SMB1 abschalten. Kann die cooli SMB2 als client?

[the_hansa]

Hi all,

SMB1 ist unsicher und es wird empfohlen es nicht mehr zu verwenden (s. z.B. aktuelle C't).
Ein Versuch es auf meinem Fileserver loszuwerden (Ubuntu -> smb.conf -> "min protocol = SMB2") scheitert bei mir aber daran, dass dann die coolis die Freigaben nicht mehr mounten können. Win10 und andere Linux Clients machen es.
Sollte der mount.cifs (version: 1.12-3.3.9) des aktuellen images SMB2 oder SMB3 können?
Falls ja, was braucht er für Mount Optionen?

Dank und Gruß,
Hansa

[Don de Deckelwech]

Hi,
ich bin quasi Laie was das angeht, aber verwende dann doch besser NFS als Protokoll, und nicht Cifs/Samba/SMB (also nicht den MS-Dreck, denn: ja es funzt iwie, aber: du siehst ja selbst...).

Nichtsdestotrotz sollte in Anbetracht der aktuellen SMB1-Lücken dieses absolut (selbst von MS) als veraltet betrachtete Protokoll ver"nichtet" werden, bloss: es muss sich halt jemand damit auskennen, der die anscheinend vorhanden internen Abhängigkeiten aufdröseln kann... Freiwillige vor!

Ciao,
DdD.

edit: Samba ist ein Fremdkörper in Linux. Vllt sollte man es jetzt einfach fallen lassen. FTP und NFS sollten eigentlich inzw reichen, Windows öffnet sich ja immer mehr Richtung Linux....

[the_hansa]

edit: Samba ist ein Fremdkörper in Linux.

Aua.. Die armen Jungs von https://www.samba.org/. Wenn man es genau nimmt, ist Samba nativ unter Linux.
Das Protokoll ist MS, Samba ist Linux.

[martinallnet]

Wenn überhaupt dann ftps oder sftp, reines ftp sollte man auch nicht mehr nutzen.

[mirz]

sind denn die Sicherheitslücken im heimischen Netzwerk überhaupt relevant?

[gandharva]

Sollte der mount.cifs (version: 1.12-3.3.9) des aktuellen images SMB2 oder SMB3 können?
Falls ja, was braucht er für Mount Optionen?

Code: Alles auswählen

movies	-fstype=cifs,user=USER,password=PASS,iocharset=utf8,vers=2.1,cache=loose		//192.168.0.2/Movies

http://neutrino-images.de/board/viewtop ... p=253#p253

[the_hansa]

Perfekt! SMB1 ade...

Frag mich nur gerade, warum ich den How-To Post nicht gefunden hatte...
Vielen Dank.

[stefanx]

.. ich verstehe das nicht wirklich.
Falls jemand meinen Internetanschluss hackt und in mein Heimnetz kommt und die HDD an meiner Tank ausliest, dann gratuliere ich dazu und wünsche ihm viel freude mit den TV Aufzeichnungen.

[the_hansa]

das Problem wären nicht die Filme auf der HDD der Cooli...
Meine Coolis haben gar keine HDD. Und daher auch kein laufenden Samba.

Der Samba läuft auf dem Fileserver. Dieser bedient die Coolis und alle PCs, Handys, Laptops und Kameras. Im Samba kann man das Protokoll (SMB1) nur global limitieren. Sprich für alle aus oder an. Fängt sich nun Device (ein PC) zb ein https://de.wikipedia.org/wiki/WannaCry ist der Fileserver in Gefahr.

Deshalb abschalten.

Gruß,
Hansa

[gandharva]

das Problem wären nicht die Filme auf der HDD der Cooli...
Meine Coolis haben gar keine HDD. Und daher auch kein laufenden Samba.

Der Samba läuft auf dem Fileserver. Dieser bedient die Coolis und alle PCs, Handys, Laptops und Kameras. Im Samba kann man das Protokoll (SMB1) nur global limitieren. Sprich für alle aus oder an. Fängt sich nun Device (ein PC) zb ein https://de.wikipedia.org/wiki/WannaCry ist der Fileserver in Gefahr.

Deshalb abschalten.

Gruß,
Hansa

Dir ist aber schon klar das WannaCry nichts mit SambaCry zu tun hat? Zudem sind die Samba Versionen welche wir für HD1 und auch HD2 nutzen nicht von SambaCry betroffen.

The issue is described in the Samba website as CVE-2017-7494 and is known to affect Samba versions 3.5 (released in early March 2010) and onwards.

[the_hansa]

schade, jetzt spoilen wir den thread ein wenig:
1. Wikipedia: "WannaCry basiert auf EternalBlue, einem Exploit der Sicherheitslücke MS17-010 im SMB-Protokoll (auch NetBIOS) von Microsoft." SambaCry geht auch das gleiche Problem zurück.
https://www.heise.de/security/meldung/S ... 26053.html

2. Mag ja sein, dass der Samba in der Cooli safe ist. Wahrscheinlich ist es auch der in meinem Fileserver... So war auch die Theorie bis zum Ausbruch von Wann/Sambacry. SMB1 ist halt alt...

Können wir nochmal auf den Kern kommen? Irgenwie habe ich doch noch ein Problem...
Ich habe meine Mounts auf den autofs umgestellt. Genau, wie in Deinem HOWTO beschrieben. viewtop ... p=253#p253
Du zeigst dort den write/read Test mit einer 128mb Datei. Das geht bei mir auch.

Versuche ich jedoch >2GB zu schreiben scheitert der:

[CoolstreamWohnzimmer] /mnt/autofs/movies # dd if=/dev/zero of=/mnt/autofs/movies/netztest bs=8192 count=333840
dd: writing '/mnt/autofs/movies/netztest': File too large
262145+0 records in
262143+1 records out
2147483647 bytes (2.0GB) copied, 96.328430 seconds, 21.3MB/s

Hängt das an dem autofs? Als ich die mounts via neutrino.conf gemacht hatte, hat der >2GB schreiben können.

Gruß
Hansa

[gandharva]

schade, jetzt spoilen wir den thread ein wenig:
1. Wikipedia: "WannaCry basiert auf EternalBlue, einem Exploit der Sicherheitslücke MS17-010 im SMB-Protokoll (auch NetBIOS) von Microsoft." SambaCry geht auch das gleiche Problem zurück.

Das Fett markierte ist schlicht Unsinn.

[gandharva]

Die Beiträge zum CIFS Bug habe ich gesplittet: http://neutrino-images.de/board/viewtop ... =61&t=1733