Focal Fossa Samba Fehlermeldung: CIFS vers=1.0 insecure (wanna-cry bug)

Michael · 20. Januar 2021 um 19:07

Hallo.
Leider bekomme ich auf unserem Focal Fossa Client seit heute oder dem letzten Update ziemlich oft diese Meldung in den Log-Files:

Jan 20 18:12:52 vm-fossa kernel: [ 1482.199783] CIFS: Attempting to mount //server.linuxmuster.meine-domain.de/default-school
Jan 20 18:12:52 vm-fossa kernel: [ 1482.199839] CIFS: VFS: Use of the less secure dialect vers=1.0 is not recommended unless required for access to very old servers

Was hat sich da geändert? Woran könnte das liegen?
Ich nehme an, dass es an den linuxmuster-client Scripten liegen könnte, da ja dort die mount-Befehle ausgeführt werden?!

Viele Grüße,
Michael

Michael · 21. Januar 2021 um 12:22

Könnte jemand seine smb.conf des v7-Servers mal hier posten?
Nach kurzer Suche findet man, dass man die Option

 client min protocol = NT1
 server min protocol = NT1

einstellen soll …
edit: Das Uralt-SMB-1.0 Protokoll sollte man imho nicht (re-)aktivieren.
https://www.cyberciti.biz/faq/how-to-configure-samba-to-use-smbv2-and-disable-smbv1-on-linux-or-unix/
Viele Grüße,
Michael

zefanja · 21. Januar 2021 um 13:58

Ob es schon im letzten Paket ist, weiß ich nicht.

vG

Michael · 21. Januar 2021 um 14:03

Hi.
Danke für die Infos – dann ist das ein serverseitiges Problem?
v1.0 sollte tatsächlich deaktiviert werden … @Tobias – kannst du etwas zum Stand der Dinge sagen?

Viele Grüße,
Michael

zefanja · 21. Januar 2021 um 14:05

Nein, sondern das Client mit explizit mit ver=1.0 einbinden will. Ob SMBv1 auf dem Server noch aktiviert ist, weiß ich ehrlich gesagt nicht (ist hoffentlich nicht der Fall).

Michael · 21. Januar 2021 um 14:12

Hallo Stephan.
Ok, umso besser, wenn es „nur“ clientseitig ist! Heißt das, dass man die Option vers=1.0 da einfach rausnehmen kann oder muss man noch mehr tun?

Ich wüsste übrigens auch nochmal gerne, wie die Vorgehensweise ist, wenn man einen Linux-Client nochmal neu in die Domäne aufnehmen will. Wo ist der Unterschied zwischen den Befehlen linuxmuster-cloop-turnkey und linuxmuster-client-adsso-setup? Beide sind auf dem Client noch vorhanden … ich dachte eigentlich bisher, dass der turnkey-Befehl den adsso-setup-Befehl abgelöst hat. Scheint aber nicht zu stimmen?!

Viele Grüße,
Michael

Michael · 21. Januar 2021 um 16:48

Also ich denke, dass ich nun halbwegs weiß, was da los ist:

sudo mount -t cifs -o username=<meinLogin> -o vers=3.0 -o sec=krb5i '\\10.16.1.1\default-school' /mnt/<einVerzeichnis> --verbose

akzeptiert das Kerberos-Ticket und fragt kein Passwort mehr ab! Dennoch erscheint als Fehlermeldung hier:

mount error(2): No such file or directory
Refer to the mount.cifs(8) manual page (e.g. man mount.cifs) and kernel log messages (dmesg)

Kann es sein, dass die Freigabe default-school das Problem ist?
smbclient -L 10.16.1.1 zeigt die Freigabe an!

Verwende ich anstatt kerberos die Passworteingabe, also konkret:

sudo mount -t cifs -o username=<meinLogin> -o vers=3.0 -o sec=ntlmv2 '\\10.16.1.1\default-school' /mnt/<einVerzeichnis> --verbose

wird das SMB-Share nach Eingabe des Passwortes problemlos eingehängt!!!

zefanja · 22. Januar 2021 um 00:12

Wenn du dir die Skripte annschaust, siehst du den Unterschied. linuxmuster-client-adsso/sbin/linuxmuster-cloop-turnkey at master · linuxmuster/linuxmuster-client-adsso · GitHub

cloop-turnkey macht ein klein wenig mehr und ruft dann adsso-setup auf.

Michael · 22. Januar 2021 um 05:32

Hi. OK, dann reicht ja scheinbar tatsächlich das adsso-Script bei erneuter Aufnahme.

Hast du bei dir das Problem mit vers=1.0 denn gar nicht? Funktioniert bei dir der mount-Befehl mit Kerberos und vers=3.0?

Viele Grüße
Michael

Michael · 22. Januar 2021 um 06:54

Man kann das so testen:

testparm -s -v | grep protocol

Ich habe hier auf dem v7-Server:

        server max protocol = SMB3
        server min protocol = LANMAN1

https://www.samba.org/samba/docs/current/man-html/smb.conf.5.html#CLIENTMAXPROTOCOL