TOPページ掲示板
作成日:2006年04月21日 作成:Yosi

Vine Linuxで自宅サーバーの掲示板で過去に質問された内容です。

No.1507 sambaについて

No.1507 投稿時間:2006年04月21日(Fri) 00:50 投稿者名:hiro URL:
タイトル:sambaについて

sambaを外部公開することはもっとも危険なことですが、
ユーザ制限を加えIDとパスワードがわかる人しかサーバのファイルに
アクセスできないようにすることはやってはいけないのでしょうか?

また、137-9を開放するとどのような危険が起こりうるのでしょうか?

No.1513 投稿時間:2006年04月22日(Sat) 21:18 投稿者名:Suzuaki URL:http://www.suzuaki.net/
タイトル:Re: sambaについて

> sambaを外部公開することはもっとも危険なことですが、
> ユーザ制限を加えIDとパスワードがわかる人しかサーバのファイルに
> アクセスできないようにすることはやってはいけないのでしょうか?
パスワード制限は確かに出来ますし、セキュリティソフトでのIPベース認証などで不正アクセス防止を図ることも考えられますが
「やってはいけない」という事でもありませんが
sambaの暗号強度は低いので危険性という面で私はオススメできません。

> また、137-9を開放するとどのような危険が起こりうるのでしょうか?
LinuxではなくWindowsでの話となってしまいますが
ある程度の情報を引き出されます。(攻撃者には格好の情報になってしまう)
それと個人的な点ではありますがルータ上で137ポートブロックのログ
(=不正侵入を試みようとしたログ)
がそこそこ目立ちますので、色々とコンピュータに入り込む方法を総当たりに調べられる可能性があるかもしれません。
もっともsambaはWindowsではなくLinuxであり、ネットワークドライブではなくLinux上で「Windowsのファイル共有」を提供するサービスであり
Winサーバでやるより危険性は色々と減ってきたり、上記に当てはまらない事があるかもしれません。
(sambaに対してセキュリティテストをしてみた事がないので詳細な危険性がわかりません)

Windows上でもネットワークドライブに近い感じで共有したいという事であれば
WebDAVはいかがでしょうか?
ちょっと遅いのが難点ですが、ちょっと古いバージョンのWindowsであっても接続できますし
セキュリティに関してはSSL+BASIC認証+IPフィルタするなどApacheの機能等で補えます。

No.1518 投稿時間:2006年04月24日(Mon) 15:54 投稿者名:sg URL:http://tsuttayo.sytes.net/
タイトル:Re: sambaについて

> また、137-9を開放するとどのような危険が起こりうるのでしょうか?

これを開放するのは、Suzuakiさんが書かれたようにセオリーとしてはダメでしょうねー。

ただ、僕も最近使うようになりましたが、別の方法もあります。
VPNです。
VPNっていうとIPSecが有名ですけど、OpenVPNというものもあります。
うちのサイトでも少しだけ書いています。
これだと、137-139ポートを開かなくてもSamba共有が使えます。
それどころか、ほぼ、LANに直結したみたいになるので、外部プリンターさえも遅いですが利用できます。
ただ、暗号化して、137〜139ポートを別ポートに出力するためにスピードは多少、犠牲となります。
WebDavとSambaの中間ぐらいのスピードのようです。

そのかわり、直結みたいに使えるわけで、とっても便利はいいです。
会社で自宅ネットワークに入れたり、自宅で会社ネットワークに入れたり...
Win機とLinux機が共存することもできます。
うちの場合、サーバを固定IPとして説明してありますが、DiCEなどのDDNSが動作しているならば、変動IPでも可能だと思います。
(固定IPのほうが、安定感などはあると思う)

No.1576 投稿時間:2006年05月09日(Tue) 15:54 投稿者名:hiro URL:
タイトル:Re^2: sambaについて

PPTPを使ってsambaを利用するというのも安全でしょうか?

No.1578 投稿時間:2006年05月16日(Tue) 14:37 投稿者名:sg URL:http://tsuttayo.sytes.net/
タイトル:Re^3: sambaについて

> PPTPを使ってsambaを利用するというのも安全でしょうか?

安全...この定義はなかなか難しいですねー。
そりゃー137〜139ポートを開放するよりははるかにいいと思うけど。
同じVPNでも、色々な仕組みがあり、また、IPSecみたいにいっぱいパラメータがあるものもあります。
すると、「これなら完璧に安全」というものはないのではないでしょうか?

ようは、ご自身のセキュリティポリシーにあわせて「ここまでなら、許される」ということを考えながら構築していくのが理想だと思います。
そして、これについては、はっきり答えられる人はいないのでは?
それぞれ立場が違いますし、PPTPでも設定パラメータはあるでしょうから、それによっても左右されると思うし。
僕が感じるのは、PPTPは認証がパスワードだけに頼っていたと思うので、この点がOpenVPNとかIPSecよりは弱い気がしなくもないです。
(PPTP自体、ほとんど使ったことがないので、細かいことは知りません)

No.1605 投稿時間:2006年05月29日(Mon) 20:00 投稿者名:master URL:
タイトル:こいつマルチポストしてやがる

こいつ、マルチポストだよ。

http://www.miloweb.net/cgi-bin/wforum/wforum.cgi?mode=allread&no=4169&page=10

No.1614 投稿時間:2006年05月31日(Wed) 01:19 投稿者名:sg URL:http://tsuttayo.sytes.net/
タイトル:マルチポストについてのsgの見解

> こいつ、マルチポストだよ。

まったくのコピペですねぇ。
これはやるべきではありません。
このサイトにも、マルチポストした先にも失礼ですよ。

知っておられずにやっていることなら、以後、やらないほうがいいです。
そのうち、どの掲示板でも無視されちゃいますよ。

なお、返答がなかったらコメントを削除してから、別のサイトで聞くなど、方法は色々とあると思う。
返答が期待したものではなかった場合、それから別のサイトに聞くのはかまわないと思う。
でも、たとえ期待したResがなかったとしても、何らかのヒントぐらいは書いてもらえてると思うので、別サイトに聞く場合にも参考にはなると思うんだよね。

また、前後の関係から、いわゆる「死んだサイト」みたいな管理人不在のところには書き込まないほうが無難かなぁって僕は思う。
時間の無駄になっちゃうもん。

No.1615 投稿時間:2006年05月31日(Wed) 06:25 投稿者名:hiro URL:
タイトル:マルチポストについてのお詫び

> > こいつ、マルチポストだよ。
>
> まったくのコピペですねぇ。
> これはやるべきではありません。
> このサイトにも、マルチポストした先にも失礼ですよ。
>
> 知っておられずにやっていることなら、以後、やらないほうがいいです。
> そのうち、どの掲示板でも無視されちゃいますよ。
>
> なお、返答がなかったらコメントを削除してから、別のサイトで聞くなど、方法は色々とあると思う。
> 返答が期待したものではなかった場合、それから別のサイトに聞くのはかまわないと思う。
> でも、たとえ期待したResがなかったとしても、何らかのヒントぐらいは書いてもらえてると思うので、別サイトに聞く場合にも参考にはなると思うんだよね。
>
> また、前後の関係から、いわゆる「死んだサイト」みたいな管理人不在のところには書き込まないほうが無難かなぁって僕は思う。
> 時間の無駄になっちゃうもん。

マルチポストについて全く知りませんでした。
以後気をつけます。
パスワードを設定していなかったので消すことができませんでした。

管理人に問い合わせてみることにします

No.1616 投稿時間:2006年05月31日(Wed) 16:25 投稿者名:master URL:
タイトル:Re: マルチポストについてのお詫び

> マルチポストについて全く知りませんでした。
> 以後気をつけます。
> パスワードを設定していなかったので消すことができませんでした。
>
> 管理人に問い合わせてみることにします

マルチポストについて知らなかったのなら仕方ないね。

sgさんの言ってらっしゃるように気をつけないと本当に無視されちゃうよ。


TOPページ掲示板▲頁先頭