web-dev-qa-db-fra.com

Comment forcer le protocole SMB2 dans la samba?

Pour des raisons de sécurité, je souhaite désactiver le protocole SMB1 dans samba. C'est possible? J'utilise Ubuntu 14.04 LTS.

14.04sambasecurityprotocol
12
Avio

Mes tests avec Nessus ont indiqué que SMBv1 n’est désactivé que lors de la configuration

min protocol = SMB2

dans la section [global] de smb.conf. Core, LANMAN2 et NT1 étaient toujours signalés comme vulnérables.

9
Christian M.

J'ai dû ajouter ceci pour que cela fonctionne dans mon ancien ubuntu 12-server; SMBv1 est activé, mais cela fonctionne bien.

[global]
min protocol = SMB2                                                                                 
max protocol = SMB2                                                                                 
client min protocol = SMB2
client max protocol = SMB2
5
P1ersson

Bien que je ne sois pas sûr de l’intérêt de SMB1 (je suppose que c’est CORE), voici l’ordre des protocoles de "man smb.conf"

   max protocol (G)
       The value of the parameter (a string) is the highest protocol level that will be supported by the server.
       Possible values are :
       ·   CORE: Earliest version. No concept of user names.
       ·   COREPLUS: Slight improvements on CORE for efficiency.
       ·   LANMAN1: First
            modern version of the protocol. Long filename support.
       ·   LANMAN2: Updates to Lanman1 protocol.
       ·   NT1: Current up to date version of the protocol. Used by Windows NT. Known as CIFS.
       ·   SMB2: Re-implementation of the SMB protocol. Used by Windows Vista and newer.

   min protocol (G)
       The value of the parameter (a string) is the lowest SMB protocol dialect than Samba will support. Please refer to the max
       protocol parameter for a list of valid protocol names and a brief description of each. You may also wish to refer to the C
       source code in source/smbd/negprot.c for a listing of known protocol dialects supported by clients.
       If you are viewing this parameter as a security measure, you should also refer to the lanman auth parameter. Otherwise, you
       should never need to change this parameter.
       Default: min protocol = CORE
       Example: min protocol = NT1
2
Clark Mercer

Je pense que ce que vous recherchez dans le fichier smb.conf est:

 ### 
 protocole minimal du serveur = SMB2_10 
 protocole minimal du client = SMB2 
 protocole maximal du client = SMB3
1
Bad Bad Pants

Je pense que j'ai réussi à désactiver le protocole SMB1 avec ces deux lignes dans la section [global]:

min protocol = LANMAN2
max protocol = SMB3

Je ne suis toujours pas tout à fait sûr de l'ordre des protocoles dans Samba, mais je suis assez confiant que LANMAN2 est après SMB1.

1
Avio