The Samba 4.13: n uuden version julkaisu, versio, jossa ratkaisu haavoittuvuuteen lisätään joka havaittiin muutama päivä sitten ZeroLogon (CVE-2020-1472), sen lisäksi, että tässä uudessa versiossa Python-vaatimukset ovat jo muuttuneet versioon 3.6 ja myös muut muutokset.
Niille, jotka eivät tunne Sambaa, tiedä, että tämä on projekti, joka jatkaa Samba 4.x -haaran kehittämistä toteuttamalla toimialueohjaimen ja Active Directory -palvelun täysimääräisesti, yhteensopivan Windows 2000 -asennuksen kanssa ja pystyvän palvelemaan kaikkia Windows-versioita Microsoftin tukemat asiakkaat, mukaan lukien Windows 10.
Samba 4, on monitoiminen palvelintuote, joka tarjoaa myös tiedostopalvelimen, tulostuspalvelun ja todennuspalvelimen (winbind) toteutuksen.
Samba 4.13: n tärkeimmät uudet ominaisuudet
Tässä protokollan uudessa versiossa ZeroLogon-haavoittuvuuksien korjaus lisätty (CVE-2020-1472), mikä voi antaa hyökkääjälle mahdollisuuden hankkia järjestelmänvalvojan oikeudet toimialueen ohjaimeen järjestelmissä, jotka eivät käytä "palvelimen schannel = kyllä" -asetusta (Jos haluat tietää enemmän siitäVoit tarkistaa julkaisun, jonka jaamme siitä täältä, blogista. Linkki on tämä)
Toinen muutos, joka tehtiin tässä uudessa Samban versiossa, on se, että Pythonin vähimmäisvaatimukset on nostettu Python 3.5: sta Python 3.6: een. Vaikka kyky rakentaa tiedostopalvelin Python 2: lla on edelleen säilytetty (ennen ./configure ja make -sovellusten suorittamista, sinun on asetettava ympäristömuuttuja PYTHON = python2), mutta seuraavassa haarassa se poistetaan ja Python 3.6 vaaditaan kääntämistä varten.
Toisaalta toiminnallisuus "Laaja linkki = kyllä", jonka avulla tiedostopalvelimen järjestelmänvalvojat voivat luoda symbolisia linkkejä alueelle nykyisen SMB / CIFS-osion ulkopuolella, siirretty smbd: stä erilliseen "vfs_widelinks" -moduuliin.
Tällä hetkellä tämä moduuli ladataan automaattisesti, jos kokoonpanossa on parametri "wide links = yes".
"Linkit = kyllä" -tuki on tarkoitus poistaa tulevaisuudessa tietoturvaongelmien vuoksi, ja samba-käyttäjiä kehotetaan käyttämään "mount –bind" tiedostojärjestelmän ulkoisten osien asentamiseen "wide links = yes" -kohdan sijaan.
Huomaa, että Samba-kehittäjät suosittelevat vaihtamaan kaikki asennukset, jotka käyttävät tällä hetkellä "wide links = yes", käyttämään linkkikiinnikkeitä mahdollisimman pian, koska "wide links = yes" on luonnostaan epävarma asetus, jonka haluamme poistaa Sambasta. Ominaisuuden siirtäminen VFS-moduuliin mahdollistaa sen tulevaisuudessa puhtaammalla tavalla.
Toimialueohjaimen tuki klassisessa tilassa on poistettu käytöstä. NT4-tyyppisten (klassisten) toimialueiden ohjainten käyttäjien on siirryttävä Samba Active Directory -toimialueen ohjaimiin voidakseen työskennellä nykyaikaisten Windows-asiakkaiden kanssa.
Epävarmat todennustavat, joita voidaan käyttää vain SMBv1: n kanssa, ovat vanhentuneita: "toimialueen sisäänkirjautumiset", "raaka NTLMv2-todennus", "asiakkaan selkokielinen todennus", "NTLMv2-asiakkaan todennus", "todennuksen lanman-asiakas" ja "spnego-asiakkaan käyttö".
Myös tuki smd.conf: n "ldap ssl ads" -vaihtoehdolle on poistettu. Seuraavan version odotetaan poistavan "palvelinkanava" -vaihtoehdon.
Muista erottuvista muutoksista ovat poistaminen:
- LDAP ssl-mainokset poistettu
- smb2 poistaa lukitusjärjestyksen tarkistuksen käytöstä
- smb2 poista käytöstä lukituksen keskeytysyritys uudelleen
- verkkotunnuksen sisäänkirjautumiset
- raaka NTLMv2-todennus
- asiakkaan selkokielinen todennus
- NTLMv2-todennussovellus
- lanman auth -asiakas
- Spnego-asiakkaan käyttäminen
- Kanava palvelimelta poistetaan versiossa 4.13.0
- Vanhentunut smb.conf-vaihtoehto "ldap ssl ads" on poistettu.
- Poistettu "server schannel" -vaihtoehto smb.conf poistettiin todennäköisesti lopullisesta versiosta 4.13.0.
Vihdoin jos haluat tietää enemmän siitä tämän uuden Samba-version muutoksista, voit tietää ne Seuraavassa linkissä.