web-dev-qa-db-ja.com

インターネットを介したSambaアクセスについて、正確に何が安全でないのですか?

Linuxサーバー上にフォルダーがあり、全国のさまざまなクライアントと共有する必要があります。いくつかの要件:

  1. フォルダは、Windowsの通常のネットワークドライブとしてマウント可能である必要があります
  2. システムは、クライアント側で多くの構成を必要とすべきではありません
  3. 共有は常に利用可能である必要があります

最初に頭に浮かんだのは、インターネット経由でSambaを使用することでした。ただし、これを少し調べた結果、誰もがインターネット経由でSambaを使用しないようにアドバイスし続け、代わりにSSHFSやSFTPサーバーなど、最初の2つの要件のいずれかまたは両方に失敗する代替手段を推奨しています。

私が提案した最後の代替案は、VPNサーバーをセットアップし、クライアントをVPN経由で接続させて、Samba共有にアクセスすることです。ただし、VPNを使用すると、VPNサーバーを介してすべてのネットワークトラフィックがチャネル化されます。これにより、ユーザーは共有にアクセスする場合にのみVPNサーバーに接続する必要があり、要件3に失敗し、技術者以外のユーザーが共有を使用するのが困難になります。 。

これは私を最初に戻します-良いファイアウォール、Samba構成のIPホワイトリスト、およびSambaの暗号化されたネットワークトランスポートを考えると、Sambaをインターネットに公開することについて、正確に安全でない、またはそうでなければ悪いことは何ですか?

2
haroba

SMBプロトコルでは、認証が完了して接続が確立されると、暗号化されていないデータ転送が可能になります。ワイヤをスヌーピングする人は誰でも、共有を介して転送されるデータを傍受できます。

ただし、ネットワーク共有のトランスポートを暗号化した場合、それは軽減されます。

4
squillman

Sambaが暗号化されているかどうかに関係なく、パブリックエリアに配置されたそのようなサービスは関心の対象になります。私はこれがあなたが望むものではないと思います。 VPNを使用するだけです。適切に設定すると、クライアントはVPNを使用して、Samba共有と他のすべての通常のインターネット接続に同時にアクセスできます。

1
Veniamin