如何确保在*NIX系统上对Samba传输进行数据加密？

Question

我有一个与CIFS/SMB通信的异构系统( MS和*nix)。如何确保在应用层进行适当的数据加密？

Answer 1

如果它位于“应用程序层”，那么它是由应用程序根据应用程序看到的内容，即文件完成的。换句话说，应用程序应该选择加密文件的通用格式。以OpenPGP格式为起点，以GnuPG作为了解这种格式的开源库和命令行实用程序。您仍然需要决定要执行什么样的安全模型；在相关的已安装应用程序之间共享一个简单的公用密钥可能就足够了，或者不足够，这取决于您要做什么(加密就像medecine，它不是一件可以在任何地方普遍应用的东西；还有细节)。

另一方面，如果您希望应用程序本身不知道任何加密，那么应用程序只能看到“正常”的CIFS/SMB，它是在幕后加密的，那么，根据定义，这不是“在应用层”加密，而是在另一个更深的层进行加密。我建议使用VPN。IPsec是一种安全协议，它为IP添加了类似VPN的特性，许多操作系统都实现了该协议(包括Windows和非史前Unix类)。如果您想要的安全模型是关于监视所涉计算机之间通信线路的攻击者，则VPN将是很好的；如果物理上承载文件的机器也具有潜在的敌意，则在共享文件的情况下，VPN将不会有所帮助。

Answer 2

使用Samba 3.3.x+并在“全局”部分中设置server signing = [auto|mandatory|disabled] (默认情况下禁用)。默认情况下，共享级SMB加密是自动的。这已经在运行Samba 3.6.7的WinXP/Win7 7和AIX5.3中进行了测试。SMB加密在Samba 3.2中可用，但服务器签名直到3.3才出现。这对于配置为微软的安全建议(NTLMv2和128位加密)的NTLMv2客户端是必需的。

请参阅：http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html

Answer 3

虽然你可能已经弄清楚了这一点，但我正在寻找同样的信息，也许会发现一些更有帮助的东西。您似乎要寻找的是“加密的网络传输”，它可以从3.2版(至少)开始在Samba中使用。

遗憾的是，很难通过查看文档(甚至Samba似乎也没有相关信息)来了解如何设置它，但是其中一种方法是使用-e选项来实现smbclient。您可能更幸运地找到了有关如何使用加密挂载Samba共享的详细信息，但到目前为止我还无法(我认为它更多地是与服务器配置而不是客户端配置有关)。

此页中有关SMB传输加密的内容也可能会有所帮助。