Come forzare il protocollo SMB2 in samba?

13

Per motivi di sicurezza, vorrei disabilitare il protocollo SMB1 in samba. È possibile? Sto eseguendo Ubuntu 14.04 LTS.

— Avio
fonte

9

I miei test con Nessus hanno indicato che SMBv1 è disabilitato solo durante l'impostazione

min protocol = SMB2

nella sezione [globale] di smb.conf. Core, LANMAN2 e NT1 erano ancora tutti contrassegnati come vulnerabili.

— Christian M.
fonte

1

Grazie, questo mi ha aiutato. Solo una nota per gli altri: il file di configurazione smb.confè /etc/samba/su Ubuntu 12.

— ConvexMartian,

4

Per i futuri lettori: questo funziona per i server, in quanto min protocol"è sinonimo di server min protocol" ( samba.org/samba/docs/man/manpages-3/… ). C'è anche client min protocol, che aiuta i client a evitare SMB1 se i server lo supportano ancora.

— Jan D

1

Non dimenticare di riavviare il servizio in seguito: CentOS 7 / RHEL 7 / Fedora Linux: $ sudo systemctl restart smb.service Debian 8.x / Ubuntu 16.04 LTS Linux: $ sudo systemctl restart smbd.service

— Jack Wire

Ho ricevuto l'errore Ignorando il valore non valido 'SMB2' per il parametro 'protocollo min'. Sto usando Samba 3.4.9

— josircg

1

@josircg SMB2 è stato inizialmente supportato in 3.6.0

— kbulgrien il

5

Ho dovuto aggiungere questo per farlo funzionare nel mio vecchio server Ubuntu 12; con una delle combinazioni min / max SMBv1 è abilitato ma con entrambi funziona benissimo.

[global]
min protocol = SMB2                                                                                 
max protocol = SMB2                                                                                 
client min protocol = SMB2
client max protocol = SMB2

— P1ersson
fonte

1

Funzionava con le finestre "CentOS 6" non viene più visualizzato. "Non è possibile connettersi alla condivisione file perché non è sicura."

— Neil,

Questo ha funzionato anche quando si tenta di montare da OSX High Sierra. L'uso del protocollo min non mi consentirebbe di connettermi.

— user545424

2

Anche se non sono sicuro di dove si inserisca SMB1 (la mia ipotesi è CORE), ecco l'ordine dei protocolli di "man smb.conf"

   max protocol (G)
       The value of the parameter (a string) is the highest protocol level that will be supported by the server.
       Possible values are :
       ·   CORE: Earliest version. No concept of user names.
       ·   COREPLUS: Slight improvements on CORE for efficiency.
       ·   LANMAN1: First
            modern version of the protocol. Long filename support.
       ·   LANMAN2: Updates to Lanman1 protocol.
       ·   NT1: Current up to date version of the protocol. Used by Windows NT. Known as CIFS.
       ·   SMB2: Re-implementation of the SMB protocol. Used by Windows Vista and newer.

   min protocol (G)
       The value of the parameter (a string) is the lowest SMB protocol dialect than Samba will support. Please refer to the max
       protocol parameter for a list of valid protocol names and a brief description of each. You may also wish to refer to the C
       source code in source/smbd/negprot.c for a listing of known protocol dialects supported by clients.
       If you are viewing this parameter as a security measure, you should also refer to the lanman auth parameter. Otherwise, you
       should never need to change this parameter.
       Default: min protocol = CORE
       Example: min protocol = NT1

— Clark Mercer
fonte

1

Penso di essere riuscito a disabilitare il protocollo SMB1 con queste due righe nella [global]sezione:

min protocol = LANMAN2
max protocol = SMB3

Non sono ancora completamente sicuro dell'ordine dei protocolli in Samba, ma sono abbastanza fiducioso che LANMAN2dopo SMB1.

— Avio
fonte

Come sottolinea Christian M., questa non è la risposta corretta.

— Simen,

Concordato. Quindi è meglio se ricontrollo la mia configurazione di samba ...

— Avio

1

Penso che quello che stai cercando nel file smb.conf sia:

### 
protocollo min server = SMB2_10
protocollo min client = SMB2
client max protocol = SMB3

— Bad Bad Pants
fonte