ubuntuusers.de

Hallo Leute,

ich nutze zwar Linux Mint 12, da dies aber technisch ähnlich zu 11.10 ist, stelle ich meine Frage in diesem Forum ☺. Wenn ich den Befehl nmap ausführe und meine Workstation als Ziel angebe, wird gezeigt, dass der Port für netbios-ssn geöffnet ist. Da dieser (wohl) zu Samba gehört, würde ich gerne folgendes Wissen:

• Ist der Dienst - wenn ich über meinen UMTS-Stick im Internet bin - von aussen erreichbar? Das sollte ja nicht so sein ☺

• Bei der Recherche ist mir die Subnetzmasken-Konfiguration aufgefallen. Wenn eine Subnetzmaske also mit 192.168.255.255 angegeben ist, kann der Dienst

nur von IPs aus diesem Bereich (192.168.x.x) angesprochen werden. Stimmt das? Und falls ja, wie kann ich die Erreichbarkeit des Dienstes (Konfiguration) testen?

Viele Grüße,

Karsten

Offene Ports sind offen, auch für UMTS-Sticks. Hier geht es wohl um die Samba-Ports 139 (nmbd, Namensauflösung) und 445 (Datenverkehr). Was man damit im Endeffekt anstellen kann, habe ich nicht ausprobiert. Ich würde aber dringend empfehlen, wenn Samba auf einem Rechner mit UMTS-Stick installiert ist, ein mächtiges Kennwort zu verwenden und auf keinen Fall Freigaben mit Gastzugang einzurichten. Zusätzlich kann man noch mit hosts allow in der Datei /etc/samba/smb.conf den IP-Bereich für Client-Rechner einschränken, von denen aus zugegriffen werden darf. Das ist auf jeden Fall einfacher, als sich mit iptables und Firewall herumzuschlagen.

Gruß - Max-Ulrich

Hallo Max-Ulrich,

danke für deine Antwort ☺ So wie ich das sehe, sollte man Samba bei der Verwendung von UMTS-Sticks also deaktivieren. Warum sind diese in Linux-Mint aktiv? (Dies ist nicht das Mint-Forum, weiss ich). Was mich vielmehr interessiert ist, ob der Zugriff evtl. auf das lokale Netzwerk beschränkt ist.

In der Datei /etc/samba/smb.conf finde ich jedoch nur eine auskommentierte interface-Eigenschaft. Wie kann ich prüfen, ob Samba nur für Geräte im lokalen Netzwerk erreichbar ist?

Beste Grüße,

Karsten

Was mich vielmehr interessiert ist, ob der Zugriff evtl. auf das lokale Netzwerk beschränkt ist.

An sich schon, aber man kann tricksen. Wer die externe IP Deines Rechners kennt (die dem UMTS-Stick im Internet vergeben wurde), und noch Benutzername und Passwort kennt, kommt schon rein. Die Namensauflösung (Ermittlung der IP aus dem Rechnernamen) wird jedoch so ohne Weiteres nicht funktionieren. Kritischer wird es vor allem dann, wenn Dein Rechner bei einem DNS-Service eingetragen ist, z.B. weil Du einen Webserver eingerichtet hast. Denn dann ist es einfach, an die IP zu kommen.

Wenn Du den Rechner nur als Samba-Client verwendest und dort gar keine Ordner und Dateien freigegeben hast, kann nicht viel passieren. Auch wenn Du private Dateien (keine Systemdateien) über Samba freigegeben hast, ist das nicht so gefährlich. Ein gutes Samba-Passwort ist IMHO für private Daten immer noch ein guter Schutz. Samba tatsächlich ohne VPN für Verbindungen übers Internet einzusetzen, ist aber keinesfalls ratsam!

Wie kann ich prüfen, ob Samba nur für Geräte im lokalen Netzwerk erreichbar ist?

Das hängt, wie gesagt, davon ab, welche Informationen derjenige besitzt, der eindringen möchte.

Gruß - Max-Ulrich

Hallo Max-Ulrich,

nochmals herzlichen Dank für deine Antworten. Bei der von mir verwendeten Linux Mint-Installation sind standardmäßig keine Freigaben in Samba erteilt. Ob überhaupt ein Nutzer eingerichtet ist bzw. die Authentifikation über Samba auch gleich der Linux-Nutzer ist, weiss ich nicht (müsste ich noch nachschauen ☺).

Das bedeutet, ich kann gefahrenlos mit meinem Stick ins Internet gehen und brauche mir keine Sorgen zu machen, so lange Samba nichts freigegeben hat? Ich dachte dort an Sicherheitslücken in der Samba-Software, die auch ohne Authentifikation... aber das geht vielleicht schon in die Paranoia-Richtung 😉 Entspricht mein Linux-Account denn einem Samba-Account und ist dessen Passwort gleich?

Ich wünsche dir noch einen schönen Abend,

viele Grüße,

Karsten Kulach

Ich dachte dort an Sicherheitslücken in der Samba-Software, die auch ohne Authentifikation...

Nein, solange kein Samba als Server eingerichtet ist und auch nichts freigegeben ist, kannst Du beruhigt sein. Die Sicherheitslücken bezogen sich darauf, dass man in Samba über Softlinks von freigegebenen Ordnern auch in nicht freigegebene Bereiche gelangen konnte. Aber so ganz einfach ging das auch nicht. Und man musste erst einmal in die Freigaben selbst rein kommen.

Das bedeutet, ich kann gefahrenlos mit meinem Stick ins Internet gehen und brauche mir keine Sorgen zu machen, so lange Samba nichts freigegeben hat?

So ist es. Und wenn Du aus irgend einem Grund einmal Samba-Freigaben erstellen solltest, dann schränke halt die Zugriffsrechte so ein, dass wirklich nur berechtigte User zugreifen dürfen, und verwende gute Passwörter. Das geht in Samba recht gut.

Entspricht mein Linux-Account denn einem Samba-Account und ist dessen Passwort gleich?

Nicht automatisch. Du musst es ggf. selbst so einrichten, wenn Du es so haben willst. Du kannst aber auch für Samba ein ganz anderes Passwort festlegen. Aber ich denke, bis jetzt hast Du wohl noch gar keinen Samba-Account.

Gruß - Max-Ulrich