我是托pipe公司的pipe理员,我主要处理Linux机器,尽pipe我们有很多Windows服务器客户。
以我的身份,我只使用SMB作为本地局域网上的文件/打印服务器。
有没有理由离开SMB? 我没有听说有任何真正的理由让它暴露在互联网上,有没有Windows的东西,我不知道这需要它?
SMB是一种文件共享协议,因此,它有时候可以向互联网开放,共享文件。
但是, 这是一个非常糟糕的主意。 与简单的FTP或WebDAV协议相比,它基本上具有非常小的GET / PUT接口,完全在孤立的用户空间进程中实现,SMB是一个复杂得多的协议,深入集成到核心Windows服务中。
SMB的复杂性(至less在版本2之前是非常低的安全性/完整性)意味着许多严重缺陷被利用,而且与Windows的紧密集成意味着这些利用是非常危险的。
所以,不, 不要打开SMB到互联网
只是不要这样做。 如果有人要求你这样做,我强烈build议不要这样做,快速逃跑。
你可以在技术上通过VPN来提供这种服务,但是如果它远远超过了广域网,它几乎肯定会像垃圾一样运行。
有远远优越的服务来完成您可以提供的远程和本地文件共享。 考虑Amazon Storage Gateway或Google Storage。 这些解决scheme允许云存储帐户在内部连接到文件服务器,从而实现混合存储云,可以在任何需要它的地方进行同步。 这是快速和安全的,远程用户不需要打你的文件服务器,以获得远程文件,而内部用户不需要打你的WANpipe道来获得这些相同的文件。 这些解决scheme会给pipe理员带来很大的负担,并将其放入一个可以处理负载的云中,无论如何。
号码保留暴露于互联网的最小数量的端口。 如果您需要使用SMB进行某些操作(与可信任的其他方传输文件,并在每次采取措施时都使用身份validation和时间戳),请在build立SMB连接之前设置一个VPN以供其连接。
有什么理由吗? 我会留给你的。
这可以做到。 打开端口445和configurationSMB,你可以通过互联网访问你的共享文件夹,就像你在本地networking上做的那样。
这将是非常缓慢的,因为协议不是为了在这样的环境下工作而devise的。
存在已知的安全风险。 知识产权限制可以帮助
SMB1协议容易受到安全问题的影响,而SMB2 / 3协议则是高度安全的协议。 只需升级系统即可使用SMB2 / 3协议。 您可以使用像MoSMB(www.mosmb.com/www.ryussi.com)这样仅支持SMB2 / 3协议而不支持SMB1的Linux SMB堆栈。 MoSMB具有使用端到端签名和encryption的SMB3协议。 它使用AES-128-CMACalgorithm进行签名,通过SMB连接对AES-128-CCM / AES-128-GCM进行encryption。 这也保护了从中间人攻击的线路上的数据。