The vydání nové verze Samba 4.13verze, ve které bylo přidáno řešení této chyby zabezpečení to bylo zjištěno před několika dny ZeroLogon (CVE-2020-1472), navíc k tomu, že v této nové verzi se již požadavky na Python změnily na verzi 3.6 a také další změny.
Pro ty, kteří nejsou obeznámeni se Sambou, mějte na paměti, že se jedná o projekt, který pokračuje ve vývoji pobočky Samba 4.x s plnou implementací řadiče domény a služby Active Directory, kompatibilní s implementací Windows 2000 a schopný obsluhovat všechny verze Windows klienti podporovaní společností Microsoft, včetně Windows 10.
Samba 4, je multifunkční serverový produkt, který také zajišťuje implementaci souborového serveru, tiskové služby a ověřovacího serveru (winbind).
Hlavní nové funkce Samby 4.13
V této nové verzi protokolu Oprava chyby zabezpečení ZeroLogon přidána (CVE-2020-1472), což by mohlo útočníkovi umožnit získat práva správce na řadiči domény v systémech, které nepoužívají nastavení „server schannel = yes“ (Pokud se o tom chcete dozvědět vícePublikaci, kterou o ní sdílíme, můžete zkontrolovat zde na blogu. Odkaz je tento)
Další změnou provedenou v této nové verzi Samby je to, že Minimální požadavky na Python byly zvýšeny z Pythonu 3.5 na Python 3.6. Zatímco schopnost vybudovat souborový server s Pythonem 2 je stále zachována (před spuštěním ./configure 'a' make ', musíte nastavit proměnnou prostředí' PYTHON = python2 '), ale v další větvi bude odstraněna a Pro kompilaci bude vyžadován Python 3.6.
Na druhou stranu funkčnost „Wide links = yes“, což umožňuje správcům souborového serveru vytvářet symbolické odkazy do oblasti mimo aktuální oddíl SMB / CIFS, byl přesunut z smbd do samostatného modulu "vfs_widelinks".
Aktuálně se tento modul načítá automaticky, pokud je v konfiguraci parametr „wide links = yes“.
Podpora „širokých odkazů = ano“ má být v budoucnu odstraněna z bezpečnostních důvodů se uživatelům samby důrazně doporučuje použít „mount –bind“ k připojení externích částí souborového systému namísto „wide links = yes“.
Všimněte si, že vývojáři Samba doporučují změnit všechny instalace, které aktuálně používají „wide links = yes“, aby se připojení připojení používalo co nejdříve, protože „wide links = yes“ je ze své podstaty nezabezpečené nastavení, které bychom chtěli ze Samby odstranit. Přesunutí funkce do modulu VFS to v budoucnu umožní čistším způsobem.
Podpora řadiče domény v klasickém režimu byla ukončena. Uživatelé řadičů domény typu NT4 („klasických“) musí migrovat na řadiče domény Samba Active Directory, aby mohli pracovat s moderními klienty Windows.
Nejisté metody ověřování, které lze použít pouze u SMBv1, jsou zastaralé: „přihlášení k doméně“, „prvotní ověřování NTLMv2“, „ověřování klienta v holém textu“, „ověřování klienta NTLMv2“, „ověřování klienta Lanman“ a „využití klienta spnego“.
Rovněž byla odstraněna podpora možnosti „ldap ssl ads“ ze smb.conf. Očekává se, že příští verze odstraní možnost „serverový kanál“.
Mezi další změny, které vynikají, patří odstranění:
- Reklamy LDAP SSL byly odstraněny
- smb2 zakáže ověření sekvence zámku
- smb2 zakázat opakování oplock break
- přihlášení k doméně
- hrubé ověřování NTLMv2
- holé ověřování klienta
- Ověřovací klient NTLMv2
- lanman auth klient
- Pomocí klienta spnego
- Ve verzi 4.13.0 bude odebrán kanál ze serveru
- Zastaralá možnost smb.conf „ldap ssl ads“ byla odstraněna.
- Zastaralá možnost „serverový kanál“ smb.conf byla s největší pravděpodobností odstraněna ve finální verzi 4.13.0.
Konečně pokud o tom chcete vědět víc o změnách v této nové verzi Samby je můžete znát Na následujícím odkazu.