servidor de samba expuesto a wan

Navega tus respuestas
0

Hace poco me di cuenta de que mi servidor samba estuvo expuesto durante unos 3 años al wan (los puertos se abrieron y smbd estaba escuchando). Cometí un error cuando configuré mi firewall y no lo revisé.

Este fue el contenido de mi smb.conf: 

workgroup = WORKGROUP
dns proxy = no
interfaces = eth2 eth4
bind interfaces only = no
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
server role = standalone server
passdb backend = tdbsam
obey pam restrictions = yes
unix password sync = yes
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
pam password change = yes
map to guest = bad user
[homes]
    comment = homes
    browseable = no
    valid users = %S
    create mode = 0600
    directory mode = 0700
    writeable = yes
[smb]
    path = /home/smb
    comment = share
    guest ok = no
    force create mode = 0775
    force directory mode = 0775
    writeable = yes
    browseable = yes
    valid users = @smb
    force group = smb
[www]
    path = /www
    comment = nginx
    valid users = admin
    browseable = no
    guest ok = no
    writeable = yes
    force create mode = 0774
    force directory mode = 0774
    force group = www-data

He revisado brevemente la lista de vulnerabilidades de Samba en los últimos años y wow ... muchas posibilidades.

El servidor fue actualizado regularmente cada 2 semanas.

¿Debo "atacar mi servidor" y reinstalar todo?

No ha habido signos de compromiso hasta el día de hoy, pero me gustaría estar seguro.

    
pregunta PostMan 08.10.2018 - 15:34
fuente

1 respuesta

1

Como con muchas cosas en seguridad, depende. Depende de los riesgos de no molestarlo, sino de los riesgos de matarlo.

Si quieres "mantenerte seguro", entonces la respuesta obvia es atacar. No sabes lo que no sabes.

Sin embargo, si los riesgos de no desbaratarlo (un pirata informático lo usa como base de operaciones y es capaz de leer todos los datos) son más bajos que los riesgos de entorpecerlo (pérdida de datos no recuperables) entonces no debes atacar hasta que puedas mitigar los riesgos.

Lo que estoy adivinando es que no quieres pasar por los costos de matanza y estás buscando una excusa para no hacerlo. ¡Eso es válido, también! Si su tiempo es más valioso que la divulgación de los datos al público y el impacto potencial de un pirata informático que acampa en la máquina, el análisis de costo / beneficio es claro.

Si está buscando profesionales que le digan "no, probablemente no pasó nada", entonces no estoy seguro de que alguien aquí corra el riesgo de informarle o esté calificado para hacer esa llamada. .

Tuviste vulnerabilidades sin parches durante 1 semana en promedio durante un período de 3 años. No hay indicaciones de compromiso conocidas, pero es posible que no esté calificado para evaluar eso. Eso es un montón de incógnitas para jugar. ¿Qué suerte te sientes?

    
respondido por el schroeder 08.10.2018 - 16:10
fuente

Lea otras preguntas en las etiquetas

inicio de sesión de Gmail con verificación de 2 pasos suficientemente segura para el canal de YouTube que genera dinero [cerrado] ¿Qué alternativas a IPSec para la redundancia diversificada?