Wie erzwinge ich das SMB2-Protokoll in Samba?

13

Aus Sicherheitsgründen möchte ich das SMB1-Protokoll in deaktivieren samba. Ist es möglich? Ich verwende Ubuntu 14.04 LTS.

Avio
quelle

Antworten:

9

Mein Test mit Nessus hat ergeben, dass SMBv1 nur beim Einstellen deaktiviert ist

min protocol = SMB2

im Abschnitt [global] von smb.conf. Core, LANMAN2 und NT1 wurden weiterhin als anfällig eingestuft.

Christian M.
quelle
1
Danke, das hat geholfen. Nur ein Hinweis für andere: Die Konfigurationsdatei smb.confbefindet sich /etc/samba/auf Ubuntu 12.
ConvexMartian
4
Für zukünftige Leser: Dies funktioniert für Server, da min protocol"ein Synonym für server min protocol" ist ( samba.org/samba/docs/man/manpages-3/… ). Es gibt auch eine Funktion client min protocol, mit der Clients SMB1 vermeiden können, wenn die Server dies weiterhin unterstützen.
Jan D
1
Vergessen Sie nicht, den Dienst danach neu zu starten: CentOS 7 / RHEL 7 / Fedora Linux: $ sudo systemctl starten Sie smb.service neu Debian 8.x / Ubuntu 16.04 LTS Linux: $ sudo systemctl starten Sie smbd.service neu
Jack Wire
Ich habe den Fehler erhalten, ungültigen Wert 'SMB2' für Parameter 'min protocol' zu ignorieren. Ich benutze Samba 3.4.9
josircg
1
@josircg SMB2 wurde erstmals in 3.6.0
kbulgrien
5

Ich musste dies hinzufügen, damit es auf meinem alten Ubuntu 12-Server funktioniert . mit einer der min / max-kombinationen ist SMBv1 aktiviert, aber mit beiden funktioniert es einwandfrei.

[global]
min protocol = SMB2                                                                                 
max protocol = SMB2                                                                                 
client min protocol = SMB2
client max protocol = SMB2
P1ersson
quelle
1
Dies funktioniert mit "CentOS 6" -Fenstern nicht mehr. "Sie können keine Verbindung zur Dateifreigabe herstellen, da diese nicht sicher ist."
Neil
Dies funktionierte auch beim Versuch, von OSX High Sierra aus zu mounten. Wenn ich nur das Protokoll min verwende, kann ich keine Verbindung herstellen.
user545424
2

Während ich nicht sicher bin, wo SMB1 hineinpasst (meine Vermutung ist CORE), ist hier die Reihenfolge der Protokolle von "man smb.conf"

   max protocol (G)
       The value of the parameter (a string) is the highest protocol level that will be supported by the server.
       Possible values are :
       ·   CORE: Earliest version. No concept of user names.
       ·   COREPLUS: Slight improvements on CORE for efficiency.
       ·   LANMAN1: First
            modern version of the protocol. Long filename support.
       ·   LANMAN2: Updates to Lanman1 protocol.
       ·   NT1: Current up to date version of the protocol. Used by Windows NT. Known as CIFS.
       ·   SMB2: Re-implementation of the SMB protocol. Used by Windows Vista and newer.

   min protocol (G)
       The value of the parameter (a string) is the lowest SMB protocol dialect than Samba will support. Please refer to the max
       protocol parameter for a list of valid protocol names and a brief description of each. You may also wish to refer to the C
       source code in source/smbd/negprot.c for a listing of known protocol dialects supported by clients.
       If you are viewing this parameter as a security measure, you should also refer to the lanman auth parameter. Otherwise, you
       should never need to change this parameter.
       Default: min protocol = CORE
       Example: min protocol = NT1
Clark Mercer
quelle
1

Ich denke, dass ich es geschafft habe, das SMB1-Protokoll mit diesen beiden Zeilen im zu deaktivieren [global] Abschnitt :

min protocol = LANMAN2
max protocol = SMB3

Ich bin mir über die Reihenfolge der Protokolle in Samba immer noch nicht ganz sicher, aber ich bin mir ziemlich sicher, dass LANMAN2das danach ist SMB1.

Avio
quelle
Wie Christian M. betont, ist dies nicht die richtige Antwort.
Simen
Einverstanden. Daher ist es besser, wenn ich meine Samba-Konfiguration erneut überprüfe ...
Avio,
1

Ich denke, was Sie in der smb.conf-Datei suchen, ist:

### 
Server-Min-Protokoll = SMB2_10
Client-Min-Protokoll = SMB2
Client-Max-Protokoll = SMB3
Bad Bad Pants
quelle