Bundesamt für Sicherheit in der Informationstechnik

M 4.331 Sichere Konfiguration des Betriebssystems für einen Samba-Server

Verantwortlich für Initiierung: Administrator, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator

Das Betriebssystem des Samba-Servers sollte für einen sicheren Betrieb in folgender Weise konfiguriert werden:

ReiserFS und Datenbanken im TDB-Format

Samba legt in mehreren Verzeichnissen Datenbanken im Trivial Database (TDB)-Format ab. Die Verzeichnisse, in denen Samba diese Datenbanken ablegt, werden im Abschnitt "TDB-Dateien (Konfigurationsdaten und Statusinformationen" in M 6.135 Regelmäßige Sicherung wichtiger Systemkomponenten eines Samba-Servers beschrieben.

Die Dateien in diesen Verzeichnissen sind für das einwandfreie Funktionieren von Samba sehr wichtig. Sämtliche Datenbanken im TDB-Format sollten auf einer Partition gespeichert werden, die nicht ReiserFS als Dateisystem verwendet (siehe G 4.72 Inkonsistenzen von Datenbanken im Trivial Database Format unter Samba ).

Einbinden von Dateisystemen

Einige der notwendigen Maßnahmen in B 5.17 Samba setzen voraus, dass das Dateisystem, auf dem Samba Freigaben anbietet, Access Control Lists (ACLs) unterstützt. Der Kernel des Servers, auf dem Samba ausgeführt wird, muss daher ACLs in Verbindung mit dem eingesetzten Dateisystem unterstützen. Zusätzlich muss sichergestellt werden, dass das Dateisystem mit den passenden Parametern eingebunden wird ("acl" Parameter des "mount"-Programms), damit die Unterstützung von ACLs auch aktiviert wird. Dasselbe gilt für Extended Attributes (xattr), falls diese in Verbindung mit Samba eingesetzt werden.

Paketfilter

Samba benutzt die im Folgenden aufgelisteten Transmission Control Protocol (TCP) und User Datagram Protocol (UDP) Ports:

  • Port 137/UDP (benutzt vom Prozess nmbd): Network Basic Input/Output System (NetBIOS) Name Service
  • Port 138/UDP (benutzt vom Prozess nmbd): NetBIOS Datagram Service
  • Port 139/TCP (benutzt vom Prozess smbd): NetBIOS Session Service. Datei- und Druckdienste, falls Server Message Block (SMB) über NetBIOS eingesetzt wird.
  • Port 445/TCP (benutzt vom Prozess smbd): Datei- und Druckdienste falls SMB über TCP/IP eingesetzt wird.

Zusätzlich zu den in M 4.328 Sichere Grundkonfiguration eines Samba-Servers beschriebenen Maßnahmen zu den Konfigurationsparametern "interfaces" und "bind interfaces only", sollten alle nicht angeführten Ports an einem lokalen Paketfilter auf den Interfaces und Internet Protocol (IP)-Adressen geblockt werden, über die Samba nicht erreichbar sein soll (siehe M 4.238 Einsatz eines lokalen Paketfilters ).

Prüffragen:

  • Sind am lokalen Paketfilter nur die TCP und UDP Ports frei geschaltet, die für den Betrieb des Samba-Servers nötig sind?

  • Werden Datenbanken im TDB -Format ausschließlich auf Partitionen gespeichert, die nicht ReiserFS als Dateisystem verwenden?

  • Unterstützt der Kernel des Betriebssystems, auf dem Samba ausgeführt wird, ACL s in Verbindung mit dem eingesetzten Dateisystem?

  • Wird das Dateisystem mit den erforderlichen Parametern eingehängt?

  • Falls nötig: unterstützt der Kernel des Betriebssystems, auf dem Samba ausgeführt wird, xattr in Verbindung mit dem eingesetzten Dateisystem?

Stand: 11. EL Stand 2009