Abo
  1. Foren
  2. Kommentare
  3. PC-Hardware
  4. Alle Kommentare zum Artikel
  5. › FreeNAS und Windows 10: Der erste…

Freenas Samba Härtung nicht mal erwähnt

  1. Thema

Neues Thema Ansicht wechseln


  1. Freenas Samba Härtung nicht mal erwähnt

    Autor: xf01213 15.03.19 - 21:10

    Hallo,

    ich habe ein ähnliches Nutzungsszenario, nutze Freenas schon seit Version 8, bin auf der aktuellen 11.2U1. Mehrere Win10Clients, aber auch ein Linux Samba Proxy.

    Folgende Punkte habe ich im Artikel vermisst:
    Das aktuelle Freenas hat richtigerweise NTLMv1-Login und SMB1 deaktiviert. Im genannten Nutzungsszenario (Win10, kein Client mit kleinerer Version) kann man jedoch gut auf SMB2 verzichten. Daher unter System/Tuneables einen Eintrag mit
    Variable freenas.services.smb.config.server_min_protocol
    Value SMB3_10
    Type sysctl
    eintragen.
    Unter Services / SMB sollte "Allow Empty Password" deaktiviert sein, genauso wie NTLMv1 deaktiviert bleiben sollte.
    Im Artikel wird gruseligerweise NetBios als Feature gelobt. Im Win10 Client Nutzungsszenario deaktiviert man das lieber, CIFS reicht völlig. In den "Auxiliary Parameters" des Service daher
    disable netbios = yes
    smb ports = 445

    Bei einem reinen WIN10 Client Nutzungsszenario kann man
    smb encrypt = mandatory
    hinzufügen. Hat man (auch einen modernen) Linux Client mit fstab mount Bedarf, muss man hierauf leider verzichten. Da geht dann nur
    smb encrypt = auto
    Die Option "desired" habe ich noch nicht verprobt :-(

    Desweiteren hat das Freenas per Default noch einen 6xxxx Port auf, einfach mal per nmap checken. Wurde als Bug gemeldet, ixsystems hat ein Fixing abgelehnt - HA würde so garantiert.

    Was ich auch im Bericht vermisst habe:
    Die freebsd Version von OpenZFS ist auf die Linux-Version geschwenkt - ist kein BSD OpenZFS Maintainer mehr da. Die Linux-Entwickler für OpenZFS müssen aus Lizenzgründen um Linux-Kernel Features die unter GPLv2 stehen "herumpatchen". Das macht OpenZFS zwar nicht tot, klingt aber nach dem Einschlagen eines Sargnagels.

    Freue mich über weitere Anregungen das System zu härten.

    VG

  2. Re: Freenas Samba Härtung nicht mal erwähnt

    Autor: jhonnydoe 15.03.19 - 22:52

    cool, vielen Dank!
    Die meisten sachen hatte ich auch schon, aber der punkt mit dem tunetable fehlte mir.

  3. Re: Freenas Samba Härtung nicht mal erwähnt

    Autor: Joker86 16.03.19 - 19:18

    Interessant - was heißt „HA würde so garantiert“ (bei dem Port)

  4. Freenas Port 6000 NGINX Remote offen (TrueNAS High-Availabity)

    Autor: xf01213 17.03.19 - 13:43

    Gemeint war das TrueNAS High-Availability (HA)[1] von ixsystems. Hinter dem Port 6000 läuft ein NGINX http Server und Python. Der angesprochene Bug 28031 [2] und Fix [3] wurde abgelehnt. Ich hätte die Erwartung, dass der Port nur offen ist, wenn man HA nutzt, also per Konfig offen/geschlossen wird. Zudem wäre dann eine Absicherung mit SSL-Client Zertifikaten in beide Richtungen sinnvoll. Die Lösung mit auth Wert in der URL finde ich gebastelt.
    Manuelle Lösung, leider nach jedem Update zu wiederholen:
    find / -name main.py
    ==> In FreeNAS-11.2-U2.1 ist das /usr/local/lib/python3.6/site-packages/middlewared/main.py
    Mit vi editieren und nach 0.0.0.0 suchen. Der Aufruf hat sich weiterentwickelt, ist nicht mehr ganz so wie im verlinkten Patch:
    IST
    web.TCPSite(runner, '0.0.0.0', 6000, reuse_address=True, reuse_port=True).start()
    SOLL
    web.TCPSite(runner, '127.0.0.1', 6000, reuse_address=True, reuse_port=True).start()

    Speichern, Reboot, fertig.

    [1] https://www.ixsystems.com/blog/truenas-high-availability-ha-explained/#
    [2] https://redmine.ixsystems.com/issues/28031
    [3] https://github.com/freenas/freenas/pull/740/files

  5. Re: Freenas Port 6000 NGINX Remote offen (TrueNAS High-Availabity)

    Autor: Joker86 29.03.19 - 15:04

    Danke für die Infos!!

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. über Dr. Heimeier & Partner Management- und Personalberatung GmbH, Rhein-Sieg-Kreis
  2. BWI GmbH, Meckenheim
  3. Stadtwerke München GmbH, München
  4. GoDaddy, Ismaning

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Grafikkarten, SSDs, Ram-Module reduziert)
  2. (u. a. Asus Geforce RTX 2080 ROG STRIX Gaming für 809,00€)
  3. ab 149,00€
  4. 24,99€ (Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mobile-Games-Auslese: Magischer Dieb trifft mogelnden Doktor
Mobile-Games-Auslese
Magischer Dieb trifft mogelnden Doktor

Ein Dieb mit Dolch in Daggerhood, dazu ein (historisch verbürgter) Arzt in Astrologaster sowie wunderschön aufbereitetes Free-to-Play-Mittelalter in Marginalia Hero: Golem.de stellt die spannendsten neuen Mobile Games vor.
Von Rainer Sigl

  1. Hyper Casual Games 30 Sekunden spielen, 30 Sekunden Werbung
  2. Mobile-Games-Auslese Rollenspiel-Frühling mit leichten Schusswechseln
  3. Gaming Apple Arcade wird Spiele-Flatrate für iOS und MacOS

Final Fantasy 7 Remake angespielt: Cloud Strife und die (fast) unendliche Geschichte
Final Fantasy 7 Remake angespielt
Cloud Strife und die (fast) unendliche Geschichte

E3 2019 Das Remake von Final Fantasy 7 wird ein Riesenprojekt, allein die erste Episode erscheint auf zwei Blu-ray-Discs. Kurios: In wie viele Folgen das bereits enorm umfangreiche Original von 1997 aufgeteilt wird, kann bislang nicht mal der Producer sagen.

  1. Final Fantasy 14 Online Report Zwischen Cosplay, Kirmes und Kampfsystem
  2. Square Enix Final Fantasy 14 erhält Solo-Inhalte und besonderen Magier
  3. Rollenspiel Square Enix streicht Erweiterungen für Final Fantasy 15

Wolfenstein Youngblood angespielt: Warum wurden diese dämlichen Mädchen nicht aufgehalten!?
Wolfenstein Youngblood angespielt
"Warum wurden diese dämlichen Mädchen nicht aufgehalten!?"

E3 2019 Der erste Kill ist der schwerste: In Wolfenstein Youngblood kämpfen die beiden Töchter von B.J. Blazkowicz gegen Nazis. Golem.de hat sich mit Jess und Soph durch einen Zeppelin über dem belagerten Paris gekämpft.
Von Peter Steinlechner


    1. Funklöcher: Telekom weist Vorwürfe zu schlechtem Antennenstandort zurück
      Funklöcher
      Telekom weist Vorwürfe zu schlechtem Antennenstandort zurück

      Nach den Vorwürfen eines Ortsteilbürgermeisters zu arrogantem Vorgehen bei der Standortauswahl in einem Ort in Thüringen sieht sich die Telekom missverstanden. Auch sei die Ausleuchtung beider Ortsteile mit einer Antenne nicht möglich, sagt ein Sprecher.

    2. Bethesda: Wolfenstein Youngblood erscheint mit Nazis und Hakenkreuzen
      Bethesda
      Wolfenstein Youngblood erscheint mit Nazis und Hakenkreuzen

      Kein anonymes Regime, sondern Nazis und keine erfundenen Symbole, sondern Hakenkreuze: Wolfenstein Youngblood und das VR-Actionspiel Cyberpilot erscheinen auch in Deutschland in einer ungeschnittenen Version.

    3. Roli Lumi: Mit LED-Keyboard und Guitar-Hero-Klon musizieren lernen
      Roli Lumi
      Mit LED-Keyboard und Guitar-Hero-Klon musizieren lernen

      Roli will Anfängern den Einstieg in das Musikmachen erleichtern und finanziert deshalb auf Kickstarter das Roli-Lumi-Keyboard mit passender App. Nutzer lernen damit, Lieder zu spielen, indem das Keyboard die richtigen Tasten aufleuchten lässt. Es lassen sich zwei Keyboards zu einem größeren zusammenstecken.


    1. 18:13

    2. 17:54

    3. 17:39

    4. 17:10

    5. 16:45

    6. 16:31

    7. 15:40

    8. 15:27