Samba gegen Locky sichern

drdownload · 5. März 2016

Ein interessanter Artikel zu diesem Thema: http://www.heise.de/security/a…y-aussperren-3120956.html

endstille · 5. März 2016

Hey, genau das wollte ich auch grade posten, mit der Bitte dass die Kenner unter euch die Fail2Ban regel erstellen, bzw. erklären wie ich es in OMV konfiguriere.
Der Anleitung habe ich versucht zu folgen, bin aber nicht sicher ob ich die SMB Audit Optionen richtig gesetzt habe.
Wenn ich mich nicht irre, muss ich auch die jail manuell per SSH anlegen und eine Action vermisst mein fail2ban jetzt auch.
Desweiteren würde ich gerne auch die die Logiken weiterer Locker einbauen.
Letzte Woche hat mich im Büro so ein Locker erwischt, ein User aus der Türkei hat eine falsche Seite angeruft. Daher bin ich gegenüber diesem Thema echt sensibilisiert.

Danke für eure Hilfe!
Grüße
Marc

Mark · 7. März 2016

Spannendes Thema.

WastlJ · 7. März 2016

fail2ban gibts als Plugin für OMV.

Ersteres allerdings müsste Volker implementieren. Da die smb.conf bei jedem Update wieder geändert werden kann.

Dazu bitte hier ein Feature-Request eröffnen: http://bugtracker.openmediavault.org/

drdownload · 8. März 2016

Das Beispiel greift jetzt jetzt alleine für Locky, aber es gibt ja noch mehr solcher Programme. uU wäre es eine gute in das Modul dann auch gleich eine sich updatende Liste von trigger wörtern zu integrieren.

Mark · 9. März 2016

Wer hat Zugriff auf dieses Ding im Link? Warum der Mod es nicht eben getan hat, weiß ich nicht. Sicherheit geht doch alle an...

WastlJ · 9. März 2016

Zugriff hat jeder, der sich dort anmeldet. Das ist der offizielle Weg, Bugs oder Features in OMV integrieren zu lassen.

Warum "der Mod" es nicht eben getan hat, weil es Zeitlich aktuell eher schlecht bei mir aussieht, aber hauptsächlich - ich nutze nur Apple Geräte in meinem Netzwerk.

Und wenn du einen erweiterten Schutz auf dem Server haben möchtest, für etwas, was definitiv schon beim Client abgesichert gehört, dann ist es doch wohl nicht zu viel verlangt diese Erweiterung dort anzufragen.

Aber ich bin ja nicht so --> http://bugtracker.openmediavault.org/view.php?id=1487

votdev · 9. März 2016

Das Auditing von Shares gibt es schon. Das fail2ban Plugin muss dann nur noch entsprechend Konfiguriert werden. Kenn es leider nicht da ich es noch nie installiert habe. An Samba muss also nichts mehr gemacht werden. Da ich momentan mit dem Refactoring von OMV3 beschäftigt bin und kein WIndows habe ist meine Motivation dazu auch eher lim x -> 0.

endstille · 9. März 2016

Zitat von votdev

Das Auditing von Shares gibt es schon. Das fail2ban Plugin muss dann nur noch entsprechend Konfiguriert werden.

Vielen Dank für die Info
Ich will noch nicht beschwören, dass es richtig ist, besonders da ich mir keinen Locker schäldling "zum Test" aktivieren möchte. Aber ich Beschreibe einfach mal, was ich bisher gemacht habe.
1. Audit Feature jedes SMB-Shares aktiviert.
2. per SSH als root auf dem Server die Datei /etc/fail2ban/filter.d/crypto.conf genau wie im Heise-Artikel beschrieben angelegt.
3. im fail2ban Plugin ein neuen Filter "cryptolocker" angelegt mit folgenden Details angelegt (persönliche Kommentare in eckigen Klammern)
Name: cryptolocker [eigene freie Wahl]
Port: smbd [nur anhand der Nomenklatur der anderen Filter geraten, stimmt das?]
Max retry: 1 [Analog zum Heise Artikel]
Ban time: 86400 [Analog zum Heise Artikel]
Filter: crypto [dieser wurde ja manuell in Schritt 2 angelegt, andernfalls beschwert sich fail2ban über nicht existierende Filter]
Log path: /var/log/samba/audit.log [dort gehen nachweißlich die in schritt 1 aktivierten Audit-Logs hin, habe es geprüft und mit dem Output des Heise Artikels verglichen].

Da ich ansonsten keine Erfahrung mit dem fail2ban habe, wäre es nett wenn einer dies auf (theoretische) Richtigkeit und Vollständigkeit prüfen könnte.
Danke
PS: Ein Problem ist, dass ich die meine lokalen IPs ausgeschlossen habe, da fail2ban mich sonst immer aus blockt, wenn ich ins webinterface möchte, warum habe ich nicht analysiert.
Kann ich für die Samba-Prüfung diesen IP-Bereich dennoch filter, oder muss ich mein nginx log prüfen und die dortigen Fehler beheben?
Danke

Grüße Marc

Mark · 9. März 2016

Zitat von WastlJ

http://forums.openmediavault.o…?postID=107749#post107749']-']- ich nutze nur Apple Geräte in meinem Netzwerk.

http://m.heise.de/newsticker/m…oht-Mac-OS-X-3129346.html

WastlJ · 10. März 2016

Schon gelesen. Im Torrentsektor war ich aber noch nie unterwegs.

Mark · 10. März 2016

Ach Bastian. Mache Dir doch nichts vor. Das war der Anfang. Da GnuPG schon für Crypotrojaner genommen wird, dass ganze mit Userrechten läuft und der größte Schaden typischerweise bei den Usern zu erwarten ist, kommt da mehr. Der für den Mac ist ja inzwischen als Crossplatform erkannt: http://www.heise.de/newsticker…inux-Encoder-3132181.html

Also bist Du auch am "dransten".

WastlJ · 11. März 2016

Glaub mir, meine Systeme sind soweit möglich abgesichert. Für den Fall dass, besteht sowohl ein lokales, als auch ein Offsite Backup aller wichtigen Daten.

Jetzt mitmachen!