Como forçar o protocolo SMB2 no samba?

13

Por motivos de segurança, gostaria de desativar o protocolo SMB1 samba. É possível? Estou executando o Ubuntu 14.04 LTS.

14.04 samba security protocol Avio
fonte

Respostas:

9

Meus testes com o Nessus indicaram que o SMBv1 está desativado apenas ao configurar

min protocol = SMB2

na seção [global] do smb.conf. Core, LANMAN2 e NT1 ainda estavam sinalizados como vulneráveis.

Christian M.
fonte
1
Obrigado, isso ajudou. Apenas uma nota para os outros: o arquivo de configuração smb.confestá em /etc/samba/no Ubuntu 12.
ConvexMartian
4
Para futuros leitores: isso funciona para servidores, pois min protocol"é sinônimo de server min protocol" ( samba.org/samba/docs/man/manpages-3/… ). Também existe client min protocol, o que ajuda os clientes a evitar o SMB1 se os servidores ainda o suportarem.
Jan D
1
Não se esqueça de reiniciar o serviço posteriormente: CentOS 7 / RHEL 7 / Fedora Linux: $ sudo systemctl restart smb.service Debian 8.x / Ubuntu 16.04 LTS Linux: $ sudo systemctl restart smbd.service
Jack Wire
Recebi o erro Ignorando o valor inválido 'SMB2' para o parâmetro 'min protocol'. Estou usando o Samba 3.4.9
josircg 14/06
1
@josircg O SMB2 foi suportado pela primeira vez no 3.6.0
kbulgrien
5

Eu tive que adicionar isso para que funcionasse no meu antigo servidor ubuntu 12; com qualquer combinação min / max, o SMBv1 está ativado, mas com os dois funciona bem.

[global]
min protocol = SMB2                                                                                 
max protocol = SMB2                                                                                 
client min protocol = SMB2
client max protocol = SMB2
P1ersson
fonte
1
Isso funcionou com as janelas do "CentOS 6" não são mais apresentadas. "Você não pode se conectar ao compartilhamento de arquivos porque não é seguro."
Neil
Isso também funcionou ao tentar montar no OSX High Sierra. Apenas usar o protocolo min não me permitiria conectar.
user545424
2

Embora eu não tenha certeza de onde o SMB1 se encaixa (Meu palpite é CORE), aqui está a ordem dos protocolos de "man smb.conf"

   max protocol (G)
       The value of the parameter (a string) is the highest protocol level that will be supported by the server.
       Possible values are :
       ·   CORE: Earliest version. No concept of user names.
       ·   COREPLUS: Slight improvements on CORE for efficiency.
       ·   LANMAN1: First
            modern version of the protocol. Long filename support.
       ·   LANMAN2: Updates to Lanman1 protocol.
       ·   NT1: Current up to date version of the protocol. Used by Windows NT. Known as CIFS.
       ·   SMB2: Re-implementation of the SMB protocol. Used by Windows Vista and newer.

   min protocol (G)
       The value of the parameter (a string) is the lowest SMB protocol dialect than Samba will support. Please refer to the max
       protocol parameter for a list of valid protocol names and a brief description of each. You may also wish to refer to the C
       source code in source/smbd/negprot.c for a listing of known protocol dialects supported by clients.
       If you are viewing this parameter as a security measure, you should also refer to the lanman auth parameter. Otherwise, you
       should never need to change this parameter.
       Default: min protocol = CORE
       Example: min protocol = NT1
Clark Mercer
fonte
1

Eu acho que consegui desabilitar o protocolo SMB1 com essas duas linhas na [global]seção:

min protocol = LANMAN2
max protocol = SMB3

Ainda não estou completamente certo sobre a ordem dos protocolos no Samba, mas estou bastante confiante de que LANMAN2será depois SMB1.

Avio
fonte
Como Christian M. aponta, esta não é a resposta correta.
Simen
Acordado. Então é melhor se eu checar novamente minha configuração de samba ...
Avio 17/05
1

Eu acho que o que você está procurando no arquivo smb.conf é:

### 
protocolo min do servidor = SMB2_10
protocolo min do cliente = SMB2
protocolo máximo do cliente = SMB3
Bad Bad Pants
fonte