pour mieux contrôler et enregistrer le trafic. Vous ne savez pas quel pare-feu utiliser ? Vous pouvez en trouver un qui vous convient dans la liste des meilleurs pare-feu Linux gratuits à utiliser.
7. Implémenter la segmentation du réseau pour isoler le trafic SMB des réseaux non fiables
La segmentation du réseau est la technique consistant à diviser un seul modèle monolithique d’un réseau informatique en plusieurs sous-réseaux, chacun appelé segment de réseau. Ceci est fait pour améliorer la sécurité, les performances et la gérabilité du réseau.
Pour isoler le trafic SMB des réseaux non approuvés, vous pouvez créer un segment de réseau distinct pour le trafic SMB et configurer des règles de pare-feu pour autoriser uniquement le trafic SMB vers et depuis ce segment. Cela vous permet de gérer et de surveiller le trafic SMB de manière ciblée.
Sous Linux, vous pouvez utiliser iptables ou un outil réseau similaire pour configurer des règles de pare-feu afin de contrôler le flux de trafic entre les segments du réseau. Vous pouvez créer des règles pour autoriser le trafic SMB vers et depuis le segment de réseau SMB tout en bloquant tout autre trafic. Cela isolera efficacement le trafic SMB des réseaux non fiables.
8. Surveiller les journaux SMB pour les activités suspectes et les incidents de sécurité
La surveillance des journaux SMB pour les activités suspectes et les incidents de sécurité est un élément important du maintien de la sécurité de votre réseau. Les journaux SMB contiennent des informations sur le trafic SMB, y compris l’accès aux fichiers, l’authentification et d’autres événements. En surveillant régulièrement ces journaux, vous pouvez identifier les menaces de sécurité potentielles et les atténuer.
Sous Linux, vous pouvez utiliser la commande journalctl et diriger sa sortie vers la commande grep pour afficher et analyser les journaux SMB.
journalctl -u smbd.service
Cela affichera les journaux de l’unité smbd.service qui est responsable de la gestion du trafic SMB. Vous pouvez utiliser l’option -f pour suivre les journaux en temps réel ou utiliser l’option -r pour afficher d’abord les entrées les plus récentes.
Pour rechercher dans les journaux des événements ou des modèles spécifiques, dirigez la sortie de la commande journalctl vers grep. Par exemple, pour rechercher les tentatives d’authentification ayant échoué, exécutez :
journalctl -u smbd.service | grep -i "authentication failure"
Cela affichera toutes les entrées de journal contenant le texte « échec d’authentification », vous permettant d’identifier rapidement toute activité suspecte ou tentative de force brute.
9. Limitez l’utilisation de l’accès invité et des connexions anonymes
L’activation de l’accès invité permet aux utilisateurs de se connecter au serveur Samba sans fournir de nom d’utilisateur ni de mot de passe, tandis que les connexions anonymes permettent aux utilisateurs de se connecter sans fournir aucune information d’authentification.
Ces deux options peuvent présenter un risque pour la sécurité si elles ne sont pas correctement gérées. Il est recommandé de désactiver les deux. Pour ce faire, vous devez ajouter ou modifier quelques lignes dans le fichier de configuration de Samba. Voici ce que vous devez ajouter/modifier dans la section globale du fichier smb.conf :
map to guest = never
restrict anonymous = 2
10. Implémenter des restrictions basées sur l’hôte
Par défaut, un serveur Samba exposé est accessible par n’importe quel hôte (adresse IP) sans restrictions. Par accès, on entend établir une connexion et non accéder littéralement aux ressources.
Pour autoriser l’accès à des hôtes spécifiques et refuser de se reposer, vous pouvez utiliser les options d’autorisation et de refus des hôtes. Voici la syntaxe à ajouter au fichier de configuration pour autoriser/refuser les hôtes :
hosts allow = 127.0.0.1 192.168.1.0/24
hosts deny = 0.0.0.0/0
Ici, vous commandez à Samba de refuser toutes les connexions sauf celles de l’hôte local et du réseau 192.168.1.0/24. C’est également l’un des moyens fondamentaux de sécuriser votre serveur SSH.
Vous savez maintenant comment sécuriser votre serveur Samba Linux
Linux est idéal pour héberger des serveurs. Cependant, chaque fois que vous avez affaire à des serveurs, vous devez faire preuve de prudence et être très conscient, car les serveurs Linux sont toujours une cible lucrative pour les acteurs de la menace.
Il est primordial que vous fassiez des efforts sincères pour renforcer votre réseau et renforcer vos serveurs Linux. Outre la configuration correcte de Samba, vous devez prendre quelques autres mesures pour vous assurer que votre serveur Linux est à l’abri de la ligne de mire des adversaires.