kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 8554
Wohnort: Münster
|
Max-Ulrich_Farber schrieb: […] Soll ich die Warnungen vor SMBv1 relativieren, oder kann ich sie so stehen lassen
Zur Zeit (01.06.2020) läuft es auf einen Showdown zwischen Funktionalität und Sicherheit hinaus. Die Fakten: SMBv1 ist erwiesenermaßen unsicher. Reale Angriffe wurden bereits durchgeführt. SMBv1 ist schlecht performant im Vergleich zu neueren Versionen. Real existierende GUI-Dateimanager durchsuchen die Freigabelisten von Servern offenbar nur mit SMBv1.
Beste Praxis aus meiner Sicht: Wer einen SMB-Server betreibt, sollte das Protokoll SMBv1 abschalten (server min protocol = SMB2 ), sofern das möglich ist. Bei der Fritzbox ist es zur Zeit mit freigegebener Software z.B. nicht möglich. SMB-Server mit SMBv1 sollten keine kritische Funktion im Verantwortungsbereich erfüllen. Wer einen SMBv1-Server betreibt, den er nicht auf bessere Protokolle umstellen kann, sollte den Server ersetzen. Einzige Ausnahme zu den Regeln 1 und 2: Der Server für den "Local Master Browser" muss SMBv1 beherrschen, aber er sollte außer IPC$ keine Freigaben anbieten. Wer noch mit einem SMB-Server mit SMBv1 arbeiten muss, muss seinem SMB-Client das Protokoll SMBv1 erlauben. Wer keine SMB-Server mit SMBv1 erreichen muss, kann seinem SMB-Client das Protokoll SMBv1 verbieten, wenn geringer Komfortverlust akzeptabel ist. Es ist wahrscheinlich ungefährlich, dem SMB-Client SMBv1 zu erlauben, da ja immer wenn bessere Protokolle möglich sind, diese auch benutzt werden.
Aus meiner Sicht ist die Standardeinstellung bei Ubuntu 20.04 auf client min protocol = SMB2 kontraproduktiv und voreilig, solange es noch in freier Wildbahn SMBv1-Server gibt. Strategie muss sein, die SMBv1-Server auszurotten und nicht die SMB-Clients dumm zu machen.
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 28954
Wohnort: WW
|
Hallo,
Aus meiner Sicht ist die Standardeinstellung bei Ubuntu 20.04 auf client min protocol = SMB2 kontraproduktiv und voreilig, solange es noch in freier Wildbahn SMBv1-Server gibt. Strategie muss sein, die SMBv1-Server auszurotten
Ausrotten funktioniert aber nur, wenn man kein SMB2 mehr spricht. Sonst gibt es doch keine Notwendigkeit, den Server auf SMB2 "upzugraden". Oder auch: ein Henne-Ei Problem. Gruß, noisefloor
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 28954
Wohnort: WW
|
Hallo, habe gerade mal über beide Artikel drüber geschaut: in Sachen Syntax etc. ist es denke ich ok. Inhaltlich ist das überhaupt nicht meine Welt. Was vielleicht noch ganz cool wäre: die Screenshorts sind ziemlich alt, denke mal noch von 14.04. Wenn jemand da äquivalente Screenshots für Focal oder Bionic hätte, wäre das schön. Gruß, noisefloor
|
Max-Ulrich_Farber
(Themenstarter)
Anmeldungsdatum: 23. Januar 2007
Beiträge: 7964
|
Was vielleicht noch ganz cool wäre: die Screenshorts sind ziemlich alt, denke mal noch von 14.04. Wenn jemand da äquivalente Screenshots für Focal oder Bionic hätte, wäre das schön.
Ja, das wäre sehr sinnvoll! Doch ich fahre leider inzwischen Xubuntu mit Xfce, da sieht alles ein bisschen anders aus. Sonst hätte ich das gemacht.
denke mal noch von 14.04
Oh nein, noch viel älter! Vermutlich 9.04… Gruß – Max-Ulrich
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 28954
Wohnort: WW
|
Hallo, also besser ein aktueller Xubuntu Screenshot als ein uralter Ubuntu Screenshot. Gruß, noisefloor
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 8554
Wohnort: Münster
|
noisefloor schrieb: […]
Ausrotten funktioniert aber nur, wenn man kein SMB2 mehr spricht.
Ich nehme an, dies ist ein Schreibfehler und Du meinst SMB1, sonst ergibt der Satz für mich keinen Sinn. Sonst gibt es doch keine Notwendigkeit, den Server auf SMB2 "upzugraden".
Hier muss man gute und böse Anwender unterscheiden:
Der gute Anwender will einfach nur arbeiten. Wenn man Server und Client die Nutzung neuerer Protokoll-Versionen ermöglicht, werden diese auch benutzt. Also: client/server max protocol nicht auf NT1 einstellen. Der böse Anwender zwingt seinen Client zur Benutzung von SMBv1, um die Schwachstellen dieser Protokoll-Version zum Angriff auszunutzen und wenn der Server sich auf SMBv1 einlässt, dann wird der Angriff auch gelingen und man erleidet einen Schaden. Also: server min protocol = SMB2 ist zur Verbesserung der Sicherheit wünschenswert.
Oder auch: ein Henne-Ei Problem.
Ja. Der erste Schritt um den Teufelskreis zu durchbrechen, ist die flächendeckende Zulassung neuerer Protokolle bei den Clients. Dafür darf die Einstellung client max protocol = NT1 nicht mehr verwendet werden. Und damit dies irgendwann einmal zutrifft, darf man diese Einstellung heute nicht mehr empfehlen.
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 28954
Wohnort: WW
|
Hallo,
Ich nehme an, dies ist ein Schreibfehler und Du meinst SMB1, sonst ergibt der Satz für mich keinen Sinn.
Stimmt, meine SMB1. Gruß, noisefloor
|
Max-Ulrich_Farber
(Themenstarter)
Anmeldungsdatum: 23. Januar 2007
Beiträge: 7964
|
@noisefloor also besser ein aktueller Xubuntu Screenshot als ein uralter Ubuntu Screenshot.
Bei Xubuntu sind halt alle Farben ganz anders, bevorzugt blau-graue Töne. Passt irgendwie nicht so ganz. 🙄 Dann warten wir mit dem Zurückschieben doch lieber noch ein bisschen. Vielleicht findet ja kB die Zeit für neue Screenshots? 😉 Dann "Weidmanns Heil!" ❗ Sonst schieben wir die Artikel halt mit den alten Screenshots zurück, bis ich einmal die Zeit finde, in einer VM ein GNOME-Ubuntu zu installieren und damit screenzushooten. Im Moment geht das leider nicht. Das geht dann aber auch mal zwischendurch ohne Baustelle. Beste Grüße Max-Ulrich
|
Max-Ulrich_Farber
(Themenstarter)
Anmeldungsdatum: 23. Januar 2007
Beiträge: 7964
|
Jetzt bin ich doch noch etwas irritiert. Vielleicht weiß kB weiter ❓ Auf einem Laptop mit Xubuntu 20.04 läuft ein Samba-Client. Alles klappt wie im Artikel Baustelle/Samba Client GNOME beschrieben ☺ Nun habe ich auf einem anderen Laptop in einer VM eine neue Version von Ubuntu 20.02 installiert. In Nautilus konnte ich in dieser zunächst gar keine Freigaben, kein "Windows-Netzwerk" und damit auch keine Workgroup finden. Über die Eingabezeile konnte ich aber auf alle Freigaben sofort zugreifen. Ich setzte nun zuerst client min protocol = Nt1 . Ohne Wirkung. Dann, mit server min protocol = Nt1 klappte auf einmal alles. Inzwischen läuft das Browsen auch, wenn beides wieder auf SMB2_02 steht. Das server min protocol = Nt1 war also nur einmalig als "Katalysator" notwendig gewesen, anschließend werden Workgroup und Server auch ohne Nt1 gefunden. Ich kann mir das nicht erklären, vermute aber, dass es etwas mit der Anmeldung beim MB zu tun hat ❓ Nochmal: Die VM agiert nur als Client, entscheidend war aber server min protocol = Nt1 ❗ Samba ist auf der VM installiert, wegen der smb.conf. Kannst Du, kB, oder kann jemand anderes dies erklären? Leider ist der Effekt nicht reproduzierbar; Wenn das Browsen einmal geklappt hat, dann klappt es immer wieder. Gruß – Max-Ulrich
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 8554
Wohnort: Münster
|
Max-Ulrich_Farber schrieb: Jetzt bin ich doch noch etwas irritiert. Vielleicht weiß kB weiter ❓ […] Die VM agiert nur als Client, entscheidend war aber server min protocol = Nt1 ❗ Samba ist auf der VM installiert, wegen der smb.conf. Kannst Du, kB, oder kann jemand anderes dies erklären?
Wenn auf der Client-Maschine kein Samba-Server installiert ist, dann sollten in der smb.conf die Einstellungen für den Server wirkungslos bleiben. Wenn jedoch ein Samba-Server installiert wurde, dann laufen automatisch ja auch nmbd und smbd. Es sei denn, diese wurden explizit deaktiviert. Wenn die Prozesse laufen, dann werden nach Änderungen der Servereinstellungen auch Pakete ins Netzwerk gesendet. Diese können weitere Nebeneffekte haben.
Ich vermute daher, dass bei Deinen Experimenten der installierte Server auch aktiv war. Wenn nicht, sehe ich wohl dasselbe Fragezeichen wie Du!
|
Max-Ulrich_Farber
(Themenstarter)
Anmeldungsdatum: 23. Januar 2007
Beiträge: 7964
|
Ich mache immer noch an der Bezeichnung für Freigaben herum, die mit Root-Rechten per Eintrag in /etc/samba/smb.conf erstellt werden:
"Allgemeine Freigaben" ist missverständlich wegen der Verwechslungs-Möglichkeit mit "Öffentliche Freigaben" (public = yes ). "Administrative Freigaben" hat auf Windows-Servern einen anderen Sinn, wie kB zu Recht beanstandet hat.
Wie wäre "Zentrale Freigaben" ? Der Begriff scheint mir nicht anderweitig belegt und auch nicht missverständlich zu sein, denn die smb.conf wird auch mit "Zentrale Konfigurationsdatei" bezeichnet. Wenn keine Einwände bestehen, ändere ich alle "Administrative Freigaben" in "Zentrale Freigaben" ab, auch in den anderen betroffenen Artikeln. Gruß – Max-Ulrich
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 8554
Wohnort: Münster
|
Max-Ulrich_Farber schrieb: […]
Wenn keine Einwände bestehen, ändere ich alle "Administrative Freigaben" in "Zentrale Freigaben" ab, auch in den anderen betroffenen Artikeln.
Wenn des „Zentrale Freigaben“ geben soll, muss auch der Gegenbegriff Sinn machen. Das wären dann sog. „Dezentrale Freigaben“ oder sog. „Periphere Freigaben“, was für mich in beiden Fällen keinen Sinn macht. Wie wäre es mit „System-Freigaben“ für die von root verwalteten und „Benutzer-Freigaben“ für die von einem Benutzer verwalteten Freigaben?
|
Max-Ulrich_Farber
(Themenstarter)
Anmeldungsdatum: 23. Januar 2007
Beiträge: 7964
|
Danke für die Stellungnahme! Ganz so streng würde ich das mit dem "Gegenbegriff" nicht sehen. Der Gegenbegriff zu "Persönliche Freigaben" wäre ja "Unpersönliche Freigaben", und das macht garantiert keinen Sinn. Ich finde, Persönliche Freigaben sind an sich schon "dezentral", denn sie haben keinen Eintrag in der zentralen Konfigurationsdatei smb.conf, und die einzelnen, kleinen Konfigurationsdateien in /var/lib/samba/usershares gehören dem jeweiligen User und sind nur für diesen einsehbar. Ich habe mal probeweise in Baustelle/Samba Server GNOME den Begriff "Zentrale Freigaben" verwendet und mit dem Begriffspaar "zentral <> dezentral" etwas gespielt, um zu sehen, wie sich das liest. "System-Freigaben" weckt bei mir spontan andere Assoziationen: Wird da das System oder werden wenigstens Systemdateien freigegeben? Und das ist ja ganz bestimmt nicht der Fall! Deshalb würde ich diesen Begriff lieber nicht verwenden. Eines aber ist sicher: Die "Administrativen Freigaben" müssen weg! Der Begriff ist anderweitig belegt.
|
Max-Ulrich_Farber
(Themenstarter)
Anmeldungsdatum: 23. Januar 2007
Beiträge: 7964
|
Ich muss jetzt kB zustimmen. "Zentrale Freigaben" liest sich nicht gut. ☹ Mir fällt kein guter Begriff ein. Sollen wir halt die Möglichkeit einer Verwechslung mit "Öffentliche Freigaben" (public = yes ) in Kauf nehmen und einfach wieder "Allgemeine Freigaben" nehmen? Nicht gerade genial, aber vielleicht trotz allem immer noch das Beste… Wenn der Begriff geklärt ist, dann ist dieser Artikel und auch Baustelle/Samba Client GNOME aus meiner Sicht fertig zum zurückschieben. Das wäre gut, denn dann könnte ich die Links in den anderen Artikeln fertig machen. Oder gibt es noch inhaltliche Probleme?
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 8554
Wohnort: Münster
|
Max-Ulrich_Farber schrieb: […] "Zentrale Freigaben" liest sich nicht gut. ☹ Mir fällt kein guter Begriff ein.
Willkommen im Club!
[…] "Allgemeine Freigaben" […]
Erscheint mir akzeptabel.
Oder gibt es noch inhaltliche Probleme?
Ich bin mir unsicher, ob jemand, der nicht mit /etc/smb.conf vertraut ist bzw. die Protokollproblematik nicht kennt, beim Lesen des Artikels zweifelsfrei erkennen wird, welche Veränderungen er an er zentralen Konfigurationsdatei vornehmen soll/muss. Für den Dummy muss klar werden:
Nach Installation des Pakets samba ist für den Benutzer die Freigabe von Verzeichnissen bereits ohne Veränderungen an der zentralen Konfigurationsdatei möglich. Als dringende Empfehlung sollte workgroup auf eine eigene Bezeichnung geändert werden und bei allen anderen Rechnern, die Freigaben von diesem Rechner benutzen sollen, sollte man dieselbe Bezeichnung einstellen. Ab Ubuntu 20.04 zusätzlich: Damit dieser Rechner als Server mit dem momentan implementierten Browsing im Dateimanager gefunden werden kann, muss man server min protocol = NT1 einstellen. Damit dieser Rechner als Client mit dem momentan implementierten Browsing im Dateimanager andere Server finden kann, muss man client min protocol = NT1 einstellen. (Die Aktivierung der Benutzer-Freigaben durch Installation von samba kann also die Browsing-Fähigkeiten des Rechners verändern und das muss man ggf. wieder korrigieren.)
Wenn man mit dem durch mein Skript realisierten alternativen Browsing arbeiten möchte, muss man dagegen – auch bei 20.04 – an den Protokolleinstellungen nichts ändern.
Unabhängig von diesen Einstellungen benötigt man im Netzwerk für das Browsing einen "local master browser", aber das ist eine andere Baustelle. Bei den Beispielen für net usershare werden die Platzhalter %n und %f für vom Anwender einzusetzende Angaben verwendet. Das ist so nicht falsch, mir aber zu unscheinbar und ich befürchte, dass die Leser die Ersetzungsaufgabe nicht realisieren. Ich wünsche mir daher auffälligere Markierungen, z.B.: # Statt: net usershare add %n %f "" Everyone:F guest_ok=y
net usershare add FREIGABE-NAME /PFAD/ZUM/FREIGEGEBENEN/VERZEICHNIS "" Everyone:F guest_ok=y (Ich würde hier immer mit absoluten Pfaden arbeiten!)
|