Das Veröffentlichung der neuen Version von Samba 4.13, Version in der Die Lösung für die Sicherheitsanfälligkeit wird hinzugefügt das wurde vor ein paar Tagen entdeckt ZeroLogon (CVE-2020-1472), zusätzlich zu der Tatsache, dass in dieser neuen Version die Python-Anforderungen bereits auf Version 3.6 und andere Änderungen geändert wurden.
Wenn Sie mit Samba nicht vertraut sind, wissen Sie bitte, dass dies ein Projekt ist, das die Entwicklung des Samba 4.x-Zweigs mit einer vollständigen Implementierung eines Domänencontrollers und eines Active Directory-Dienstes fortsetzt, die mit der Windows 2000-Implementierung kompatibel sind und alle Windows-Versionen bedienen können Von Microsoft unterstützte Clients, einschließlich Windows 10.
Samba 4 ist ein multifunktionales Serverprodukt, Dies bietet auch die Implementierung eines Dateiservers, eines Druckdienstes und eines Authentifizierungsservers (winbind).
Hauptneuheiten von Samba 4.13
In dieser neuen Version des Protokolls ZeroLogon-Schwachstellen-Fix hinzugefügt (CVE-2020-1472), mit dem ein Angreifer Administratorrechte auf einem Domänencontroller auf Systemen erwerben kann, die nicht die Einstellung "Server schannel = yes" verwenden (Wenn Sie mehr darüber wissen wollenSie können die Veröffentlichung, die wir darüber teilen, hier im Blog überprüfen. Der Link ist dies)
Eine weitere Änderung, die in dieser neuen Version von Samba vorgenommen wurde, ist die Die Mindestanforderungen an Python wurden von Python 3.5 auf Python 3.6 angehoben. Die Möglichkeit, einen Dateiserver mit Python 2 zu erstellen, bleibt erhalten (vor dem Ausführen von ./configure 'und' make 'müssen Sie die Umgebungsvariable' PYTHON = python2 'festlegen), wird jedoch im nächsten Zweig entfernt und entfernt Für die Kompilierung wird Python 3.6 benötigt.
Auf der anderen Seite die Funktionalität "Wide Links = yes", mit dem Dateiserveradministratoren symbolische Links erstellen können in einen Bereich außerhalb der aktuellen SMB / CIFS-Partition, der von smbd in ein separates Modul "vfs_widelinks" verschoben wurde.
Derzeit wird dieses Modul automatisch geladen, wenn die Konfiguration den Parameter "wide links = yes" enthält.
Die Unterstützung für "Wide Links = Ja" soll in Zukunft entfernt werden Aus Sicherheitsgründen wird Samba-Benutzern dringend empfohlen, "mount –bind" zu verwenden, um externe Teile des Dateisystems anstelle von "wide links = yes" zu mounten.
Beachten Sie, dass Samba-Entwickler empfehlen, Installationen, die derzeit "wide links = yes" verwenden, so bald wie möglich zu ändern, um Link-Mounts zu verwenden, da "wide links = yes" eine von Natur aus unsichere Einstellung ist, die wir aus Samba entfernen möchten. Durch das Verschieben der Funktion in ein VFS-Modul kann dies in Zukunft sauberer erfolgen.
Die Unterstützung für den Domänencontroller im klassischen Modus ist veraltet. Benutzer von Domänencontrollern vom Typ NT4 ("klassisch") müssen auf Samba Active Directory-Domänencontroller migrieren, um mit modernen Windows-Clients arbeiten zu können.
Die unsicheren Authentifizierungsmethoden, die nur mit SMBv1 verwendet werden können, sind veraltet: "Domänenanmeldungen", "rohe NTLMv2-Authentifizierung", "Client-Klartextauthentifizierung", "NTLMv2-Clientauthentifizierung", "Authentifizierungs-Lanman-Client" und "spnego-Client-Verwendung".
Außerdem wurde die Unterstützung für die Option "ldap ssl ads" von smb.conf entfernt. In der nächsten Version wird voraussichtlich die Option "Serverkanal" entfernt.
Von den anderen Änderungen, die auffallen, sind die Beseitigung von:
- Ldap SSL-Anzeigen entfernt
- smb2 deaktiviert die Überprüfung der Sperrsequenz
- smb2 deaktiviere oplock break retry
- Domain-Anmeldungen
- rohe NTLMv2-Authentifizierung
- Client-Klartextauthentifizierung
- NTLMv2-Authentifizierungsclient
- Lanman Auth Client
- Verwenden des spnego-Clients
- Ein Kanal vom Server wird in Version 4.13.0 entfernt
- Die veraltete smb.conf-Option "ldap ssl ads" wurde entfernt.
- Die veraltete Option "server schannel" smb.conf wurde höchstwahrscheinlich in der endgültigen Version 4.13.0 entfernt.
Schließlich wenn Sie mehr darüber wissen wollen Über die Änderungen in dieser neuen Version von Samba können Sie sie kennen im folgenden Link.