Qumulo Core üzerinde SMB (Server Message Block) servislerinin davranışını ve güvenlik seviyesini yönetmek için kullanılan en temel araçlardan biri qq smb_modify_settings komutudur.
Bu komut sayesinde Qumulo cluster genelinde SMB paylaşım görünürlüğü, şifreleme, desteklenen SMB sürümleri ve imzalama gibi kritik ayarlar merkezi olarak yapılandırılabilir.
Bu makalemde qq smb_modify_settings komutunun kullanım senaryoları, öne çıkan parametreleri ve örnek yapılandırmaları ele alınmaktadır.
“qq smb_modify_settings” Qumulo SMB sunucusunun Cluster genelindeki davranışını belirlemek için kullanılan bir CLI (Command Line Interface) komutudur.
Yapılan değişiklikler tüm SMB paylaşımlarını etkiler ve güvenlik ile performans üzerinde doğrudan rol oynar.
Komutun temel kullanım amacı şunlardır:
- SMB paylaşım görünürlüğünü kısıtlamak
- SMB3 şifreleme seviyesini yapılandırmak
- Desteklenen SMB protokollerini belirlemek
- SMB imzalama (signing) zorunluluğunu ayarlamak
- Snapshot dizinlerinin davranışını yönetmek için kullanabilirsiniz.
Komutun Genel Kullanımı
qq smb_modify_settings [-h]
[-e {none,preferred,required}]
[-d dialect_1 [dialect_2 ...]]
[--hide-shares-from-unauthorized-hosts {true,false}]
[--hide-shares-from-unauthorized-users {true,false}]
[--snapshot-directory-mode {visible,hidden,disabled}]
[--bypass-traverse-checking {true,false}]
[--signing-required {true,false}]Örnek Kullanım Senaryoları
Yetkisiz Host’lardan SMB Paylaşımlarını Gizleme
Güvenliği artırmak amacıyla yetkisi olmayan istemcilerin SMB paylaşım listesini görmesini engellemek mümkündür.
qq smb_modify_settings \
--hide-shares-from-unauthorized-hosts true
Bu ayar sayesinde yalnızca yetkili IP veya host’lar ilgili SMB paylaşımlarını listeleyebilir.
Cluster Seviyesinde SMB3 Şifreleme Yapılandırması
SMB trafiğinin ağ üzerinde şifreli taşınması için SMB3 Encryption kullanılabilir.
Qumulo üç farklı şifreleme modu sunar:
- NONE: Şifreleme kullanılmaz
- PREFER: Mümkünse şifreleme tercih edilir
- REQUIRE: Şifreleme zorunludur
Örnek:
qq smb_modify_settings \
--encryption-mode required
Bu yapılandırma ile şifreleme desteklemeyen istemcilerin SMB bağlantısı reddedilir.
SMB3 Negotiation’ı Devre Dışı Bırakarak Performans Artışı
Bazı eski uygulamalar veya performans odaklı iş yüklerinde SMB3 yerine yalnızca SMB2 kullanılması tercih edilebilir.
qq smb_modify_settings \
--supported-dialects smb2_dialect_2_1
Bu durumda istemciler SMB3 sürümleriyle bağlantı kuramaz.
SMB3 Negotiation’ı Yeniden Etkinleştirme
SMB3 özelliklerinden (encryption, signing, multichannel vb.) faydalanmak için ilgili sürümler tekrar eklenebilir:
qq smb_modify_settings \
--supported-dialects smb2_dialect_2_1 \
smb2_dialect_3_0
Alternatif olarak tüm desteklenen sürümler açılabilir:
qq smb_modify_settings -d ALL
Önemli Parametreler ve Açıklamaları
--hide-shares-from-unauthorized-users
Yetkisiz kullanıcıların SMB paylaşım listesini görmesini engeller.
Not: Guest erişimi kullanan istemcilerde tüm paylaşımlar gizlenebilir.
--snapshot-directory-mode
Snapshot dizinlerinin SMB üzerinden nasıl görüneceğini belirler:
- visible:
.snapshotdizini listede görünür - hidden: Listede görünmez ama erişilebilir
- disabled: SMB üzerinden erişilemez
--bypass-traverse-checking
Klasik NTFS “traverse” kontrolünü atlar. Üst dizine erişimi olan ama alt dizine yetkisi olmayan kullanıcıların geçişine izin verir.
qq smb_modify_settings --bypass-traverse-checking true
--signing-required
Guest olmayan kullanıcılar için SMB mesaj imzalamayı zorunlu kılar. Güvenliği artırır ancak düşük seviyede performans etkisi olabilir.
qq smb_modify_settings --signing-required true
qq login -u adminqq smb_modify_settings --signing-required trueqq smb_modify_settings komutu Qumulo ortamlarında SMB servislerinin güvenlik, uyumluluk ve performans dengesini sağlamak için kritik bir rol oynar. Özellikle:
- Regülasyonlara uyum (encryption & signing)
- Yetkisiz erişimin engellenmesi
- Eski veya özel iş yükleri için protokol kontrolü gibi senaryolarda doğru yapılandırma büyük önem taşır.
Production ortamlarında değişiklik yapmadan önce test ortamında deneme yapılması ve istemci uyumluluğunun kontrol edilmesi önerilir.