【记录】Truenas Scale|中危漏洞,需要SMB签名

已于 2023-04-22 19:45:47 修改
阅读量1.8k 收藏 6
点赞数
分类专栏: # 琐碎小记录 文章标签: 服务器 TrueNas SMB debian
于 2023-04-20 18:57:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46106285/article/details/130273351
版权

部分内容参考:等保测试问题——需要SMB签名(SMB Signing not Required) 以及 ChatGPT。

Truenas常用SMB服务,但默认并不开启SMB签名。这样具有中间人攻击的风险。

一、漏洞详情

1.1 漏洞报告

漏洞提示如下:
在这里插入图片描述

1.2 漏洞介绍

  SMB是一个协议名,全称是Server Message Block(服务器消息快协议),用于在计算机间共享文件、打印机、串口等,电脑上的网上邻居由它实现。SMB签名是SMB协议中的安全机制,也称为安全签名。SMB签名旨在帮助提高SMB协议的安全性,为了防止在传输过程中修改SMB数据包,SMB协议支持SMB数据包的数字签名。所有Windows操作系统都支持客户端SMB组件和服务器端SMB组件。要利用SMB数据包签名,通信中涉及的客户端SMB组件和服务器端SMB组件必须启用或需要SMB数据包签名。如果服务器启用此设置,Microsoft网络服务器将不与Microsoft网络客户端通信,除非该客户端同意执行SMB数据包签名。同样,如果需要客户端SMB签名,则该客户端将无法与未启用数据包签名的服务器建立会话。默认情况下,在工作站,服务器和域控制器上启用客户端SMB签名。
  SMB签名在性能上有一些权衡。如果网络性能对部署方案很重要,建议您不要使用SMB签名;如果要在高度安全的环境中使用SMB,建议您使用SMB签名。当启用SMB签名时,SMB将停止使用RDMA远程直接数据存取,因为最大MTU限制为1,394字节,这会导致邮件碎片和重组,并降低整体性能。

1.3 漏洞危害

  SMB服务上不需要签名。未经身份验证的远程攻击者可以利用此攻击对SMB服务器进行中间人攻击。

1.4 漏洞监测方式

在可以访问自己的服务器的客户端,用nmap扫描一下服务器的ip:

# 返回有关SMB确定的SMB安全级别的信息 
sudo nmap -sS -sV -Pn -p 445 --script="smb-security-mode" <你的服务器的ip>
# 确定SMBv2服务器中的邮件签名配置 
sudo nmap -sS -sV -Pn -p 445 --script="smb2-security-mode" <你的服务器的ip>

如果出现下图所示Message signing enabled but not required,说明存在漏洞:

在这里插入图片描述

二、漏洞解决方案

我参考的那篇博客的服务器是windows服务器,而我的是Truenas Scale,系统是Debian。

所以接下来详细讲一下 TrueNas Scale 中的修复方法。

方式1:图形界面配置

我是看了社区才知道原来可以直接用图形化界面配置参数,
而且如果直接使用命令行往往不行。

2.1 打开 TrueNas Scale 管理界面的 SMB 配置服务

在这里插入图片描述

2.2 添加附加参数

点开高级设置,然后划到最下面,填入附加参数:

server signing = mandatory

在这里插入图片描述

2.3 再次检查漏洞是否存在

# 返回有关SMB确定的SMB安全级别的信息 
sudo nmap -sS -sV -Pn -p 445 --script="smb-security-mode" <你的服务器的ip>
# 确定SMBv2服务器中的邮件签名配置 
sudo nmap -sS -sV -Pn -p 445 --script="smb2-security-mode" <你的服务器的ip>

在这里插入图片描述

解决了。

方式2:命令行配置(常常失效!)

2.1 打开 TrueNas Scale 管理界面的命令行

在这里插入图片描述

2.2 找到 smb 服务的配置文件

可以直接这样查找配置文件:

sudo testparm -s

这将输出你当前所有的smb配置以及其文件。

在这里插入图片描述

我的是/etc/smb4.conf

2.3 编辑配置文件

使用nano打开配置文件:

nano /etc/smb4.conf

找到或添加以下行到[global]部分中

server signing = mandatory

该行配置了强制要求所有的客户端使用消息签名进行通信。如果客户端不支持消息签名,则无法连接到SMB服务。注意,该配置只能与SMBv3一起使用。

保存并关闭文件。

2.4 重新启动Samba服务以使更改生效

sudo systemctl restart smbd

现在,SMB服务应该已经配置为强制要求客户端使用消息签名进行通信。请注意,如果你的客户端不支持消息签名,它将无法连接到SMB服务。在这种情况下,你需要升级客户端以支持消息签名,或者将SMB服务配置为不要求使用消息签名。

2.5 再次检查漏洞是否存在

# 返回有关SMB确定的SMB安全级别的信息 
sudo nmap -sS -sV -Pn -p 445 --script="smb-security-mode" <你的服务器的ip>
# 确定SMBv2服务器中的邮件签名配置 
sudo nmap -sS -sV -Pn -p 445 --script="smb2-security-mode" <你的服务器的ip>

在这里插入图片描述

解决了。

三、漏洞未解决的可能原因

参考:

  1. Truenas 官方的有关 SMB 服务的安全配置建议:https://www.truenas.com/docs/solutions/optimizations/security/#smb
  2. Truenas 官方的有关 SMB 服务的图形化配置界面的介绍:https://www.truenas.com/docs/core/uireference/services/smbscreen/
  3. Samba 服务官方对 server signing 参数的介绍:https://www.samba.org/samba/docs/current/man-html/smb.conf.5.html#SERVERSIGNING
  4. Truenas 社区对 SMB 消息签名的讨论:https://www.truenas.com/community/threads/smb-signing.97262/
  1. 原因一:升级到了 TrueNas Scale Bluefin 分支的 22.12.04。
    由于未知原因,我升级之后不论怎么设置都是 not required。
  2. 原因二:未通过图形化页面添加参数,以至于在图形化界面操作之后,命令行添加的参数被图形化界面的参数覆盖。
    可通过在 TrueNas Scale 的命令行运行 testparm -s 检查所有的 smb 参数。
    如果设置正确,应该显示如下结果:
    在这里插入图片描述
  3. 找原因可能方式:通过在 TrueNas Scale 的命令行运行 smbstatus 检查当前所有的 SMB 连接,
    你可以看到连接是否有消息签名和加密。
    如果有消息签名,其 Signing 列应该非空,如下所示:
    在这里插入图片描述
shandianchengzi
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
apps:TrueNAS SCALE社区应用目录
04-09
关于TrueCharts TrueNAS SCALE社区应用目录 Truecharts是提供可与TrueNAS SCALE App生态系统一起使用的高质量应用程序的一项举措。 我们的主要目标是: 以微服务为心 本地Kubernetes 稳定 一致性 我们所有的应用程序都应该能够协同工作,可以使用TrueNAS UI轻松设置,并且最重要的是,为普通用户提供了足够多的选项来根据自己的喜好进行调整。 开始使用TrueCharts 可以使用TrueNAS SCALE目录列表在TrueNAS SCALE安装TrueCharts。 有关更多信息: : 常问问题 创建问题之前,请参考我们的和。 您的问题很有可能以前已经被报告过! 开始创建应用 由于基于Helm图表,因此创建图表需要一定的习惯。 在挑战创建SCALE Apps之前,我们强烈建议您先创建/修改Helm Charts的专有
SMB Signing not Required
09-19 6008
1. 漏洞报告 2. 漏洞介绍 SMB是一个协议名,全称是Server Message Block(服务器消息快协议),用于在计算机间共享文件、打印机、串口等,电脑上的网上邻居由它实现。SMB签名SMB协议的安全机制,也称为安全签名SMB签名旨在帮助提高SMB协议的安全性,为了防止在传输过程修改SMB数据包,SMB协议支持SMB数据包的数字签名。所有Win...
Windows服务器关于SMB签名未配置的漏洞处理
最新发布
m0_51195633的博客
02-20 167
SMB签名未配置漏洞是指:远程SMB服务器上未配置需要签名,这将导致未经身份验证的远程攻击者可以利用此漏洞SMB服务器进 行间人攻击。 风险等级: 影响端口:445 加固建议:在windos主机的smb配置配置强制执行消息签名
SMB Signing not required漏洞修复方法
par@ish的博客
05-01 9636
漏洞名称:SMB Signing not required 远端SMB服务器上未启用签名。 未经身份验证的远程攻击者可以利用这一点对SMB服务器进行间人攻击。 nessus scan结果如下: Description Signing is not required on the remote SMB server. An unauthenticated, remote attacker can exploit this to conduct man-in-the-middle attacks again
smb漏洞跟Unsupported Windows OS (remote)漏洞怎么解决
Aanswer_的博客
07-30 6304
漏洞名称 :SMB Signing not required SMB需要签名 险级别: 漏洞描述: 远程SMB服务器上不需要签名。未经身份验证的远程攻击者可以利用这一点对SMB服务器进行间人攻击。 参考资料 https://support.microsoft.com/en-us/help/887429/overview-of-server-message-block-signing http://technet.microsoft.com/en-us/library/cc731957.aspx
版本永恒之蓝_新永恒之蓝?微软SMBv3高漏洞(CVE20200796)分析复现
weixin_36203080的博客
01-06 654
更多全球网络安全资讯尽在邑安全描述重要 2020 年 3 月 12 日 — Microsoft 发布了 CVE-2020-0796 | Windows SMBv3 客户端/服务器远程执行代码漏洞,以解决此漏洞。有关此问题的详细信息(包括可用安全更新的下载链接),请查看 CVE-2020-0796。Microsoft 发现,Microsoft 服务器消息块 3.1.1 (SMBv3) 协议...
ESP8266加LED做一个闪光灯
weixin_45442198的博客
06-25 2343
代码如下(示例):/* 文件名称:blink.ino 功能:ESP8266闪灯示例*/ #define PIN_LED 5 //5是端口D1 #define KEY_FLASH 13void setup() { //设置PINLED为输出模式 pinMode(PIN_LED, OUTPUT); //初始关闭LED灯 di
SMB Signing not required
weixin_40133285的博客
04-26 3362
SMB Signing not required 操作系统版本:Windows Server 2012 R2 通过Windows+R打开运行或在Windows Terminal、Windows PowerShell打开本地安全策略 安全设置-->本地策略-->安全选项-->Microsoft 网络服务器:对通信进行数字签名(始终)-->已启用-->确定 Description Signing is not required on the remote SMB server. An unauthentica
需要SMB签名漏洞解决方案
spring_is_coming的博客
10-21 2129
SMB签名漏洞
Truenas scale 安装 Tailscale 内网穿透远程连接SMB服务
Kasen‘s experience on reserch & study
09-16 2138
没有公网IP,不在同一个路由器,没法远程连接电脑或者服务器。之前一直使用 zerotier, 但是这次使用 Truenas scale 安装 zerotier,Outlook邮箱注册 -> 下载台式机软件,安装 -> Tailscale 网页账户登录 -> Setting -> Keys。登录Tailscale查看设备,一个是电脑的,一个是Truenas的。重启 Truenas scale 后,IP没有改变,任然可以访问。转投 tailscale。注意勾选 Host Network。
Samba配置解说【文案版】
weixin_44523175的博客
11-02 641
Samba是在Linux和UNIX系统上实现SMB协议的一个免费软件,由服务器及客户端程序构成。SMB(Server Messages Block,信息服务块)是一种在局域网上共享文件和打印机的一种通信协议,它为局域网内的不同计算机之间提供文件及打印机等资源的共享服务。SMB协议是客户机/服务器型协议,客户机通过该协议可以访问服务器上的共享文件系统、打印机及其他资源。通过设置“NetBIOS over TCP/IP”使得Samba不但能与局域网络主机分享资源,还能与全世界的电脑分享资源。
middleware:TrueNAS COREEnterpriseSCALE间件Git存储库
03-19
TrueNAS CORE / Enterprise / SCALE主要资源库 想贡献或合作吗?加入我们的。 重要的提示: 这是freenas的主要分支,用于创建和测试TrueNAS CORE / Enterprise和TrueNAS SCALE Nightly构建。如果要对TrueNAS的下一个...
css3的transformscale缩放详解
09-25
主要介绍了css3的transformscale缩放的使用方法,需要的朋友可以参考下
SCALE驱动器在100kVA电力机车辅助变流器的应用
12-09
摘 要: 本文介绍了CONCEPT公司新一代高性能SCALE驱动器的特点、工作原理以及驱动电路...本文在100kVA电力机车辅助变流器设计,采用了以瑞士CONCEPT公司的高性能双通道SCALE驱动器2SD315AI为核心的驱动电路,达到了良
ChronoHelper:Unity Editor插件,允许在PlayMode控制Time.timeScale
05-22
需要以慢动作检查游戏的可疑时刻时,或者相反,最好跳过快进不感兴趣的部分时,它变得非常方便。 用法 使用“窗口/ ChronoHelper”菜单打开ChronoHelper。 要更改当前的时间刻度,请使用滑块或快捷按钮。 ...
Ubuntu Samba高安全漏洞修复
par@ish的博客
03-01 2014
最近处理了一个Ubuntu Samba安全漏洞修复案例 漏洞信息: The version of Samba running on the remote host is 4.13.x prior to 4.13.17, 4.14.x prior to 4.14.12, or 4.15.x prior to 4.15.5. It is, therefore, affected by multiple vulnerabilities: Out-of-bounds heap read/write vulnera
nessus漏扫修复记录
superbfly的专栏
11-10 2037
snmp SNMP Agent Default Community Name (public) 修改配置文件/etc/snmp/snmpd.conf将Public改成其他具有复杂度的字符串如Admin123...,保存后重新启动SNMP服务即可。 [root@localhost ~]# nmap -sU -p161 -script=snmp-brute 127.0.0.1 Starting Nmap 6.40 ( http://nmap.org ) at 2021-11-09 07:35 CST N
CVE-2017-7494 Linux Samba named pipe file Open Vul Lead to DLL Execution
weixin_33840661的博客
05-30 347
catalogue 1. 漏洞复现 2. 漏洞代码原理分析 3. 漏洞利用前提 4. 临时缓解 &amp;&amp; 修复手段   1. 漏洞复现 1. SMB登录上去 2. 枚举共享目录,得到共享目录/文件列表,匿名IPC$将会被跳过 3. 从过滤目录,检测是否可写(通过创建一个.txt方式实现) 4. 生成一个随机8位的so文件名,并将paylaod写入so...
msf复现利用永恒之蓝【MS17_010】CVE-2017-0144漏洞
qq_58873970的博客
07-28 215
SMB是一个协议服务器信息块,它是一种客户机/服务器、请求/响应协议,通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源,电脑上的网上邻居就是靠SMB实现的;SMB协议工作在应用层和会话层,可以用在TCP/IP协议之上,SMB使用TCP139端口和TCP445端口。漏洞复现是一个排错的过程,要善于利用互联网这个工具进行排难。
TrueNAS scale ACL
06-10
TrueNAS Scale 是一个基于 Linux 的网络附加存储 (NAS) 操作系统,支持 POSIX Access Control Lists (ACLs)。POSIX ACLs 提供了一种定义比传统 Unix 文件权限更细粒度的文件和目录权限的方式。使用 POSIX ACLs,可以将权限分配给特定的用户和组,为新创建的文件和目录设置默认权限,并定义子对象的继承规则。TrueNAS Scale 支持 NFSv4 和 SMB 协议,这允许客户端使用 POSIX ACLs 进行访问控制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

shandianchengzi

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值