J'ai un système hétérogène (MS et * nix) qui communique avec CIFS/SMB. Comment puis-je garantir un cryptage des données approprié au niveau de la couche application?
Si c'est au niveau de la "couche application", cela se fait par les applications, sur ce que les applications voient, c'est-à-dire les fichiers. En d'autres termes, les applications doivent choisir un format commun pour les fichiers cryptés. Considérez format OpenPGP comme point de départ et GnuPG comme bibliothèque open source et utilitaire de ligne de commande qui connaît ce format. Vous devez encore décider quel type de modèle de sécurité vous souhaitez appliquer; une simple clé commune partagée entre les applications installées pertinentes peut être suffisante, ou non, selon ce que vous essayez de faire (le cryptage est comme la médecine, ce n'est pas une chose qui peut être appliquée de manière générique partout; il y a des détails).
Si, d'autre part, vous souhaitez que les applications elles-mêmes ignorent béatement tout cryptage, de sorte que les applications ne voient qu'un CIFS/SMB "normal" qui est crypté sous le capot, alors, par définition, ce n'est pas du cryptage "au niveau de la couche d'application" mais à un autre niveau plus profond. Je suggère d'utiliser un VPN . IPsec est un protocole de sécurité qui ajoute des fonctionnalités de type VPN à IP, et que de nombreux systèmes d'exploitation implémentent (y compris Windows et le style Unix non préhistorique). Un VPN sera bon si votre modèle de sécurité prévu concerne des attaquants qui espionnent les lignes de communication entre les machines impliquées; cela n'aidera pas dans le cas de fichiers partagés si la machine sur laquelle les fichiers sont physiquement hébergés est également potentiellement hostile.
Utilisez Samba 3.3.x + et définissez server signing = [auto|mandatory|disabled]
dans la section Global (désactivé par défaut). Niveau de partage SMB est automatique par défaut. Cela a été testé avec WinXP/Win7 et AIX 5.3 exécutant Samba 3.6.7. SMB est devenu disponible dans Samba 3.2 mais la signature du serveur n'apparaissait pas avant le 3.3. Ceux-ci sont requis pour les clients Win7 configurés selon les recommandations de sécurité de Microsoft (NTLMv2 et cryptage 128 bits).
Voir: http://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html
Bien que vous ayez pu comprendre cela, je cherchais les mêmes informations et j'aurais peut-être trouvé quelque chose d'un peu plus utile. Ce que vous semblez rechercher est un "transport réseau crypté", et il est disponible dans Samba depuis version 3.2 (au moins) .
Malheureusement, il est vraiment difficile de savoir comment configurer cela en consultant les documents (même le Wiki Samba ne semble pas avoir d'informations à ce sujet), mais une façon de le faire est d'utiliser le -e
option pour smbclient
. Vous avez peut-être plus de chance de trouver des détails sur la façon de monter un partage Samba à l'aide du chiffrement, mais je n'ai pas pu jusqu'à présent (j'imagine que cela a plus à voir avec la configuration du serveur que la configuration du client).
Cette page à propos de SMB dans Windows peut également être utile.