fs/cifs/Kconfig

   1 # SPDX-License-Identifier: GPL-2.0-only
   2 config CIFS
   3         tristate "SMB3 and CIFS support (advanced network filesystem)"
   4         depends on INET
   5         select NLS
   6         select CRYPTO
   7         select CRYPTO_MD4
   8         select CRYPTO_MD5
   9         select CRYPTO_SHA256
  10         select CRYPTO_SHA512
  11         select CRYPTO_CMAC
  12         select CRYPTO_HMAC
  13         select CRYPTO_LIB_ARC4
  14         select CRYPTO_AEAD2
  15         select CRYPTO_CCM
  16         select CRYPTO_GCM
  17         select CRYPTO_ECB
  18         select CRYPTO_AES
  19         select CRYPTO_LIB_DES
  20         select KEYS
  21         select DNS_RESOLVER
  22         select ASN1
  23         select OID_REGISTRY
  24         help
  25           This is the client VFS module for the SMB3 family of NAS protocols,
  26           (including support for the most recent, most secure dialect SMB3.1.1)
  27           as well as for earlier dialects such as SMB2.1, SMB2 and the older
  28           Common Internet File System (CIFS) protocol.  CIFS was the successor
  29           to the original dialect, the Server Message Block (SMB) protocol, the
  30           native file sharing mechanism for most early PC operating systems.
  31
  32           The SMB3 protocol is supported by most modern operating systems
  33           and NAS appliances (e.g. Samba, Windows 10, Windows Server 2016,
  34           MacOS) and even in the cloud (e.g. Microsoft Azure).
  35           The older CIFS protocol was included in Windows NT4, 2000 and XP (and
  36           later) as well by Samba (which provides excellent CIFS and SMB3
  37           server support for Linux and many other operating systems). Use of
  38           dialects older than SMB2.1 is often discouraged on public networks.
  39           This module also provides limited support for OS/2 and Windows ME
  40           and similar very old servers.
  41
  42           This module provides an advanced network file system client
  43           for mounting to SMB3 (and CIFS) compliant servers.  It includes
  44           support for DFS (hierarchical name space), secure per-user
  45           session establishment via Kerberos or NTLM or NTLMv2, RDMA
  46           (smbdirect), advanced security features, per-share encryption,
  47           directory leases, safe distributed caching (oplock), optional packet
  48           signing, Unicode and other internationalization improvements.
  49
  50           In general, the default dialects, SMB3 and later, enable better
  51           performance, security and features, than would be possible with CIFS.
  52           Note that when mounting to Samba, due to the CIFS POSIX extensions,
  53           CIFS mounts can provide slightly better POSIX compatibility
  54           than SMB3 mounts. SMB2/SMB3 mount options are also
  55           slightly simpler (compared to CIFS) due to protocol improvements.
  56
  57           If you need to mount to Samba, Azure, Macs or Windows from this machine, say Y.
  58
  59 config CIFS_STATS2
  60         bool "Extended statistics"
  61         depends on CIFS
  62         default y
  63         help
  64           Enabling this option will allow more detailed statistics on SMB
  65           request timing to be displayed in /proc/fs/cifs/DebugData and also
  66           allow optional logging of slow responses to dmesg (depending on the
  67           value of /proc/fs/cifs/cifsFYI). See Documentation/admin-guide/cifs/usage.rst
  68           for more details. These additional statistics may have a minor effect
  69           on performance and memory utilization.
  70
  71           If unsure, say Y.
  72
  73 config CIFS_ALLOW_INSECURE_LEGACY
  74         bool "Support legacy servers which use less secure dialects"
  75         depends on CIFS
  76         default y
  77         help
  78           Modern dialects, SMB2.1 and later (including SMB3 and 3.1.1), have
  79           additional security features, including protection against
  80           man-in-the-middle attacks and stronger crypto hashes, so the use
  81           of legacy dialects (SMB1/CIFS and SMB2.0) is discouraged.
  82
  83           Disabling this option prevents users from using vers=1.0 or vers=2.0
  84           on mounts with cifs.ko
  85
  86           If unsure, say Y.
  87
  88 config CIFS_WEAK_PW_HASH
  89         bool "Support legacy servers which use weaker LANMAN security"
  90         depends on CIFS && CIFS_ALLOW_INSECURE_LEGACY
  91         help
  92           Modern CIFS servers including Samba and most Windows versions
  93           (since 1997) support stronger NTLM (and even NTLMv2 and Kerberos)
  94           security mechanisms. These hash the password more securely
  95           than the mechanisms used in the older LANMAN version of the
  96           SMB protocol but LANMAN based authentication is needed to
  97           establish sessions with some old SMB servers.
  98
  99           Enabling this option allows the cifs module to mount to older
 100           LANMAN based servers such as OS/2 and Windows 95, but such
 101           mounts may be less secure than mounts using NTLM or more recent
 102           security mechanisms if you are on a public network.  Unless you
 103           have a need to access old SMB servers (and are on a private
 104           network) you probably want to say N.  Even if this support
 105           is enabled in the kernel build, LANMAN authentication will not be
 106           used automatically. At runtime LANMAN mounts are disabled but
 107           can be set to required (or optional) either in
 108           /proc/fs/cifs (see Documentation/admin-guide/cifs/usage.rst for
 109           more detail) or via an option on the mount command. This support
 110           is disabled by default in order to reduce the possibility of a
 111           downgrade attack.
 112
 113           If unsure, say N.
 114
 115 config CIFS_UPCALL
 116         bool "Kerberos/SPNEGO advanced session setup"
 117         depends on CIFS
 118         help
 119           Enables an upcall mechanism for CIFS which accesses userspace helper
 120           utilities to provide SPNEGO packaged (RFC 4178) Kerberos tickets
 121           which are needed to mount to certain secure servers (for which more
 122           secure Kerberos authentication is required). If unsure, say Y.
 123
 124 config CIFS_XATTR
 125         bool "CIFS extended attributes"
 126         depends on CIFS
 127         help
 128           Extended attributes are name:value pairs associated with inodes by
 129           the kernel or by users (see the attr(5) manual page for details).
 130           CIFS maps the name of extended attributes beginning with the user
 131           namespace prefix to SMB/CIFS EAs.  EAs are stored on Windows
 132           servers without the user namespace prefix, but their names are
 133           seen by Linux cifs clients prefaced by the user namespace prefix.
 134           The system namespace (used by some filesystems to store ACLs) is
 135           not supported at this time.
 136
 137           If unsure, say Y.
 138
 139 config CIFS_POSIX
 140         bool "CIFS POSIX Extensions"
 141         depends on CIFS && CIFS_ALLOW_INSECURE_LEGACY && CIFS_XATTR
 142         help
 143           Enabling this option will cause the cifs client to attempt to
 144           negotiate a newer dialect with servers, such as Samba 3.0.5
 145           or later, that optionally can handle more POSIX like (rather
 146           than Windows like) file behavior.  It also enables
 147           support for POSIX ACLs (getfacl and setfacl) to servers
 148           (such as Samba 3.10 and later) which can negotiate
 149           CIFS POSIX ACL support.  If unsure, say N.
 150
 151 config CIFS_DEBUG
 152         bool "Enable CIFS debugging routines"
 153         default y
 154         depends on CIFS
 155         help
 156           Enabling this option adds helpful debugging messages to
 157           the cifs code which increases the size of the cifs module.
 158           If unsure, say Y.
 159
 160 config CIFS_DEBUG2
 161         bool "Enable additional CIFS debugging routines"
 162         depends on CIFS_DEBUG
 163         help
 164           Enabling this option adds a few more debugging routines
 165           to the cifs code which slightly increases the size of
 166           the cifs module and can cause additional logging of debug
 167           messages in some error paths, slowing performance. This
 168           option can be turned off unless you are debugging
 169           cifs problems.  If unsure, say N.
 170
 171 config CIFS_DEBUG_DUMP_KEYS
 172         bool "Dump encryption keys for offline decryption (Unsafe)"
 173         depends on CIFS_DEBUG
 174         help
 175           Enabling this will dump the encryption and decryption keys
 176           used to communicate on an encrypted share connection on the
 177           console. This allows Wireshark to decrypt and dissect
 178           encrypted network captures. Enable this carefully.
 179           If unsure, say N.
 180
 181 config CIFS_DFS_UPCALL
 182         bool "DFS feature support"
 183         depends on CIFS
 184         help
 185           Distributed File System (DFS) support is used to access shares
 186           transparently in an enterprise name space, even if the share
 187           moves to a different server.  This feature also enables
 188           an upcall mechanism for CIFS which contacts userspace helper
 189           utilities to provide server name resolution (host names to
 190           IP addresses) which is needed in order to reconnect to
 191           servers if their addresses change or for implicit mounts of
 192           DFS junction points. If unsure, say Y.
 193
 194 config CIFS_SWN_UPCALL
 195         bool "SWN feature support"
 196         depends on CIFS
 197         help
 198           The Service Witness Protocol (SWN) is used to get notifications
 199           from a highly available server of resource state changes. This
 200           feature enables an upcall mechanism for CIFS which contacts a
 201           userspace daemon to establish the DCE/RPC connection to retrieve
 202           the cluster available interfaces and resource change notifications.
 203           If unsure, say Y.
 204
 205 config CIFS_NFSD_EXPORT
 206         bool "Allow nfsd to export CIFS file system"
 207         depends on CIFS && BROKEN
 208         help
 209           Allows NFS server to export a CIFS mounted share (nfsd over cifs)
 210
 211 config CIFS_SMB_DIRECT
 212         bool "SMB Direct support"
 213         depends on CIFS=m && INFINIBAND && INFINIBAND_ADDR_TRANS || CIFS=y && INFINIBAND=y && INFINIBAND_ADDR_TRANS=y
 214         help
 215           Enables SMB Direct support for SMB 3.0, 3.02 and 3.1.1.
 216           SMB Direct allows transferring SMB packets over RDMA. If unsure,
 217           say Y.
 218
 219 config CIFS_FSCACHE
 220         bool "Provide CIFS client caching support"
 221         depends on CIFS=m && FSCACHE || CIFS=y && FSCACHE=y
 222         help
 223           Makes CIFS FS-Cache capable. Say Y here if you want your CIFS data
 224           to be cached locally on disk through the general filesystem cache
 225           manager. If unsure, say N.
 226
 227 config CIFS_ROOT
 228         bool "SMB root file system (Experimental)"
 229         depends on CIFS=y && IP_PNP
 230         help
 231           Enables root file system support over SMB protocol.
 232
 233           Most people say N here.