Sécurisation du serveur Samba-AD
Dans les précédentes parties (ici et là), nous avons vu comment installer, configurer, et manager notre serveur Samba-AD. Nous allons voir ici comment le sécuriser.
Tous ces paramétrages sont recommandés par Tranquil’IT et sont issus de leur documentation officielle.
Désactiver le listing des utilisateur de façon anonyme
Pour empêcher qu’un utilisateur anonyme ne liste les utilisateurs du serveur, il nous faudra désactiver cet accès. Pour cela nous éditerons le fichier /etc/samba/smb.conf et nous rajouterons le paramètre suivant:
#Edition du fichier de configuration nano /etc/samba/smb.conf #Paramètre à rajouter dans la section [global] restrict anonymous = 2
Désactiver Netbios
Netbios n’étant pas nécessaire si DNS est installé, il vaut mieux le couper:
#Edition du fichier de configuration /etc/samba/smb.conf nano /etc/samba/smb.conf #Paramètres à ajouter dans la section [global] disable netbios = yes smb ports = 445
Désactiver NTLMv1
NTLMv1 est trop vieux, trop sensible, très dispensable.
#Edition du fichier de configuration /etc/samba/smb.conf nano /etc/samba/smb.conf
#Paramètre à ajouter dans la section [global] ntlm auth = mschapv2-and-ntlmv2-only
Remplacer le certificat par un certificat validé
Produit sécurisé « by design« , Samba-AD génère un certificat à l’installation afin d’utiliser LDAP STRTTLS et LDAPS. Nous pourrons le remplacer par un certificat de notre organisation.
#Edition du fichier de configuration /etc/samba/smb.conf nano /etc/samba/smb.conf #Paramètres à ajouter dans la section [global] tls enabled = yes tls keyfile = /etc/samba/tls/srvads.mydomain.lan.key tls certfile = /etc/samba/tls/srvads.mydomain.lan.crt tls cafile = /etc/samba/tls/mondomaine_CA.crt
Limiter la plage des ports dynamiques
Ici nous limiterons l’utilisation des ports RPC.
#Edition du fichier de configuration /etc/samba/smb.conf nano /etc/samba/smb.conf #Paramètre à ajouter dans la section [global] rpc server dynamic port range = 50000-55000 #Configuration du pare-feu firewall-cmd --zone=public --remove-port=49152-65535/tcp --permanent firewall-cmd --zone=public --add-port=50000-50500/tcp --permanent
Auditer les accès aux répertoires SYSVOL et NetLogon
#Edition du fichier de configuration /etc/samba/smb.conf nano /etc/samba/smb.conf #Paramètres à ajouter dans la section [global] full_audit:failure = none full_audit:success = pwrite write rename full_audit:prefix = IP=%I|USER=%u|MACHINE=%m|VOLUME=%S full_audit:facility = local7 full_audit:priority = NOTICE #Paramètre à ajouter dans la section [sysvol] vfs objects = full_audit #Paramètre à ajouter dans la section [netlogon] vfs objects = full_audit
Conclusion
Samba-AD est véritablement crédible dans son rôle de contrôleur AD.
La documentation fournit par Tranquil IT vous permettra de pousser l’expérience plus loin en remplaçant le DNS de base par un serveur Bind9 beaucoup plus performant.
Je reste persuadé que cette alternative devrait être installée dans beaucoup de PME qui n’ont pas les moyen de s’offrir un serveur Microsoft.
Français et Open Source ce produit est a mon avis sous coté et devrait faire partis de la trousse à outils de tout bon administrateur système.
Comments are closed