ה גרסת הגרסה החדשה של סמבה 4.13, גרסה בה מתווסף הפיתרון לפגיעות שהתגלה לפני כמה ימים ZeroLogon (CVE-2020-1472), בנוסף לעובדה שבגרסה החדשה הזו דרישות ה- Python כבר השתנו לגרסה 3.6 וגם לשינויים אחרים.
למי שלא מכיר את סמבה, עליכם לדעת שמדובר בפרויקט הממשיך את פיתוחו של סניף Samba 4.x עם יישום מלא של בקר תחום ושירות Active Directory, התואם ליישום Windows 2000 ומסוגל לשרת את כל הגרסאות. מלקוחות Windows הנתמכים על ידי מיקרוסופט, כולל Windows 10.
סמבה 4, הוא מוצר שרת רב תכליתי, המספק גם הטמעה של שרת קבצים, שירות הדפסה ושרת אימות (winbind).
התכונות החדשות העיקריות של סמבה 4.13
בגרסה החדשה הזו של הפרוטוקול נוסף תיקון פגיעות של ZeroLogon (CVE-2020-1472), אשר יכול לאפשר לתוקף להשיג זכויות מנהל על בקר תחום במערכות שאינן משתמשות בהגדרת "ערוץ שרת = כן" (אם אתה רוצה לדעת יותר על זהתוכלו לבדוק את הפרסום שאנו חולקים עליו כאן בבלוג. הקישור הוא זה)
שינוי נוסף שנעשה בגרסה החדשה הזו של סמבה הוא כי ה- דרישות Python מינימליות הועלו מ- Python 3.5 ל- Python 3.6. אמנם היכולת לבנות שרת קבצים עם Python 2 עדיין נשמרת (לפני הפעלת ./configure 'ו-' make ', עליך להגדיר את משתנה הסביבה' PYTHON = python2 '), אך בענף הבא הוא יוסר ו Python 3.6 יידרש לקומפילציה.
מצד שני הפונקציונליות "קישורים רחבים = כן", המאפשר למנהלי שרת הקבצים ליצור קישורים סימבוליים לאזור שמחוץ למחיצת ה- SMB / CIFS הנוכחית, עבר מ- smbd למודול "vfs_widelinks" נפרד.
נכון לעכשיו, מודול זה נטען באופן אוטומטי אם בתצורה יש פרמטר "קישורים רחבים = כן".
תכנון ל"קישורים רחבים = כן "מתוכנן להסיר בעתיד עקב דאגות אבטחה, מומלץ למשתמשי סמבה להשתמש ב "mount –bind" כדי להרכיב חלקים חיצוניים של מערכת הקבצים במקום "קישורים רחבים = כן".
שים לב שמפתחי Samba ממליצים לשנות את כל ההתקנות שמשתמשות כרגע ב"קישורים רחבים = כן "כדי להשתמש במתני קישורים בהקדם האפשרי, מכיוון ש"קישורים רחבים = כן" הם הגדרות מטבע הדברים שאנו רוצים להסיר מסמבה. העברת התכונה למודול VFS מאפשרת לעשות זאת בצורה נקייה יותר בעתיד.
התמיכה בבקר התחום במצב קלאסי הוצאה משימוש. משתמשים מבקרי תחום מסוג NT4 ('קלאסי') חייבים לעבור לבקרי תחום של Samba Active Directory כדי לעבוד עם לקוחות Windows מודרניים.
שיטות האימות הלא מאובטחות שניתן להשתמש בהן רק עם SMBv1 הוצאו משימוש: "כניסה לתחום", "אימות גלם NTLMv2", "אימות טקסט רגיל של לקוח", "אימות לקוח NTLMv2", "אימות לקוח lanman" ו"שימוש בלקוח spnego ".
כמו כן, הוסרה התמיכה באפשרות "מודעות lsl ssl" מ- smb.conf. הגרסה הבאה צפויה להסיר את האפשרות "ערוץ השרת".
בין שאר השינויים הבולטים הם חיסול:
- מודעות ldap ssl הוסרו
- smb2 משבית אימות רצף נעילה
- smb2 השבת את הפסקת הנעילה מחדש
- כניסה לתחום
- אימות NTLMv2 גולמי
- אימות טקסט רגיל של לקוח
- לקוח NTLMv2 auth
- לקוח לאמן lanman
- שימוש בלקוח ה- spnego
- ערוץ מהשרת יוסר בגירסה 4.13.0
- האפשרות smb.conf שהוצאה משימוש "מודעות lslap ssl" הוסרה.
- האפשרות "ערוץ שרתים" שהוצא משימוש smb.conf ככל הנראה הוסרה בגרסה הסופית 4.13.0.
בסופו של דבר אם אתה רוצה לדעת יותר על זה על השינויים בגרסה החדשה הזו של סמבה, תוכלו לדעת אותם בקישור הבא.