我正在 debian 机器上设置旧的网络扫描仪,但它使用 smb1 进行身份验证
ntlm auth = yes
在全局设置下。我知道 smb1 是不安全的,所以我猜测是否可以选择仅对我用来接收来自计算机的扫描的共享使用这种身份验证。是否可以?谢谢。
答案1
您是指 NTLM v1 身份验证(ntlm auth = yes别名ntlm auth = ntlmv1-permitted)还是 SMB 协议 v1(server min protocol = NT1)?使用足够新的 Samba 版本,您可能需要这两个设置。
(现代默认值例如在 Debian 11 中是ntlm-auth = ntlmv2-only和server min protocol = SMB2_02。)
不幸的是,它们(G)在smb.conf(5)手册页中都被标记为 ,表明这些设置只能在[global]配置部分中指定。这可能是因为这些设置甚至影响客户端和服务器之间的对话前客户端可以告诉服务器它想要访问哪个共享。
由于 SMBv1 协议的弱点是 WannaCry 勒索软件能够如此快速和广泛传播的原因,因此当今具有安全意识的管理员对其的态度往往是“用火杀死 SMBv1例如,您可能想要设置一个虚拟机,其中包含一个独立的 Samba 服务器,专用于为旧扫描仪和任何其他类似的 SMBv1 设备提供服务。
如果您想要最大程度的安全性,则假设恶意用户可能会使用扫描仪的用于插入恶意软件注入器的网络连接。