Bruteforce no samba

[leo_mineiro]

Bom dia pessoal,

Por favor, alguém sabe algum software ou configuração que permita identificar ataques de bruteforce no Samba? Seria interessante saber o login do usuário ou o seu IP para identificação...

Valeu!

[xstefanox]

Você tem que se preocupar com duas coisas aí: a primeira é aumentar o nível de debug do SAMBA e a segunda é manjar um pouco de grep para tirar as linhas interessantes do arquivo de log dele. =)

[leo_mineiro]

Valeu pela dica, xstefanox, mas vc já fez isso alguma vez?

Pq eu aumentei o nível de log do Samba e o grande problema é que não dá pra diferenciar (pelo menos foi o que eu observei) quando o usuário tenta conectar, quando a autenticação não é realizada... ou seja, é bem difícil de fazer esse controle nele...

Será que tem salvação ou o Samba sempre será "presa fácil" para ataques de bruteforce?

[xstefanox]

Eu não acredito que o Samba seja uma "presa fácil". Eu acho que administradores ruins podem tornar serviços fáceis de serem quebrados.

Veja bem, se você utilizar o nível de debug do Samba como 2, você já obtém as informações que precisa para tirar uma relatório simples, mas completo, sobre os logins digitados errados na sua rede. Depois disso, foi como eu te disse... você pode utilizar algumas maravilhas do bash e conseguir relacionar números, gerar HTML's... endereços... etc etc etc...

Não tenho nada pronto, senão te mandava.

[leo_mineiro]

Bom, obrigado mais uma vez! Já estou tentando fazer o que vc disse... se eu conseguir posto aqui.

Mas se eu não conseguir fazer esse esquema, vou tratar de mudar todas as senhas para 8 caracteres aleatórios e doa a quem doer

valeu!