it-swarm-id.com

Bagaimana cara memastikan enkripsi data pada transmisi Samba pada sistem * NIX?

Saya memiliki sistem heterogen (baik MS dan * nix) yang berkomunikasi dengan CIFS/SMB. Bagaimana saya bisa memastikan enkripsi data yang tepat di lapisan aplikasi?

18
dalimama

Jika berada di "lapisan aplikasi" maka itu dilakukan oleh aplikasi, pada aplikasi apa yang dilihat, mis. File. Dengan kata lain, aplikasi harus memilih format umum untuk file yang dienkripsi. Pertimbangkan format OpenPGP sebagai titik awal, dan GnuPG sebagai pustaka opensource dan utilitas baris perintah yang mengetahui format ini. Anda masih harus memutuskan model keamanan seperti apa yang ingin Anda tegakkan; kunci umum sederhana yang dibagikan di antara aplikasi yang diinstal yang relevan mungkin cukup, atau tidak, tergantung pada apa yang Anda coba lakukan (enkripsi seperti medecine, itu bukan satu hal yang dapat diterapkan secara umum di mana-mana; ada detail).

Sebaliknya, jika Anda ingin aplikasi itu sendiri tidak menyadari enkripsi apa pun, sehingga aplikasi hanya melihat CIFS/SMB "normal" yang dienkripsi di bawah tenda, maka, menurut definisi, ini bukan enkripsi "Pada lapisan aplikasi" tetapi pada beberapa lainnya, lapisan yang lebih dalam. Saya sarankan menggunakan VPN . IPsec adalah protokol keamanan yang menambahkan fitur-fitur seperti VPN ke IP, dan yang diterapkan oleh banyak sistem operasi (termasuk Windows, dan Unix-like non-prasejarah). VPN akan baik jika model keamanan yang Anda maksudkan adalah tentang penyerang yang memata-matai jalur komunikasi antara mesin yang terlibat; itu tidak akan membantu dalam kasus file bersama jika mesin di mana file di-host secara fisik juga berpotensi bermusuhan.

4
Tom Leek

Gunakan Samba 3.3.x + dan atur server signing = [auto|mandatory|disabled] di bagian Global (dinonaktifkan secara default). Level berbagi SMB enkripsi secara otomatis. Ini telah diuji dengan WinXP/Win7 dan AIX 5.3 menjalankan Samba 3.6.7. SMB tersedia di Samba 3,2 tetapi penandatanganan server tidak muncul sampai 3,3. Ini diperlukan untuk klien Win7 yang dikonfigurasi untuk rekomendasi keamanan Microsoft (enkripsi NTLMv2 dan 128 bit).

Lihat: http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

11
Mark Gray

Meskipun Anda mungkin sudah mengetahuinya, saya mencari informasi yang sama dan mungkin menemukan sesuatu yang sedikit lebih membantu. Apa yang Anda cari adalah "transport jaringan terenkripsi", dan tersedia di Samba sejak versi 3.2 (setidaknya) .

Sedihnya, sangat sulit untuk mengetahui bagaimana mengaturnya dengan melihat dokumen (bahkan Samba Wiki tampaknya tidak memiliki info tentang itu), tetapi satu cara untuk melakukannya adalah dengan menggunakan -e opsi untuk smbclient. Anda mungkin lebih beruntung menemukan detail tentang cara me-mount share Samba menggunakan enkripsi, tapi sejauh ini saya tidak bisa (saya kira ini lebih berkaitan dengan konfigurasi server daripada konfigurasi klien).

Halaman ini tentang SMB enkripsi transportasi di Windows juga dapat membantu.

2
Marcus P S