部分内容参考:等保测试问题——需要SMB签名(SMB Signing not Required) 以及 ChatGPT。
Truenas常用SMB服务,但默认并不开启SMB签名。这样具有中间人攻击的风险。
一、漏洞详情
1.1 漏洞报告
漏洞提示如下:
1.2 漏洞介绍
SMB是一个协议名,全称是Server Message Block(服务器消息快协议),用于在计算机间共享文件、打印机、串口等,电脑上的网上邻居由它实现。SMB签名是SMB协议中的安全机制,也称为安全签名。SMB签名旨在帮助提高SMB协议的安全性,为了防止在传输过程中修改SMB数据包,SMB协议支持SMB数据包的数字签名。所有Windows操作系统都支持客户端SMB组件和服务器端SMB组件。要利用SMB数据包签名,通信中涉及的客户端SMB组件和服务器端SMB组件必须启用或需要SMB数据包签名。如果服务器启用此设置,Microsoft网络服务器将不与Microsoft网络客户端通信,除非该客户端同意执行SMB数据包签名。同样,如果需要客户端SMB签名,则该客户端将无法与未启用数据包签名的服务器建立会话。默认情况下,在工作站,服务器和域控制器上启用客户端SMB签名。
SMB签名在性能上有一些权衡。如果网络性能对部署方案很重要,建议您不要使用SMB签名;如果要在高度安全的环境中使用SMB,建议您使用SMB签名。当启用SMB签名时,SMB将停止使用RDMA远程直接数据存取,因为最大MTU限制为1,394字节,这会导致邮件碎片和重组,并降低整体性能。
1.3 漏洞危害
SMB服务上不需要签名。未经身份验证的远程攻击者可以利用此攻击对SMB服务器进行中间人攻击。
1.4 漏洞监测方式
在可以访问自己的服务器的客户端,用nmap扫描一下服务器的ip:
# 返回有关SMB确定的SMB安全级别的信息
nmap -sS -sV -Pn -p 445 --script="smb-security-mode" <你的服务器的ip>
# 确定SMBv2服务器中的邮件签名配置
nmap -sS -sV -Pn -p 445 --script="smb2-security-mode" <你的服务器的ip>
如果出现下图所示Message signing enabled but not required
,说明存在漏洞:
二、漏洞解决方案
我参考的那篇博客的服务器是windows服务器,而我的是Truenas Scale,系统是Debian。
所以接下来详细讲一下 TrueNas Scale 中的修复方法。
2.1 打开 TrueNas Scale 管理界面的命令行
2.2 找到 smb 服务的配置文件
配置文件的文件名往往是 smb.conf
,或者smb4.conf
。它所在的目录是/etc
。
可以用如下指令查找:
find /etc/ -name "smb*"
我的是smb4.conf
。
2.3 编辑配置文件
使用nano打开配置文件:
nanno /etc/smb4.conf
找到或添加以下行到[global]
部分中
server signing = mandatory
该行配置了强制要求所有的客户端使用消息签名进行通信。如果客户端不支持消息签名,则无法连接到SMB服务。注意,该配置只能与SMBv3一起使用。
保存并关闭文件。
2.4 重新启动Samba服务以使更改生效
sudo systemctl restart smbd
现在,SMB服务应该已经配置为强制要求客户端使用消息签名进行通信。请注意,如果你的客户端不支持消息签名,它将无法连接到SMB服务。在这种情况下,你需要升级客户端以支持消息签名,或者将SMB服务配置为不要求使用消息签名。
2.5 再次检查漏洞是否存在
# 返回有关SMB确定的SMB安全级别的信息
nmap -sS -sV -Pn -p 445 --script="smb-security-mode" <你的服务器的ip>
# 确定SMBv2服务器中的邮件签名配置
nmap -sS -sV -Pn -p 445 --script="smb2-security-mode" <你的服务器的ip>
解决了。