The пускането на новата версия на Samba 4.13, версия, в която добавя се решението за уязвимостта който беше открит преди няколко дни ZeroLogon (CVE-2020-1472), в допълнение към тази в тази нова версия изискванията на Python вече са променени на версия 3.6, както и други промени.
За тези, които не са запознати със Samba, трябва да знаете, че това е проект, който продължава развитието на клона Samba 4.x с пълно изпълнение на домейн контролер и услуга Active Directory, съвместим с изпълнението на Windows 2000 и способен да обслужва всички версии на клиенти на Windows, поддържани от Microsoft, включително Windows 10.
Самба 4, е многофункционален сървърен продукт, който също така осигурява изпълнението на файлов сървър, услуга за печат и сървър за удостоверяване (winbind).
Основни нови функции на Samba 4.13
В тази нова версия на протокола Добавена е корекция на уязвимостта ZeroLogon (CVE-2020-1472), което може да позволи на нападателя да придобие права на администратор на контролер на домейн в системи, които не използват настройката „сървърно сканиране = да“ (Ако искате да научите повече за товаМожете да проверите публикацията, която споделяме за нея, тук в блога. Връзката е тази)
Друга промяна, която беше направена в тази нова версия на Samba, е, че Минималните изисквания на Python са повишени от Python 3.5 на Python 3.6. Въпреки че възможността за изграждане на файлов сървър с Python 2 все още се запазва (преди да стартирате ./configure 'и' make ', трябва да зададете променливата на средата' PYTHON = python2 '), но в следващия клон тя ще бъде премахната и За компилация ще е необходим Python 3.6.
От друга страна функционалността „Широки връзки = да“, което позволява на администраторите на файлови сървъри да създават символични връзки към област извън текущия SMB / CIFS дял, преместена от smbd в отделен модул "vfs_widelinks".
Понастоящем този модул се зарежда автоматично, ако в конфигурацията има параметър "широки връзки = да".
Поддръжката за „широки връзки = да“ се планира да бъде премахната в бъдеще поради съображения за сигурност и на потребителите на samba се препоръчва да използват "mount –bind" за монтиране на външни части на файловата система вместо "wide links = yes".
Имайте предвид, че разработчиците на Samba препоръчват да се променят всички инсталации, които понастоящем използват "широки връзки = да", за да се използват връзки за връзки възможно най-скоро, тъй като "широки връзки = да" по своята същност са несигурни настройки, които бихме искали да премахнем от Samba. Преместването на функцията в модул VFS позволява това да се направи по-чист начин в бъдеще.
Поддръжката на домейн контролера в класически режим е оттеглена. Потребителите на домейн контролери от тип NT4 („класически“) трябва да мигрират към контролерите на домейн Samba Active Directory, за да работят със съвременни клиенти на Windows.
Несигурните методи за удостоверяване, които могат да се използват само с SMBv1, са оттеглени: „влизане в домейн“, „необработено удостоверяване на NTLMv2“, „удостоверяване на клиент в открит текст“, „удостоверяване на клиента на NTLMv2“, „клиент за удостоверяване на lanman“ и „използване на клиент на spnego“.
Също така е премахната поддръжката на опцията "ldap ssl ads" от smb.conf. Следващата версия се очаква да премахне опцията "сървър канал".
От останалите промени, които се открояват, са премахване на:
- Ldap ssl реклами премахнати
- smb2 деактивира проверката на последователността на заключване
- smb2 деактивиране на прекъсване на оплока, повторен опит
- вход за домейн
- сурово удостоверяване на NTLMv2
- клиентско удостоверяване в открит текст
- NTLMv2 автентичен клиент
- клиент на lanman auth
- Използване на клиента spnego
- Канал от сървъра ще бъде премахнат във версия 4.13.0
- Оттеглената опция smb.conf „ldap ssl ads“ е премахната.
- Остарелата опция smb.conf "schannel на сървъра" най-вероятно е премахната във финалната версия 4.13.0.
Накрая ако искате да научите повече за това за промените в тази нова версия на Samba, можете да ги знаете В следващия линк.