web-dev-qa-db-ja.com

* NIXシステムのSamba送信でデータ暗号化を確実にするにはどうすればよいですか?

CIFS/SMBと通信する異種システム(MSと* nixの両方)があります。アプリケーション層で適切なデータ暗号化を確実にするにはどうすればよいですか?

18
dalimama

それが「アプリケーション層」にある場合、それはアプリケーションによって、アプリケーションが見るもの、つまりファイルに対して行われます。言い換えれば、アプリケーションは暗号化されたファイルに共通のフォーマットを選択する必要があります。出発点として OpenPGP形式 を、この形式を認識しているオープンソースライブラリおよびコマンドラインユーティリティとして GnuPG を検討してください。どのようなセキュリティモデルを適用するかを決定する必要があります。関連するインストール済みアプリケーション間で共有される単純な共通鍵で十分か、そうでない場合があります(暗号化はmedecineのようなもので、どこにでも一般的に適用できる単一のものではありません。詳細があります)。

一方、アプリケーションが暗号化に気付かないようにして、内部で暗号化される「通常の」CIFS/SMBのみがアプリケーションに表示されるようにする場合は、定義上、これは暗号化ではありません。 「アプリケーション層」ではなく、他のより深い層。 [〜#〜] vpn [〜#〜] を使用することをお勧めします。 IPsec は、IPにVPNのような機能を追加するセキュリティプロトコルであり、多くのオペレーティングシステムが実装しています(Windowsや非先史時代のUnixのような)。意図したセキュリティモデルが通信回線をスパイする攻撃者に関するものである場合、VPNは適切ですbetween関連するマシン。ファイルが物理的にホストされているマシンが潜在的に敵対的である場合、共有ファイルの場合には役に立ちません。

4
Tom Leek

Samba 3.3.x +を使用し、グローバルセクションでserver signing = [auto|mandatory|disabled]を設定します(デフォルトでは無効)。共有レベルSMB暗号化はデフォルトで自動です。これはSamba 3.6.7を実行するWinXP/Win7およびAIX 5.3でテストされています。SMB暗号化がSambaで利用可能になりました3.2がサーバー署名は3.3まで表示されませんでした。これらはMicrosoftのセキュリティ推奨事項(NTLMv2および128ビット暗号化)に設定されたWin7クライアントに必要です。

参照: http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

11
Mark Gray

あなたはこれを理解したかもしれませんが、同じ情報を探していたので、もう少し役立つ情報を見つけたかもしれません。あなたが探しているように見えるのは「暗号化されたネットワーク転送」であり、それは バージョン3.2(少なくとも) 以降のSambaで利用可能です。

悲しいことに、ドキュメントを見てこれを設定する方法を見つけるのは非常に困難です(Samba Wikiにも情報がないようです)、-eオプションを使用する方法があります。 smbclientの場合。暗号化を使用してSamba共有をマウントする方法の詳細を見つけることができるかもしれませんが、今のところできません(クライアントの構成よりもサーバーの構成に関係していると思います)。

このページ about SMB Windowsのトランスポート暗号化も役立つかもしれません。

2
Marcus P S