Comment forcer le protocole SMB2 dans Samba?


13

Pour des raisons de sécurité, j'aimerais désactiver le protocole SMB1 dans samba. C'est possible? J'utilise Ubuntu 14.04 LTS.

Réponses:


9

Mes tests avec Nessus ont indiqué que SMBv1 n'est désactivé que lors de la configuration

min protocol = SMB2

dans la section [globale] de smb.conf. Core, LANMAN2 et NT1 étaient toujours signalés comme étant vulnérables.


1
Merci, cela a aidé. Juste une note pour les autres: le fichier de configuration smb.confest /etc/samba/sur Ubuntu 12.
ConvexMartian

4
Pour les futurs lecteurs: Cela fonctionne pour les serveurs, car min protocol«est synonyme de server min protocol» ( samba.org/samba/docs/man/manpages-3/… ). Il y en a aussi client min protocol, qui aide les clients à éviter SMB1 si les serveurs le prennent toujours en charge.
Jan D

1
N'oubliez pas de redémarrer le service par la suite: CentOS 7 / RHEL 7 / Fedora Linux: $ sudo systemctl restart smb.service Debian 8.x / Ubuntu 16.04 LTS Linux: $ sudo systemctl restart smbd.service
Jack Wire

J'ai eu l'erreur Ignorer la valeur non valide 'SMB2' pour le paramètre 'protocole min'. J'utilise Samba 3.4.9
josircg

1
@josircg SMB2 a été pris en charge pour la première fois en 3.6.0
kbulgrien

5

J'ai dû l'ajouter pour que cela fonctionne sur mon ancien serveur Ubuntu 12; avec l'une ou l'autre des combinaisons min / max SMBv1 est activé mais avec les deux cela fonctionne bien.

[global]
min protocol = SMB2                                                                                 
max protocol = SMB2                                                                                 
client min protocol = SMB2
client max protocol = SMB2

1
Cela ne fonctionne plus avec les fenêtres "CentOS 6". "Vous ne pouvez pas vous connecter au partage de fichiers car il n'est pas sécurisé."
Neil

Cela a également fonctionné lors de la tentative de montage à partir d'OSX High Sierra. Le simple fait d'utiliser le protocole min ne me permettrait pas de me connecter.
user545424

2

Bien que je ne sois pas sûr de la place de SMB1 (je suppose que c'est CORE), voici l'ordre des protocoles de "man smb.conf"

   max protocol (G)
       The value of the parameter (a string) is the highest protocol level that will be supported by the server.
       Possible values are :
       ·   CORE: Earliest version. No concept of user names.
       ·   COREPLUS: Slight improvements on CORE for efficiency.
       ·   LANMAN1: First
            modern version of the protocol. Long filename support.
       ·   LANMAN2: Updates to Lanman1 protocol.
       ·   NT1: Current up to date version of the protocol. Used by Windows NT. Known as CIFS.
       ·   SMB2: Re-implementation of the SMB protocol. Used by Windows Vista and newer.

   min protocol (G)
       The value of the parameter (a string) is the lowest SMB protocol dialect than Samba will support. Please refer to the max
       protocol parameter for a list of valid protocol names and a brief description of each. You may also wish to refer to the C
       source code in source/smbd/negprot.c for a listing of known protocol dialects supported by clients.
       If you are viewing this parameter as a security measure, you should also refer to the lanman auth parameter. Otherwise, you
       should never need to change this parameter.
       Default: min protocol = CORE
       Example: min protocol = NT1

1

Je pense que j'ai réussi à désactiver le protocole SMB1 avec ces deux lignes dans le [global] section:

min protocol = LANMAN2
max protocol = SMB3

Je ne suis toujours pas complètement sûr de l'ordre des protocoles dans Samba, mais je suis assez confiant que LANMAN2c'est aprèsSMB1 .


Comme le souligne Christian M., ce n'est pas la bonne réponse.
Simen

D'accord. Donc c'est mieux si je revérifie ma configuration de samba ...
Avio

1

Je pense que ce que vous recherchez dans le fichier smb.conf est:

### 
protocole minimum du serveur = SMB2_10
protocole min client = SMB2
protocole max du client = SMB3
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.