Bundesamt für Sicherheit in der Informationstechnik

M 5.151 Sichere Konfiguration des Samba Web Administration Tools

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Beim Samba Web Administration Tool (SWAT) handelt es sich um ein webbasiertes Konfigurationsprogramm, dass seit Version 2.0 fester Bestandteil von Samba ist. Je nach Distribution wird SWAT mit den Samba-Server Paketen mitinstalliert oder als optionale Pakete angeboten. SWAT wird über einen Internet Dämon (zum Beispiel inetd oder xinetd) gestartet und kann nicht als eigener Dämon betrieben zu werden.

Beim Einsatz von SWAT sollte berücksichtigt werden, dass SWAT bei Änderungen die Datei smb.conf komplett neu schreibt. Dabei werden auch alle Kommentarzeilen sowie alle Parameter, deren Werte den Standardwerten entsprechen, gelöscht. Auch die Parameter "include" und "copy" werden entfernt. Der Einsatz von SWAT ist nicht möglich, wenn einer dieser Parameter benötigt wird. Parameterwerte in Anführungszeichen in der smb.conf werden von SWAT nach dem ersten Anführungszeichen (") gelöscht.

Deaktivieren oder Einschränken des Zugriffs auf SWAT

Wird SWAT nicht zur Administration und Konfiguration des Samba-Servers eingesetzt, so wird empfohlen, SWAT zu deinstallieren. Ist dies nicht möglich, ist der Start von SWAT über den Internet Dämon zu deaktivieren. Im Fall von xinetd wird der Start des SWAT-Dienstes meist über die Datei /etc/xinet.d/swat oder /etc/xinet.d/samba gesteuert. Mit dem Parameter "disable = yes" wird verhindert, dass der Internet Dämon SWAT bei eingehenden Anfragen startet.

Wird SWAT nur zur Administration und Konfiguration eines lokalen Samba-Servers genutzt, muss die Erreichbarkeit von SWAT auf Anfragen des lokalen Rechners begrenzt werden. Das gewährleistet beim Internet Dämon xinetd der Parameter "only_from = localhost" in der entsprechenden Konfigurationsdatei (in der Regel /etc/xinetd.conf).

Wenn SWAT zur Administration und Konfiguration des Samba-Servers von entfernten Rechnern aus eingesetzt wird, sollte überlegt werden, den Zugriff entsprechend einzuschränken. Der Zugriff auf SWAT sollte nur Rechnern erlaubt sein, auf denen er benötigt wird. Wird der Internet Dämon xinetd eingesetzt, kann dies über den Parameter "only_from" in der entsprechenden Konfigurationsdatei erreicht werden (beispielsweise "only_from = 128.138.193.0 128.138.204.0").

Sichere Übertragung von Anmeldedaten

SWAT darf zur Administration des Samba-Servers nur über vertrauenswürdige Netze eingesetzt werden. Da SWAT das Hypertext Transfer Protocol Secure (HTTPS)-Protokoll nicht unterstützt, werden sämtliche Informationen im Klartext übertragen. Besteht ein hoher Schutzbedarf, wird empfohlen auf SWAT zu verzichten oder die Kommunikation zu verschlüsseln. Möglichkeiten für eine Verschlüsselung wäre ein Virtual Private Network (VPN) oder ein kryptographischer Tunnel.

Im Folgenden ist aufgeführt wie die Kommunikation über einen kryptographischen Tunnel mit Hilfe des Programms "stunnel" (Version 4) realisiert werden kann.

Zuerst muss mittels openssl ein Zertifikat für stunnel generiert werden. Das Kommando dazu lautet wie folgt:

root# /usr/bin/openssl req -new -x509 -days 365 -nodes \
config /usr/share/doc/packages/stunnel/stunnel.cnf \
out /etc/stunnel/stunnel.pem -keyout /etc/stunnel/stunnel.pem

Es kann sein, dass stunnel das Zertifikat und den Schlüssel an einer anderen Stelle erwartet. Das kann mit dem Kommando stunnel -Version in Erfahrung gebracht werden. Gegebenenfalls muss entweder die stunnel-Konfiguration oder das oben angeführte openssl Kommando angepasst werden. Anschließend muss mit dem Befehl chmod 600 /etc/stunnel/stunnel.pem sichergestellt werden, dass der private Schlüssel und das Zertifikat vor unautorisiertem Zugriff ausreichend geschützt sind. Andernfalls startet stunnel nicht.

Anschließend muss die Konfigurationsdatei /etc/stunnel/swat.conf erstellt werden:

exec = /usr/sbin/swat
execargs = swat
Die xinetd Konfigurationsdatei muss folgendermaßen angepasst werden:
server swat
{
socket_type = stream
wait = no
user = root
port = 901
server = /usr/sbin/stunnnel
server_args = /etc/stunnnel/swat.conf
disable = no
}

Nachdem xinetd die neue Konfiguration eingelesen hat, ist SWAT über die URL https://<IP oder DNS -Name des Samba-Servers:901 erreichbar.

Authentisierungs- und Autorisierungsschema von SWAT

SWAT benutzt ein sehr einfaches Authentisierungs- und Autorisierungsschema. Die Authentisierung erfolgt über die lokalen Mechanismen des Servers, auf dem SWAT läuft. SWAT akzeptiert jeden Benutzer, der sich auf dem Server erfolgreich authentisieren kann. Jeder Benutzer, der Leserechte im Dateisystem auf die Konfigurationsdatei smb.conf des Samba-Servers hat, kann sich anschließend die Konfiguration ausgeben lassen. Benutzer die zusätzlich Schreibrechte auf die Konfigurationsdatei smb.conf haben, dürfen Veränderungen an der Konfiguration vornehmen.

Sämtliche weitere Operationen, wie den Neustart des Samba-Servers oder das Beenden von Verbindungen zum Samba-Server, kann nur der Benutzer mit der User Identification (UID) Nummer 0. Normalerweise ist das der Benutzer mit der Bezeichnung "root".

Prüffragen:

  • Ist den Administratoren bewusst, dass SWAT bei Änderungen die Datei smb.conf komplett neu schreibt?

  • Wurde SWAT deinstalliert oder deaktiviert, falls SWAT nicht für die Administration und Konfiguration von Samba verwendet wird?

  • Ist die Erreichbarkeit von SWAT auf Anfragen des lokalen Rechners begrenzt, falls SWAT nur zur Administration und Konfiguration eines lokalen Samba-Servers genutzt wird?

  • Ist die Erreichbarkeit von SWAT auf Anfragen von vertrauenswürdigen Rechnern begrenzt, falls SWAT zur Administration und Konfiguration von entfernten Rechnern aus benutzt wird?

  • Wird SWAT nur über vertrauenswürdige Netze eingesetzt, beziehungsweise wird die Kommunikation verschlüsselt?

  • Wird SWAT über eine gesicherte HTTPS -Verbindung eingesetzt?

Stand: 11. EL Stand 2009

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK