現状、ルーターからハブで20台ほどのPCがつながっており、その一台にLinuxマシンを組み込んで使用したいと考えております。
だれもが読み書き可能なディレクトリを作成して使用するのですが、その際にセキュリティー面からの問題点などがありましたら、ご指摘していただきたいと思います。
事例などが掲載されている参考サイトがあればありがたいです。
Sambaには毎回脆弱性が報告されています。
常に最新版を使うことが望まれますが、
油断していると重大なセキュリティホールをたたかれるおそれがあるので気をつけてください。
http://www.samba.gr.jp/info/security/
Samba セキュリティ情報
http://www.meiji.ac.jp/mind/announce/win_fileshare.html
Windowsのファイル共有機能のセキュリティについて
故意または過失によるデータの破損がもっともありえます。
情報漏洩については、参照可能なら技術的にはどうしようもありませんので、ユーザ教育等が必要と思われます。
なるほど。
内部のユーザーからの情報漏えいがもっとも怖い部分だと。ルーターの設定により、外からアクセスすることはできないはずですが、なにぶんLinuxでのファイルサーバーを設置するのは初めてなものですので、外部ネットワークからのアクセス、ウィルス関係などで問題点があればご指摘願います。
私は職場でsambaを利用する際に、
(1) tcpwrapperやfirewallでIPアドレスの規制
(2) Group IDの有効活用
をしてました。
(1)は、自部門以外の端末からのアクセスを拒否したものです。職場からのみの利用を想定していたのですが、業務の拡大に伴いアクセス範囲(セグメント)が徐々に増えてしまいました。(^^;
(2)は、sambaアクセスのデフォルトを644でなく、664のようにGroup権を付けて、誰でもフォルダの作成やファイルの変更を出来るようにしましたが、実際のアクセスは各人のIDを用いることで、ファイルのオーナーを見て最後に編集したのが誰だか、フォルダを作成したのが誰だか分かるようにしていました。
自部門以外の端末からのアクセスを拒否なんてことが可能なのですね。勉強になります。ちょっと調べて採用したいですね。
私は職場でsambaを利用する際に、
(1) tcpwrapperやfirewallでIPアドレスの規制
(2) Group IDの有効活用
をしてました。
(1)は、自部門以外の端末からのアクセスを拒否したものです。職場からのみの利用を想定していたのですが、業務の拡大に伴いアクセス範囲(セグメント)が徐々に増えてしまいました。(^^;
(2)は、sambaアクセスのデフォルトを644でなく、664のようにGroup権を付けて、誰でもフォルダの作成やファイルの変更を出来るようにしましたが、実際のアクセスは各人のIDを用いることで、ファイルのオーナーを見て最後に編集したのが誰だか、フォルダを作成したのが誰だか分かるようにしていました。
日本 Samba ユーザー会
sambaというサーバーソフトを使うとWindowsマシンから「共有」でファイル・ディレクトリが読み書きできます。
セキュリティというか、読み込み・書き込み権を
どう管理するかでsambaの設定を検討する必要があります
誰でも同じように書き込めて読めるのであれば
1つだけログインIDを作ってみんな同じ名前を使うのが楽ですが
ユーザーごとにsambaのログインIDとグループをちゃんと設計してアクセス管理をすべきだと思います。
はい。そのあたりはわきまえております。
ただ、何分はじめてサーバーというものにLinuxを採用するもので、ファイルの改竄、他のWindowsマシンへのウィルス感染など、心配な点が多いもので・・・
自分も実際にsambaを導入してファイルサーバーとしています。
外部からのセキュリティはルーターやセキュリティソフト等でなんとかするとして、問題はやはり内部の人間からの操作です。
まずはログを取り続けて、どのマシンからどのようなアクセスがあったか、どのような操作をされたかを把握しておくのが良いと思います。また、出来るだけ入り口を狭くしておくと、万が一ウィルスが紛れ込んでも影響を受けるマシンも多少は少なくなります(ウィルスによりますが)
初めてだとやはり心配も多いと思うので、個人的にはcronやバックアップツールを利用して、共有ディレクトリを半日に一回くらいにコピーしてバックアップしておくと問題が起きても比較的すぐ解決出来ますし、ログの状況を見て今後どのように設定すればいいかという糸口が掴めると思います。
う〜ん。やはりバックアップの必要性はかなりありそうですね。ログをとるなどのことまでは視野にいれてないのですが、必要とあらば勉強しなくては・・・
http://www.f-secure.co.jp/products/antivirus_linux_server/
日本F-Secure株式会社 - アンチウィルスLinux版
「何分はじめてサーバーというものにLinuxを採用するもので...」とおっしゃいますが、
Linux だから、Windows だから、といって、基本的な対策は変わりません。これまでの
コメントを読む限り、基本は身に付いているようですので、その点は良いでしょう。
心配されている「ファイルの改竄、他のWindowsマシンへのウィルス感染」という点に
ついてですが、まず、ファイルの改ざんに関しては、Windows とさして違いは
ありません。強いて言うと、Windows におけるアクセス権と UNIX でのアクセス権
の考え方の違いから、思うようなアクセス権が設定しづらい、というのはあります。
既に、他の方が書いているように、Linux 側でのグループ ID をうまく使う必要が
あります。またカーネルが 2.6 以降で標準対応になったのですが、Linux 側のファイル
システムが、Windows に似たようなアクセス制御が出来る仕組み(ACL)が
サポートされていると、Windows 側から適切なアクセス権を設定出来る範囲が
広がると思います。
ウィルスに関してですが、仮に Samba 上にウィルスに感染したファイルが書き込まれても、
Linux 自体には全く問題ありません。その点では Windows がサーバになっている
よりも安全です。ただ、共有したファイルにアクセスすることで、感染する可能性は
あります。これは、Linux だから、Windows だから、という問題ではありません。
ちなみに、Linux サーバ上で動くウィルス対策ソフトというのもありますので紹介しておきます。
http://www.sophos.co.jp/products/sav/
ソフォス エンタープライズ製品 - エンドポイント、メール、NAC
ACL、初めて聞きました。
ちょっと調べてみます。確かにアクセス権の問題でディレクトリ内のファイルが書き込みできなかったりすることがありました。
Linuxサーバ上で動くウィルスソフトはぜひ採用させていただきます。ありがとうございました。
常に最新版にアップデートすべきであることは了解済みです。ただ、ローカルネットワーク内のファイルサーバーということを考慮して、セキュリティー面で念頭においておいたほうが良い点を伺えたらと思います。