部分内容参考：等保测试问题——需要SMB签名(SMB Signing not Required) 以及 ChatGPT。

Truenas常用SMB服务，但默认并不开启SMB签名。这样具有中间人攻击的风险。

一、漏洞详情

1.1 漏洞报告

漏洞提示如下：

1.2 漏洞介绍

  SMB是一个协议名，全称是Server Message Block（服务器消息快协议），用于在计算机间共享文件、打印机、串口等，电脑上的网上邻居由它实现。SMB签名是SMB协议中的安全机制，也称为安全签名。SMB签名旨在帮助提高SMB协议的安全性，为了防止在传输过程中修改SMB数据包，SMB协议支持SMB数据包的数字签名。所有Windows操作系统都支持客户端SMB组件和服务器端SMB组件。要利用SMB数据包签名，通信中涉及的客户端SMB组件和服务器端SMB组件必须启用或需要SMB数据包签名。如果服务器启用此设置，Microsoft网络服务器将不与Microsoft网络客户端通信，除非该客户端同意执行SMB数据包签名。同样，如果需要客户端SMB签名，则该客户端将无法与未启用数据包签名的服务器建立会话。默认情况下，在工作站，服务器和域控制器上启用客户端SMB签名。
  SMB签名在性能上有一些权衡。如果网络性能对部署方案很重要，建议您不要使用SMB签名；如果要在高度安全的环境中使用SMB，建议您使用SMB签名。当启用SMB签名时，SMB将停止使用RDMA远程直接数据存取，因为最大MTU限制为1,394字节，这会导致邮件碎片和重组，并降低整体性能。

1.3 漏洞危害

  SMB服务上不需要签名。未经身份验证的远程攻击者可以利用此攻击对SMB服务器进行中间人攻击。

1.4 漏洞监测方式

在可以访问自己的服务器的客户端，用nmap扫描一下服务器的ip：

# 返回有关SMB确定的SMB安全级别的信息 
nmap -sS -sV -Pn -p 445 --script="smb-security-mode" <你的服务器的ip>
# 确定SMBv2服务器中的邮件签名配置 
nmap -sS -sV -Pn -p 445 --script="smb2-security-mode" <你的服务器的ip>

如果出现下图所示Message signing enabled but not required，说明存在漏洞：

二、漏洞解决方案

我参考的那篇博客的服务器是windows服务器，而我的是Truenas Scale，系统是Debian。

所以接下来详细讲一下 TrueNas Scale 中的修复方法。

2.1 打开 TrueNas Scale 管理界面的命令行

2.2 找到 smb 服务的配置文件

配置文件的文件名往往是 smb.conf，或者smb4.conf。它所在的目录是/etc。

可以用如下指令查找：

find /etc/ -name "smb*"

我的是smb4.conf。

2.3 编辑配置文件

使用nano打开配置文件：

nanno /etc/smb4.conf

找到或添加以下行到[global]部分中

server signing = mandatory

该行配置了强制要求所有的客户端使用消息签名进行通信。如果客户端不支持消息签名，则无法连接到SMB服务。注意，该配置只能与SMBv3一起使用。

保存并关闭文件。

2.4 重新启动Samba服务以使更改生效

sudo systemctl restart smbd

现在，SMB服务应该已经配置为强制要求客户端使用消息签名进行通信。请注意，如果你的客户端不支持消息签名，它将无法连接到SMB服务。在这种情况下，你需要升级客户端以支持消息签名，或者将SMB服务配置为不要求使用消息签名。

2.5 再次检查漏洞是否存在

# 返回有关SMB确定的SMB安全级别的信息 
nmap -sS -sV -Pn -p 445 --script="smb-security-mode" <你的服务器的ip>
# 确定SMBv2服务器中的邮件签名配置 
nmap -sS -sV -Pn -p 445 --script="smb2-security-mode" <你的服务器的ip>

解决了。