A a Samba 4.13 új verziójának kiadása, verzió, amelyben a biztonsági rés megoldása hozzáadódik amit néhány nappal ezelőtt észleltek ZeroLogon (CVE-2020-1472), amellett, hogy ebben az új verzióban a Python követelményei már megváltoztak a 3.6-os verzióra és más változásokra is.
Azok számára, akik nem ismerik a Samba-t, tudnia kell, hogy ez egy olyan projekt, amely a tartományvezérlő és az Active Directory szolgáltatás teljes megvalósításával folytatja a Samba 4.x ág fejlesztését, kompatibilis a Windows 2000 implementációval és képes az összes verzió kiszolgálására. a Microsoft által támogatott Windows-ügyfelek közül, beleértve a Windows 10-et is.
Samba 4, van multifunkcionális kiszolgáló termék, amely egy fájlszerver, nyomtatási szolgáltatás és hitelesítési szerver (winbind) megvalósítását is biztosítja.
A Samba 4.13 fő újdonságai
A protokoll ezen új verziójában ZeroLogon biztonsági rés javítás hozzáadva (CVE-2020-1472), amely lehetővé teheti a támadó számára, hogy rendszergazdai jogokat szerezzen egy tartományvezérlőn olyan rendszereken, amelyek nem használják a "server schannel = yes" beállítást (Ha többet szeretne tudni rólaA kiadványról, amelyet megosztunk róla, itt a blogon ellenőrizheti. A link ez)
A Samba ezen új verziójában végrehajtott másik változás az, hogy A minimális Python követelményeket Python 3.5-ről Python 3.6-ra emelték. Bár a fájlszerver Python 2-vel történő létrehozásának képessége továbbra is megmaradt (a ./configure és a make make futtatása előtt be kell állítania a 'PYTHON = python2' környezeti változót), de a következő ágban eltávolítja és A fordításhoz Python 3.6 szükséges.
Másrészt a funkcionalitás "Széles linkek = igen", amely lehetővé teszi a fájlszerverek rendszergazdáinak, hogy szimbolikus linkeket hozzanak létre az aktuális SMB / CIFS partíción kívüli területre, az smbd-ről külön "vfs_widelinks" modulra költözve.
Jelenleg ez a modul automatikusan betöltődik, ha a konfigurációban van egy "wide links = yes" paraméter.
A jövőben a "széles linkek = igen" támogatásának megszüntetését tervezik Biztonsági aggályok miatt a samba felhasználóknak erősen ajánlott a "mount –bind" használatával a fájlrendszer külső részeit a "wide links = yes" helyett felvenni.
Ne feledje, hogy a Samba fejlesztői azt javasolják, hogy minden olyan telepítést módosítsanak, amelyek jelenleg a "wide links = yes" szót használják, hogy a lehető leghamarabb használják a linktartókat, mivel a "wide links = yes" eleve nem biztonságos beállítások, amelyeket el akarunk távolítani a Samba-ból. A szolgáltatás VFS-modulba történő áthelyezése lehetővé teszi, hogy ezt a jövőben tisztább módon lehessen elvégezni.
A tartományvezérlő támogatása klasszikus módban megszűnt. Az NT4 típusú („klasszikus”) tartományvezérlők felhasználói át kell költözniük a Samba Active Directory tartományvezérlőkre a modern Windows-ügyfelekkel való együttműködés érdekében.
A csak az SMBv1-sel együtt használható nem biztonságos hitelesítési módszerek elavultak: "tartományi bejelentkezések", "nyers NTLMv2 hitelesítés", "kliens egyszerű szöveges hitelesítés", "NTLMv2 kliens hitelesítés", "hitelesítési sávos kliens" és "spnego kliens használat".
Emellett az smb.conf fájlból eltávolították az "ldap ssl ads" opció támogatását. A következő verzió várhatóan eltávolítja a "szervercsatorna" opciót.
A többi kiemelkedő változás közül a következők megszüntetése:
- Ldap ssl hirdetések eltávolítva
- Az smb2 letiltja a zárolási sorrend ellenőrzését
- smb2 tiltsa le az oplock break újrapróbálkozását
- domain bejelentkezések
- nyers NTLMv2 hitelesítés
- kliens egyszerű szöveges hitelesítés
- NTLMv2 auth kliens
- lanman auth kliens
- Az spnego kliens használata
- A szerverről egy csatornát eltávolítunk a 4.13.0 verzióban
- Az elavult smb.conf "ldap ssl ads" opció eltávolításra került.
- Az elavult "server schannel" smb.conf opciót valószínűleg a 4.13.0 végleges verzióban távolították el.
Végül ha többet szeretne tudni róla a Samba új verziójának változásairól megismerheti őket A következő linken.