SMBv1脆弱性対策(サーバ:Linux、クライアント:Win10)


仕事がらSMBv1脆弱性対策を実施する検証を兼ねて、自宅鯖に実装してみました。
比較的簡単なんですが、忘れそうなので備忘録として、書いておきまっする!(笑)

【環境】
・サーバ: Ubuntu 11.04
※かな〜り古いですが、最新の場合でも設定にそんなに差がないかと思います。
・クライアント: Win10 Pro 64bit

【設定】

・サーバ
① /etc/samba/smb.confの編集
[global]配下に下記を追記
min protocol = smb2
②smb(d)とnmb(d)を再起動

・クライアント
① コマンドプロンプトで、sc.exe qc lanmanworkstationで状況確認
MRxSmb10がSMBv1で、MRxSmb20がSMBv2が有効となっています。
環境によって、表示状況は変わります。
よって、MRxSmb10がSMBv1を無効にします。

②「システムツール」→「コントロールパネル」→「プログラム」→「プログラムと機能」→「Windowsの機能の有効化または無効化」で無効化
SMB 1.0/CIFS ファイル共有のサポート」のチェックを外す

③再起動後、コマンドプロンプトで、sc.exe qc lanmanworkstationで状況確認
MRxSmb20がSMBv2のみが有効となっています。

【接続確認】
クライアントからNextFTPなどでサーバに接続できるか確認します。

・サーバのsambaのlogで確認
/var/lob/samba/log.xxx
xxxは環境によって変わります。

・クライアントからドライブ割り当てしたフォルダを開きます。

無事、接続不可となりました。
なお、僕は基本、ftpツールでアクセスしているので、現状OKです。

ただ、古いサーバ・クライアントを使っているとsamba接続できなくなるので、正直微妙です(笑)

よって、切り戻しています(;^ω^)(笑)

 結局、FWでアクセス制限しました(笑)
下記はどっちでも、どちらも設定しても問題ありません!

① /etc/samba/smb.confの編集
[global]
# 許可するIPレンジとルータを除外
host allow = 192.168.1. localhost EXCEPT 192.168.1.1

②ufwに追加
ufw allow from 指定したいIPアドレス to any app samba
但し、下記のポートを纏めたものなので、ポート番号で指定する場合は下記を指定してください。
137/udp
138/udp
139/tcp
445/tcp


 
 

コメント

コメントを投稿

このブログの人気の投稿

Root化 for Galaxy S5 (SC-04F) ※自己責任

イメージ
かれこれ、Docomo 2014年夏モデルで3年を過ぎて、電池の持ちも悪くなり、MNPも検討していたので、一層のこと ”人柱” (笑)がてら、Root化してみました。 よって、忘れないように、備忘録として、ブログに投稿します。 どこでも書かれていますが、実施する人は「 自己責任 」になります。 なお、こちらの方法でも、おサイフケータイはRoot化すると対応できていないので、使えません。よって、僕は、 Rootで必要な処理をした後、NonRootに戻しています 。 ●必要な環境準備(PCはWin10利用) odin3のダウンロード ※度々、バージョン変わりますが、最新バージョンでほぼほぼOKです。 その他のファイルは、下記に 7z で圧縮(約2.78GB)して、纏めました。 Galaxy S5(SC-04F) Root用 ※ 圧縮・解凍ソフト 7-Zip ※2017年11月現在のものです。最新情報はネットサーフィンで探してください。 ●端末環境 ・キャリア/製品名:Docomo Galaxy S5 ・モデル番号:SC-04F ・Androidバージョン:6.0.1 ※再焼き後のバージョン ・ベースバンドバージョン:SC04F0MU1XQH1 ※再焼き後のバージョン 【手順】 ●microSDカード 1. 上記の圧縮を解凍 2.  「 SuperSU 」をmicroSDの「ローカル」などに保存 ・ファイル名:SR4-SuperSU-v2.82-SR4-20170918204844.zip ※Root後、root権限を取得するために必要になります。 3. (必要な方、といっても普通は必要)「 Xposed Installer 」もmicroSDの「ローカル」などに保存 ・ファイル名:xposed-v87.1-sdk23-arm-custom-build-by-wanam-20161125.zip ●端末 1. 電源OFF 2. 「音量 下げ +ホームボタン+電源」を同時押しして「 Recovery 」を起動 3. 「ボリュームアップ」で「続ける」 ●PCから Root用ROM (仮称で、正式なROM)を焼く 1. PCから odin3 を起動 2. 「 Recovery
続きを読む

【NTTモデムの経年劣化による交換】VH-100「3」E「N」からVH-100「4」E「N」へ

イメージ
VH-100「3」E「N」は2004年発売で2021年まで持ちましたが、いよいよ経年劣化で交渉したので、NTTに電話して交換して貰いました。 failランプが「赤く」点滅して、電源ケーブルを抜き差ししても症状が改善されず、インターネット接続できなくなりました。 NTT東日本連絡先: 0120-000-113 ※繋がり辛いですが、待ちます(笑) ※慣れたもので対応は早くて良かったです(^ω^) ※ 当日10時ぐらいに電話したら、当日の19時までにVH-100「4」E「N」がクロネコヤマト宅急便で宅配されましたナイス!(^ω^) 【事象】VH-100「3」E「N」 failランプ「赤く」点滅 【交換後改善】VH-100「4」E「N」 ※作業はいたって簡単です。元の通りにケーブルを抜き差しします。 ※僕は、折角なので、同梱のケーブルにケーブル交換もしました。 ※ブロードバンドルータ側には問題はないので、設定変更不要です。 ※横置きにも対応していました(^ω^) 【交換前機種の返却】VH-100「3」E「N」 同梱されている手続きを参考に、送り状に「送り主」を記載して、僕はセブンイレブンで出荷手続きしました。「着払い」です(^ω^) たまたま、VH-100「3」E「N」の箱が残っていたので、箱に入れて送りました。 ちなみに、VH-100「4」E「N」の箱は一回りほど小さくなっています。 交換後、すぐに問題なくインターネットに繋がっています(^▽^)/ ツイート   @team_sss999さんをフォロー  
続きを読む

2024-205シーズンのアースホッパーを考えたみた!

2024-2025シーズンのアースホッパの料金が発表され、 レギュレーションが変わった ので、考えてみました(笑) ・レギュレーション: チケット制導入 アースホッパーのサイト 値上げで価格も大幅増ですが、ま~各スキー場が値上げしているので仕方ないにしても、実は、 僕らの使い方だとあまり影響がないです( ̄ー ̄)ニヤリ 安いにこしたことはないですけど。。。(笑) 【PRO】79,800円 迷わずPROを買っておきましょう。その他のカテゴリは 興味がない ので、このブログではノーコメントです(笑) 【参考】 (1)下記がベース単価です。 先シーズン37回消化: @2,157 最低30回消化: @2,660 [かなり重要ポイント ] チケット数で計算するより、 スキー場数 で計算すると例え、2チケット使うスキー場でもかなり格安で計算できます。この特権は PRO にしかできません。 (2) チケット2枚分が必要なスキー場 発表の正規単価との比較 ※早割は考慮していません。 ※アースホッパーは@2,660×2=5,320円で計算しています。 (a)ハイシーズン           1日券 4時間券 アースホッパー キロロスノーワールド           8,000 6,800 5,320 ロッテアライリゾート           7,500 6,000 5,320 赤倉観光リゾートスキー場             6,500   5,000   5,320 つがいけマウンテンリゾート           7,500           5,320 白馬コルチナスキー場/白馬乗鞍温泉スキー場   5,800   5,000   5,320 結論:赤観と白馬コルチナ/白馬乗鞍の4時間券で確実に逆ザヤですが、ま~ハイシーズンならば余裕で4時間超えますね! (b)春シーズン           1日券 アースホッパー キロロスノーワールド           5,000 - ロッテアライリゾート           5,000 2,660 赤倉観光リゾートスキー場           4,000 - つがいけマウンテンリゾート
続きを読む