Як змусити протокол SMB2 у самбі?

13

З міркувань безпеки я хотів би відключити протокол SMB1 в samba. Це можливо? Я працюю на Ubuntu 14.04 LTS.

14.04  samba  security  protocol 
Авіо
джерело

Відповіді:

9

Моє тестування з Nessus показало, що SMBv1 відключений лише під час налаштування

min protocol = SMB2

у [глобальному] розділі smb.conf. Core, LANMAN2 та NT1 все ще були визнані вразливими.

Крістіан М.
джерело
1
Дякую, це допомогло. Лише примітка для інших: файл конфігурації smb.confзнаходиться /etc/samba/на Ubuntu 12.
ConvexMartian
4
Для майбутніх читачів: Це працює для серверів, оскільки min protocol"є синонімом server min protocol" ( samba.org/samba/docs/man/manpages-3/… ). Є також client min protocol, що допомагає клієнтам уникати SMB1, якщо сервери все ще підтримують його.
січень D
1
Не забудьте після цього перезапустити службу: CentOS 7 / RHEL 7 / Fedora Linux: $ sudo systemctl перезапустити smb.service Debian 8.x / Ubuntu 16.04 LTS Linux: $ sudo systemctl перезапустити smbd.service
Jack Wire
Я отримав помилку Ігнорування недійсного значення "SMB2" для параметра "протокол min". Я використовую Samba 3.4.9
josircg
1
@josircg SMB2 був вперше підтриманий в 3.6.0
kbulgrien
5

Мені довелося додати це, щоб він працював на моєму старому 12-сервері ubuntu; з будь-якою комбінацією min / max SMBv1 увімкнено, але з обома вона працює добре.

[global]
min protocol = SMB2                                                                                 
max protocol = SMB2                                                                                 
client min protocol = SMB2
client max protocol = SMB2
P1ersson
джерело
1
Ця робота з вікнами "CentOS 6" більше не виходить. "Ви не можете підключитися до спільного доступу до файлів, оскільки це не захищено."
Ніл
Це також спрацювало при спробі встановити з OSX High Sierra. Просто використання протоколу min не дозволить мені підключитися.
користувач545424
2

Хоча я не впевнений, куди підходить SMB1 (я здогадуюсь CORE), ось порядок протоколів від "man smb.conf"

   max protocol (G)
       The value of the parameter (a string) is the highest protocol level that will be supported by the server.
       Possible values are :
       ·   CORE: Earliest version. No concept of user names.
       ·   COREPLUS: Slight improvements on CORE for efficiency.
       ·   LANMAN1: First
            modern version of the protocol. Long filename support.
       ·   LANMAN2: Updates to Lanman1 protocol.
       ·   NT1: Current up to date version of the protocol. Used by Windows NT. Known as CIFS.
       ·   SMB2: Re-implementation of the SMB protocol. Used by Windows Vista and newer.

   min protocol (G)
       The value of the parameter (a string) is the lowest SMB protocol dialect than Samba will support. Please refer to the max
       protocol parameter for a list of valid protocol names and a brief description of each. You may also wish to refer to the C
       source code in source/smbd/negprot.c for a listing of known protocol dialects supported by clients.
       If you are viewing this parameter as a security measure, you should also refer to the lanman auth parameter. Otherwise, you
       should never need to change this parameter.
       Default: min protocol = CORE
       Example: min protocol = NT1
Кларк Мерсер
джерело
1

Я думаю, що мені вдалося відключити протокол SMB1 за допомогою цих двох рядків у [global]розділі:

min protocol = LANMAN2
max protocol = SMB3

Я досі не повністю впевнений у порядку протоколів у Самба, але я впевнений, що LANMAN2це вже після SMB1.

Авіо
джерело
Як зазначає Крістіан М., це не правильна відповідь.
Сімен
Домовились. Тож краще, якщо я перевірте свою конфігурацію самби ...
Авіо
1

Я думаю, що ви шукаєте у файлі smb.conf:

### 
протокол min сервера = SMB2_10
протокол min клієнт = SMB2
максимальний протокол клієнта = SMB3
Шкірні погані штани
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.