SAMBA smb.conf最適パラメータの確認

SAMBA smb.conf最適パラメータの確認

今日の日付が与えられたら、以下を実行してください。Windows 10以上そしてつながるRHEL 8.8以上現在のLinuxシステムとはsamba-4.17.5-3.el8_8何ですか?ベストプラクティス/etc/samba/smb.confパラメーターの場合は、以下を保証する必要があります。最も安全で信頼性の高い接続契約に合格しますか?

以下は私が使用するものです。誰かを編集したり追加したりすることができますか?私は単純なローカルパスワードを使用しsecurity=userて生成し、passdb backend = tdbsam簡単なSamba設定をしていますsmbpasswd -asmb.confWindowsドメインの購読、Active Directory、およびその他のより複雑な事項に関連する共有したいテンプレートがある場合にも役立ちます。

私がほぼ常に行う2つの基本的な共有(ホームとデータ)を紹介します。セキュリティを向上させるためにいくつかのパラメータが必要ですか?

注:ロギングの部分についてはあまり心配しませんが、管理者がそれを読んで構成方法について合理的な決定を下すために改善または説明を提供していただきありがとうございます。

# /etc/samba/smb.conf template, RHEL 8.8

[global]
    workgroup = SAMBA
    security = user

    passdb backend = tdbsam

    printing = bsd
    printcap name = /dev/null
    load printers = no
    disable spoolss = yes

    log level = 0 vfs:10

    log file = /var/log/samba/sambavfs.log

    max log size = 0

    smb encrypt = required
    client min protocol = SMB3
    client max protocol = SMB3
    client signing = mandatory
    server signing = mandatory

[homes]
    comment = Home Directories
    valid users = %S, %D%w%S
    browseable = No
    read only = No
    inherit acls = Yes
    vfs objects = extd_audit

[data]
    comment = data
    inherit acls = Yes
    read only = No
    path = /data
    directory mask = 770
    create mask = 660
    vfs objects = extd_audit

メモ:見つけたばかりFIPS=1in(またはRHEL-8で利用可能なアクション)は、WindowsでSamba接続を終了しますGRUB_CMDLINE_LINUX。バラより/etc/default/grubfips-mode-setup --enablehttps://access.redhat.com/discussions/7022626。 RHEL-7.9でFIPS = 1を実装すると、このような状況は発生しません。

答え1

興味のある方のために、Sambaの現在のマニュアルページを見て、関連性のある内容を抽出しました。以下に定義されているグローバルセクションを使用すると、Windows 10でRHEL-7.9システムでSamba接続を作成できます(rhel 8.8以降と仮定)。マニュアルページの説明によると、これらのほとんどがデフォルト設定であると仮定していますが、実際にどのように見えるかを知ることをお勧めします。

# /etc/samba/smb.conf
# https://www.samba.org/samba/docs/current/man-html/smb.conf.5.html

[global]
    server role = standalone
    security = user
    passdb backend = tdbsam
    map to guest = Bad User

#   turn off print stuff
    printing = bsd
    printcap name = /dev/null
    load printers = no
    disable spoolss = yes

#   default deadtime to disconnect after N minutes of inactivity is 10080
    deadtime = 5

    server min prototcol = SMB3_11
    server smb encrypt = required
    server signing = mandatory
#   server smb3 encryption algorithms = AES-128-GCM, AES-128-CCM, AES-256-GCM, AES-256-CCM
#   server smb3 signing algorithms = AES-128-GMAC, AES-128-CMAC, HMAC-SHA256
    server smb3 encryption algorithms = AES-256-GCM
    server smb3 signing algorithms = AES-128-GMAC

    client min protocol = SMB3_11
    client smb encrypt = required
    client signing = required
    client ipc signing  = required
    client protection = encrypt
#   client smb3 encryption algorithms = AES-128-GCM, AES-128-CCM, AES-256-GCM, AES-256-CCM
#   client smb3 signing algorithms = AES-128-GMAC, AES-128-CMAC, HMAC-SHA256
    client smb3 encryption algorithms = AES-256-GCM
    client smb3 signing algorithms = AES-128-GMAC
    
#   client use kerberos = < off | desired | required >
#   kerberos encryption types = < all | strong | legacy >

#   hosts allow = 192.168.1.0/255.255.255.0
    
    max log size = 0
    log level = 0 vfs:10
    log file = /var/log/samba/sambavfs.log

関連情報