[Eisfair] Problem mit Samba 3.2.0

[Thomas Bork]

Am 07.06.2017 um 16:08 schrieb B. Sprenger:

> Dann war es das naheliegenste mal einen Blick in die Doku zu werfen.

Aus der mitgelieferten txt-Dokumentation (online erst sichtbar, wenn mal 
wieder eine Komplett-Dokumentation gebaut wird):

    SAMBA_COMPAT
           Kompatibilitaetseinstellung fuer sehr alte und unsichere Clients
           und Server.

           Neuere Samba-Versionen erhoehen nach und nach die Sicherheit mit
           sehr viel restriktiveren Einstellungen. Das kann zu Problemen
           bei der Verbindung mit alten Clients und Servern fuehren. Wenn

           SAMBA_COMPAT='yes'

           konfiguriert wird, werden spezielle Optionen gesetzt, um
           Verbindungen von diesen alten Clients und zu diesen alten
           Servern zuzulassen. Dabei ist zu beachten, dass man dadurch
           seinen Server sehr viel angreifbarer macht. Es sollte also
           zuerst immer erst versucht werden, mit der Standardeinstellung
           'no' zu leben und zu testen, ob alles normal funktioniert.
           Leider gibt es dabei einen Haken: Wenn die Standardeinstellung

           SAMBA_COMPAT='no'

           gesetzt ist, loescht Samba unter Umstaenden den alten
           Lanman-Hash (LM), der von Versionen von Windows bis zu Windows
           Me verwendet wird. Er wird nur aus Gruenden der
           Abwaertskompatibilitaet auch von neueren Windows-Versionen
           unterstuetzt, aber fuer die Authentifizierung von Konten nicht
           verwendet. Gibt es in der Samba-Passwort-Datenbank einen
           Lanman-Hash, ist

           SAMBA_COMPAT='no'

           und wird das Samba-Passwort geaendert, so wird das
           Lanman-Passwort geloescht und es existiert nur noch ein
           NTLM-Passwort. Damit ist dann von einem alten Client keine
           Anmeldung mehr moeglich, wenn der nur LM kann, bis wieder

           SAMBA_COMPAT='yes'

           und das Samba-Passwort neu gesetzt wurde.

           Standardeinstellung: SAMBA_COMPAT='no'

> Vielen Dank erst mal für die Auflistung der "Sicherheitslücken".
> Für mich sehen die alle nicht so risikobehaftet aus.

Wie Du meinst. Hast Du Dich mal mit Tools zum Knacken von Passwörtern 
beschäftigt? LM-Hashes sind schon lange obsolet. Kurzer Abstecher:

https://www.heise.de/security/artikel/Mit-roher-Gewalt-270318.html

Viele Angriffsszenarien beruhen auf Optionen, die in neueren 
Samba-Versionen schon lange nicht mehr gesetzt sind. Bisher habe ich 
unser Paket immer so kompatibel wie möglich zu alten Clients und Servern 
gehalten - um den Preis höherer Angriffsfläche.

> Würde es Sinn machen, diese Optionen (von mir) einzeln auf 
> Verträglichkeit mit XP zu testen und dann nur diese zu setzen die 
> wirklich notwendig sind?

Mach ruhig, wird aber nichts ändern. Letztendlich stand ich vor der 
Wahl, sämtliche Optionen als Schalter einzubauen (sehr blöd) oder alles 
(alle alten Clients und Server) auf einmal zu erschlagen, damit alte 
Clients/Server nach Bedarf noch funktionieren, User ohne aber in den 
Genuss einer höheren Sicherheit kommen...

-- 
der tom
[eisfair-team]