[Samba-it] Badlock, 'ntlm auth = no' e ntlm_auth...

[Piviul]

Marco Gaiarin ha scritto il 05/05/2016 alle 12:49:
> Mandi! Piviul
>   In chel di` si favelave...
> 
>>> 	ntml auth = no
>>> è necessario. 
>> Veramente qui[*] non dice così.
> 
> Dove scusa? 
in effetti sono un po' stato ingannato da:

Affected versions of Samba are:
    3.6.x,
    4.0.x,
    4.1.x,
    4.2.0-4.2.9,
    4.3.0-4.3.6,
    4.4.0
Earlier versions have not been assessed.

Da cui avevo arguito che le versioni successive a quelle citate non sono
affette dal baco...

Anche perché più avanti leggo anche "How Badlock Was Discovered and
Fixed[¹]" da cui ho arguito ancora che il baco è stato risolto...

Comunque io non mi preoccuperei più di tanto; per quanto riguarda il
MITM attack in effetti non mi sembra così preoccupante: "These man in
the Middle attacks for smb file servers are well known for decades"; per
il DOS attack... chi ha una rete windows esposta in internet?

> Ma hai impostato 'ntlm auth = no'? Non è di default a no...
no, non l'ho fatto...

Anche perché non ho ben capito: Without 'ntlm auth = no', there may
still be clients not using NTLMv2, and these observed passwords may be
brute-forced easily using cloud-computing resources or rainbow tables.

La cosa migliore sarebbe quindi eliminare clients che utilizzano NTLMv1
dalla rete e non permettere ai server di accettare connessioni NTLMv1.
Ma già windows 2000 utilizza NTLMv2: chi ha ancora in rete clients
windows 95/98/win3.1?

Quindi di cosa stiamo parlando?

Piviul

[¹]
http://rhelblog.redhat.com/2016/04/15/how-badlock-was-discovered-and-fixed/