SMBv1脆弱性対策(サーバ:Linux、クライアント:Win10)


仕事がらSMBv1脆弱性対策を実施する検証を兼ねて、自宅鯖に実装してみました。
比較的簡単なんですが、忘れそうなので備忘録として、書いておきまっする!(笑)

【環境】
・サーバ: Ubuntu 11.04
※かな〜り古いですが、最新の場合でも設定にそんなに差がないかと思います。
・クライアント: Win10 Pro 64bit

【設定】

・サーバ
① /etc/samba/smb.confの編集
[global]配下に下記を追記
min protocol = smb2
②smb(d)とnmb(d)を再起動

・クライアント
① コマンドプロンプトで、sc.exe qc lanmanworkstationで状況確認
MRxSmb10がSMBv1で、MRxSmb20がSMBv2が有効となっています。
環境によって、表示状況は変わります。
よって、MRxSmb10がSMBv1を無効にします。

②「システムツール」→「コントロールパネル」→「プログラム」→「プログラムと機能」→「Windowsの機能の有効化または無効化」で無効化
SMB 1.0/CIFS ファイル共有のサポート」のチェックを外す

③再起動後、コマンドプロンプトで、sc.exe qc lanmanworkstationで状況確認
MRxSmb20がSMBv2のみが有効となっています。

【接続確認】
クライアントからNextFTPなどでサーバに接続できるか確認します。

・サーバのsambaのlogで確認
/var/lob/samba/log.xxx
xxxは環境によって変わります。

・クライアントからドライブ割り当てしたフォルダを開きます。

無事、接続不可となりました。
なお、僕は基本、ftpツールでアクセスしているので、現状OKです。

ただ、古いサーバ・クライアントを使っているとsamba接続できなくなるので、正直微妙です(笑)

よって、切り戻しています(;^ω^)(笑)

 結局、FWでアクセス制限しました(笑)
下記はどっちでも、どちらも設定しても問題ありません!

① /etc/samba/smb.confの編集
[global]
# 許可するIPレンジとルータを除外
host allow = 192.168.1. localhost EXCEPT 192.168.1.1

②ufwに追加
ufw allow from 指定したいIPアドレス to any app samba
但し、下記のポートを纏めたものなので、ポート番号で指定する場合は下記を指定してください。
137/udp
138/udp
139/tcp
445/tcp


 
 

コメント

コメントを投稿

このブログの人気の投稿

Root化 for Galaxy S5 (SC-04F) ※自己責任

イメージ
かれこれ、Docomo 2014年夏モデルで3年を過ぎて、電池の持ちも悪くなり、MNPも検討していたので、一層のこと ”人柱” (笑)がてら、Root化してみました。 よって、忘れないように、備忘録として、ブログに投稿します。 どこでも書かれていますが、実施する人は「 自己責任 」になります。 なお、こちらの方法でも、おサイフケータイはRoot化すると対応できていないので、使えません。よって、僕は、 Rootで必要な処理をした後、NonRootに戻しています 。 ●必要な環境準備(PCはWin10利用) odin3のダウンロード ※度々、バージョン変わりますが、最新バージョンでほぼほぼOKです。 その他のファイルは、下記に 7z で圧縮(約2.78GB)して、纏めました。 Galaxy S5(SC-04F) Root用 ※ 圧縮・解凍ソフト 7-Zip ※2017年11月現在のものです。最新情報はネットサーフィンで探してください。 ●端末環境 ・キャリア/製品名:Docomo Galaxy S5 ・モデル番号:SC-04F ・Androidバージョン:6.0.1 ※再焼き後のバージョン ・ベースバンドバージョン:SC04F0MU1XQH1 ※再焼き後のバージョン 【手順】 ●microSDカード 1. 上記の圧縮を解凍 2.  「 SuperSU 」をmicroSDの「ローカル」などに保存 ・ファイル名:SR4-SuperSU-v2.82-SR4-20170918204844.zip ※Root後、root権限を取得するために必要になります。 3. (必要な方、といっても普通は必要)「 Xposed Installer 」もmicroSDの「ローカル」などに保存 ・ファイル名:xposed-v87.1-sdk23-arm-custom-build-by-wanam-20161125.zip ●端末 1. 電源OFF 2. 「音量 下げ +ホームボタン+電源」を同時押しして「 Recovery 」を起動 3. 「ボリュームアップ」で「続ける」 ●PCから Root用ROM (仮称で、正式なROM)を焼く 1. PCから odin3 を起動 2. 「 Recovery
続きを読む

【NTTモデムの経年劣化による交換】VH-100「3」E「N」からVH-100「4」E「N」へ

イメージ
VH-100「3」E「N」は2004年発売で2021年まで持ちましたが、いよいよ経年劣化で交渉したので、NTTに電話して交換して貰いました。 failランプが「赤く」点滅して、電源ケーブルを抜き差ししても症状が改善されず、インターネット接続できなくなりました。 NTT東日本連絡先: 0120-000-113 ※繋がり辛いですが、待ちます(笑) ※慣れたもので対応は早くて良かったです(^ω^) ※ 当日10時ぐらいに電話したら、当日の19時までにVH-100「4」E「N」がクロネコヤマト宅急便で宅配されましたナイス!(^ω^) 【事象】VH-100「3」E「N」 failランプ「赤く」点滅 【交換後改善】VH-100「4」E「N」 ※作業はいたって簡単です。元の通りにケーブルを抜き差しします。 ※僕は、折角なので、同梱のケーブルにケーブル交換もしました。 ※ブロードバンドルータ側には問題はないので、設定変更不要です。 ※横置きにも対応していました(^ω^) 【交換前機種の返却】VH-100「3」E「N」 同梱されている手続きを参考に、送り状に「送り主」を記載して、僕はセブンイレブンで出荷手続きしました。「着払い」です(^ω^) たまたま、VH-100「3」E「N」の箱が残っていたので、箱に入れて送りました。 ちなみに、VH-100「4」E「N」の箱は一回りほど小さくなっています。 交換後、すぐに問題なくインターネットに繋がっています(^▽^)/ ツイート   @team_sss999さんをフォロー  
続きを読む

【Android 7.1.2(LineageOS14.1)】Root化 for Galaxy S5 (SC-04F) ※自己責任

イメージ
2017年11月にdocomoからmineoへMVNO移行する際に、 ”人柱” (笑)で、Root化しましたが、あれから2年、Android6.0.1では、徐々にAppも対応してくれなくなり、一旦、 Android 7.1.2に久々、Rootでアップデートしてみました 。 実際には、 GoPro Hero 8 を購入し、 GoPro AppがAndroid 6.0.1には対応していない ので、考えた次第です。がっ!僕の要件では2つの重大な問題があり、Android 6.0.1に戻した記録になります。 また、 @somainitさん に掲載頂いていたのに気づき、大変参考にさせて頂いたので、お礼を兼ねて、色々細かいところにはまったので、忘れないように、備忘録として、ブログに投稿します。 Galaxy S5 SC-04FにLineageOS 16.0をインストールしてみた 当然ですが今回も、実施する人は「 自己責任 」になります。 【結論】 1. Odin3で TWRPに対応している 「 SC04FOMU1XPH3 」(Android 6.0.1)のROMを先に焼いてからAndroid 7.1.2以上にアップデートします。合わせて、SuperSUとXposedフレームワークもインストールします。 ※下記に、 「 SC04FOMU1XPH3 」ROMのファイルリンクがあります。 [参照]  Root化 for Galaxy S5 (SC-04F) ※自己責任 2.TWRPで Wipe しないとインストールできません。 3.色々考えてみましたが、面倒なことしても Felicaは利用できそうにありません 。 但し、一瞬だけ利用してみた 直感的操作性は軽そう なので、文鎮覚悟できる方には有益かと思います。 僕の場合は、上記2つがネックで、android 6.0.1で折角、カスタマイズしたApp群を1つ1つインストール&設定には耐えられませんでした(;^ω^) 【Android 7.1.2(LineageOS14.1)の手順】 ●必要な環境準備(PCはWin10利用) odin3のダウンロード ※度々、バージョン変わりますが、最新バージョンでほぼほぼOKです。 ●端末環境 ・キャリア/製品名:Docomo Galaxy S5 ・モ
続きを読む