none
Nelze se připojit na SAMBA disk RRS feed

 > 

  • Dotaz

  • Question
    Přihlásit se a hlasovat
    0
    Přihlásit se a hlasovat

    Zdravím všechny, už jsem vypotřeboval všechny pokusy, tak snad se dočkám pomoci zde :-)

    Máme přes internet přístupný SAMBA disk pod linuxem, namapování disku a vložení přístupových údajů z Windows 7, Windows 8 funguje bez problémů (z práce, domova ...). Pod Windows 10Pro nám toto namapování fungovalo ještě nedávno. (nyní byla dohrána nějaká aktualizace linuxu a přístup nechodí - bližší info zatím bohužel nemám).

    Dříve stačilo doinstalovat do Win10 podporu SMB1 a mapdisk normálně fungoval, nyní se objevuje po vložení přístupových údajů : kód chyby 0x80070035 - Cesta v síti byla nenalezena.

    Zkoušel jsem vypnout FW, AntiVir, odinstalovat a znovu doinstalovat podporu SMB1, a pak už klasicky na testovacím kompu další věci : (ověřování NTLM jinak, Enable Insecure Guest Logons, Netbios nad TCPIP ... všechno odsud http://woshub.com/error-code-0x80070035-network-path-not-found-windows-10/).

    V logu SMB jsem nalezl jediný záznam ... čísla jsem změnil:
    SMB client log (Microsoft-Windows-SMBClien
    Nepovedlo se navázat síťové připojení.
    Chyba: Vstupně-výstupní požadavek byl zrušen.
    Název serveru: 37.AAA.BBB.CCC
    Adresa serveru: 37.AAA.BBB.CCC:445
    Název instance: \Device\LanmanRedirector
    Typ připojení: Wsk

    Máte někdo tipy co vyzkoušet pro zprovoznění pod Windows 10 ? Děkuji !


    • Upravený KysslingV úterý 28. ledna 2020 11:35 text
    úterý 28. ledna 2020 11:31
    |

Odpovědi

Všechny reakce

  • Question
    Přihlásit se a hlasovat
    0
    Přihlásit se a hlasovat

    Ty provozuješ nebezpečné a nešifrované SMB1 přes internet? Proboha.... SMB1 má mnoho známých zranitelností, které nikdy nebyly a nikdy nebudou opraveny, viz například velmi známý a rozšířený ransomware WannaCrypt. SMB1 nepatří ani do interní (lokální) sítě - proto je také ve výchozím stavu zakázané. A do internetu nepatří ani SMB3.

    Těžko ale takhle radit cokoliv jiného, než přejít na SMB3 a spojení povolit jen v rámci interní sítě (přes VPN). Pokud to ale doteď fungovalo a přestalo to fungovat po nějaké změně na serveru, pak pátrej na tom serveru, co se změnilo.

    úterý 28. ledna 2020 12:10
    |
  • Question
    Přihlásit se a hlasovat
    0
    Přihlásit se a hlasovat

    SMB pres internet je pekna prasarnicka :)

    Proc nezvolit neco standardniho? Treba WebDAV - na linuxu urcite nastavis, sifruje se jako standardni HTTPS, Windows to podporuji.

    úterý 28. ledna 2020 13:35
    |
  • Question
    Přihlásit se a hlasovat
    0
    Přihlásit se a hlasovat

    Jedete tedy pouze pres 445/TCP (Bez NetBIOSu)? Co na problem rika spravce Samby na Linuxu? Jake AUTENTIKACNY (LM/NTLM..) protokoly jsou na Sambe a na klientu zapnute a povolene? Zkusil sis komunikaci odchytit Wiresharkem - na SMB ma parser

    MP

    P.S. toto je bozi trest. divim se, ze prisel tak pozde.



    středa 29. ledna 2020 10:31
    |
    Moderátor
  • Question
    Přihlásit se a hlasovat
    0
    Přihlásit se a hlasovat

    Já souhlasím, doufám že Wedos (https://kb.wedos.com/cs/wedos-disk/wedos-disk-pripojeni-pres-smb-cifs/) jede tedy pod SMB2 pokud tam přejdeme.

    Může mě někdo sdělit jak je to implicitně ze strany Win7 ? Ten se tedy připojí pod SMB1 bez problémů a měl bych trvat u externisty na vypnutí SMB1 u Samby ?

    Ještě drobnost chápu správně, že se jedná o nebezpečnost dat "na sambě" a když mám disk namapován např. z Win7 tak nikterak nebořím bezpečnost stanice, ale jen dat na cílové Sambě ...
    Ta Samba je využívaná jen pro "veřejná" data a jsou tam starší šifrované zálohy.


    • Upravený KysslingV středa 29. ledna 2020 13:35 úprava
    středa 29. ledna 2020 13:23
    |
  • Question
    Přihlásit se a hlasovat
    0
    Přihlásit se a hlasovat

    Z pohledu bezpečnosti je ohrožen server a všechna data na něm, uživatelský účet použitý pro přihlášení na SMB a vše, co se přenáší.

    SMB bez ohledu na verzi by nikdy nemělo být publikované do internetu. Tedy ani SMB2. Ano, SMB3 je lepší než SMB2 a SMB2 je lepší než SMB1, ale žádné SMB by nikdy nemělo být dostupné z veřejného internetu. Jen z lokální sítě, tedy přes VPN.

    středa 29. ledna 2020 14:12
    |
  • Question
    Přihlásit se a hlasovat
    0
    Přihlásit se a hlasovat

    Vzdyt uz ani Microsoft leta nenabizi pres smb sve verejne archivy (/pub/peropsys... si jeste matne pamatuju z minuleho tisicileti)

    Nahodte si ipsec. To je na par kliknuti.

    MP

    středa 29. ledna 2020 18:55
    |
    Moderátor
  • Question
    Přihlásit se a hlasovat
    0
    Přihlásit se a hlasovat

    Moc děkuji za doporučení, takže abych tomu úplně rozuměl - prostě se zaručením rozumné bezpečnosti nelze namapovat disk "odněkud z cloudu" na jméno+heslo ať je tam SMB jaké chce a jediná rozumná varianta je skrz "VPN" ?

    Tomu jsem se chtěl kdysi vyhnout, neměl jsem v úmyslu poskytnout externistům vůbec žádný přístup k nám a dali jsme "malou sambu" k dodavateli ... Důvodem který trvá je, že nechci naší linku zahlcovat daty, instalovat Zyxel VPN SecuExtender lidem a učit je jak se přihlásit/odhlásit instalovat jim aktualizace a řešit s nimi kvůli takové drobnosti další možné problémy ... (když tedy budou data u nás).

    A když nebudou data u nás, budou mít někteří uživatelé SecuExtender pro připojení do naší VPN a další přihlášení do jiného VPN kvůli jednomu datovému disku ...

    To je šílený nejde to zjednodušit ?

    čtvrtek 30. ledna 2020 14:28
    |
  • Question
    Přihlásit se a hlasovat
    0
    Přihlásit se a hlasovat

    Nejdriv je treba nadefinovat, co se vlastne chce. To zatim z celeho popisu neni vubec zrejme. Motaji se tady interni a externi uzivatele, vpn, server....

    Takze bychom asi radi slyseli slovni zadani potreb. Napr: hledam misto, na ktere mohou pristupovat jak nasi intreni uzivatele, tak externi dodavatele, potrebujeme tam i zapisovat a sdilet data. Mozna by bylo dobre i sdelit duvod: vymenujeme si vykresy s externim dodavatelem...

    Nebo neco v tom duchu.

    Protoze pokud je to tak, jak jsem to nadefinoval ja, staci na to treba onedrive/googledrive

    čtvrtek 30. ledna 2020 14:47
    |
  • Question
    Přihlásit se a hlasovat
    0
    Přihlásit se a hlasovat

    Dobrý den, já vám za ten čas pane Tišer pak pošlu láhvinku něčeho dobrého ...

    Co potřebuji : aby lidé u kterých nedokážu zajistit jaký mají systém (antiviry, aktualizace) měli namapovaný disk ve Windows. (pokud vím google drive nejde namapovat jako písmeno disku - potřebujeme to kvůli starším VBA makrům které potřebují disk např.  X).

    Základ je naprostá jednoduchost pro uživatele a rychlost přístupu. (tedy "pokud možno" ne nejdřív musíte pustit tohle, přihlásit se tamhle a kliknout vlevo dole ...:-). Je třeba počítat i s tím, že někdo již Google Drive má pro své soukromé účely.

    Na tom disku potřebuji mít možnost  zajistit také základní uživatelská práva (někdo vidí jen určité složky).

    čtvrtek 30. ledna 2020 18:11
    |
  • Question
    Přihlásit se a hlasovat
    0
    Přihlásit se a hlasovat

    OneDrive pouziva WebDAV a LZE jej mapovat jako pismeno disku

    O 600613 bych zde nemluvil, at nedopadnes jako sesivanej ve sprtanskem lokale :)

    MP

    čtvrtek 30. ledna 2020 18:51
    |
    Moderátor
  • Question
    Přihlásit se a hlasovat
    0
    Přihlásit se a hlasovat

    Optimální bych viděl cloud. Neznám přesně ten scénář, jestli je to jednorázovka nebo dlouhodobější spolupráce, ale u malých i velkých firem se to typicky řeší cloudem, kde i pro externí lidi jsou schopni zajistit dostatečnou bezpečnost ověření a samozřejmě i ukládaných dat. Přistupovalo by se tam přes webový prohlížeč (ten snad umí používat dnes již každý :-) ) nebo přes synchronizačního klienta (u externích lidí nedoporučuji).

    Pokud trváte na sdíleném disku, tak bych naopak na cloudu nešel. I když to technicky OneDrive umí, je to dost nespolehlivé. Pak bych to opravdu řešil přes VPN. Nemusí to být nutně nějaký Zyxel, se kterým se skutečně budete jen štvát, ale může to být třeba SSTP, která je součást Windows - nemusíte instalovat nebo aktualizovat žádného klienta a konfiguraci můžete udělat hromadně vzdáleně (Intune/SCCM) nebo lidem poslat provisioning package a oni si to jedním kliknutím nakonfigurují sami.

    pátek 31. ledna 2020 7:29
    |
  • Question
    Přihlásit se a hlasovat
    0
    Přihlásit se a hlasovat
    Asi jsem v pátek natvrdlej ale co je to 600613 ...
    pátek 31. ledna 2020 12:06
    |
  • Question
    Přihlásit se a hlasovat
    0
    Přihlásit se a hlasovat

    Tak nakonec jsem se rozhodl jít cestou VPN ... Alespoň budu/-eme mít větší pocit sucha a bezpečí.

    pátek 31. ledna 2020 14:11
    |
  • Question
    Přihlásit se a hlasovat
    0
    Přihlásit se a hlasovat

    Uplne by stacilo zabalit ten 445/TCP traffic do IPSec. Od toho je.

    Ale VPN poskytne vice moznosti

    MP

    pátek 31. ledna 2020 15:09
    |
    Moderátor
  • Question
    Přihlásit se a hlasovat
    0
    Přihlásit se a hlasovat

    Ono to není jen o "pocitu sucha a bezpečí", ona je to realita, viz teď čerstvá další kritická zranitelnost SMB https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200005. SMB prostě nikdy nepatří publikovat do internetu.

    To je tak jako dodatek k tématu, protože jsem si na to vzpomněl :-)

    úterý 17. března 2020 8:11
    |