Focal Fossa Samba Fehlermeldung: CIFS vers=1.0 insecure (wanna-cry bug)

Hallo.
Leider bekomme ich auf unserem Focal Fossa Client seit heute oder dem letzten Update ziemlich oft diese Meldung in den Log-Files:

Jan 20 18:12:52 vm-fossa kernel: [ 1482.199783] CIFS: Attempting to mount //server.linuxmuster.meine-domain.de/default-school
Jan 20 18:12:52 vm-fossa kernel: [ 1482.199839] CIFS: VFS: Use of the less secure dialect vers=1.0 is not recommended unless required for access to very old servers

Was hat sich da geändert? Woran könnte das liegen?
Ich nehme an, dass es an den linuxmuster-client Scripten liegen könnte, da ja dort die mount-Befehle ausgeführt werden?!

Viele Grüße,
Michael

Könnte jemand seine smb.conf des v7-Servers mal hier posten?
Nach kurzer Suche findet man, dass man die Option

 client min protocol = NT1
 server min protocol = NT1

einstellen soll …
edit: Das Uralt-SMB-1.0 Protokoll sollte man imho nicht (re-)aktivieren.


Viele Grüße,
Michael

Ob es schon im letzten Paket ist, weiß ich nicht.

vG

Hi.
Danke für die Infos – dann ist das ein serverseitiges Problem?
v1.0 sollte tatsächlich deaktiviert werden … @Tobias – kannst du etwas zum Stand der Dinge sagen?

Viele Grüße,
Michael

Nein, sondern das Client mit explizit mit ver=1.0 einbinden will. Ob SMBv1 auf dem Server noch aktiviert ist, weiß ich ehrlich gesagt nicht (ist hoffentlich nicht der Fall).

Hallo Stephan.
Ok, umso besser, wenn es „nur“ clientseitig ist! Heißt das, dass man die Option vers=1.0 da einfach rausnehmen kann oder muss man noch mehr tun?

Ich wüsste übrigens auch nochmal gerne, wie die Vorgehensweise ist, wenn man einen Linux-Client nochmal neu in die Domäne aufnehmen will. Wo ist der Unterschied zwischen den Befehlen linuxmuster-cloop-turnkey und linuxmuster-client-adsso-setup? Beide sind auf dem Client noch vorhanden … ich dachte eigentlich bisher, dass der turnkey-Befehl den adsso-setup-Befehl abgelöst hat. Scheint aber nicht zu stimmen?!

Viele Grüße,
Michael

Also ich denke, dass ich nun halbwegs weiß, was da los ist:

sudo mount -t cifs -o username=<meinLogin> -o vers=3.0 -o sec=krb5i '\\10.16.1.1\default-school' /mnt/<einVerzeichnis> --verbose

akzeptiert das Kerberos-Ticket und fragt kein Passwort mehr ab! Dennoch erscheint als Fehlermeldung hier:

mount error(2): No such file or directory
Refer to the mount.cifs(8) manual page (e.g. man mount.cifs) and kernel log messages (dmesg)

Kann es sein, dass die Freigabe default-school das Problem ist?
smbclient -L 10.16.1.1 zeigt die Freigabe an!

Verwende ich anstatt kerberos die Passworteingabe, also konkret:

sudo mount -t cifs -o username=<meinLogin> -o vers=3.0 -o sec=ntlmv2 '\\10.16.1.1\default-school' /mnt/<einVerzeichnis> --verbose

wird das SMB-Share nach Eingabe des Passwortes problemlos eingehängt!!!

Wenn du dir die Skripte annschaust, siehst du den Unterschied. https://github.com/linuxmuster/linuxmuster-client-adsso/blob/master/sbin/linuxmuster-cloop-turnkey

cloop-turnkey macht ein klein wenig mehr und ruft dann adsso-setup auf.

Hi. OK, dann reicht ja scheinbar tatsächlich das adsso-Script bei erneuter Aufnahme.

Hast du bei dir das Problem mit vers=1.0 denn gar nicht? Funktioniert bei dir der mount-Befehl mit Kerberos und vers=3.0?

Viele Grüße
Michael

Man kann das so testen:

testparm -s -v | grep protocol 

Ich habe hier auf dem v7-Server:

        server max protocol = SMB3
        server min protocol = LANMAN1