The naujos „Samba 4.13“ versijos išleidimasversija, kurioje pridedamas pažeidžiamumo sprendimas kad buvo nustatyta prieš kelias dienas „ZeroLogon“ (CVE-2020-1472), be to, kad šioje naujoje versijoje „Python“ reikalavimai jau buvo pakeisti į 3.6 versiją ir kiti pakeitimai.
Tiems, kurie nėra susipažinę su „Samba“, prašome žinoti, kad tai yra projektas, tęsiantis „Samba 4.x“ filialo plėtrą, visiškai įdiegus domeno valdiklį ir „Active Directory“ paslaugą, suderinamą su „Windows 2000“ diegimu ir galintį aptarnauti visas „Windows“ versijas. „Microsoft“ palaikomi klientai, įskaitant „Windows 10“.
Samba 4, yra daugiafunkcinis serverio produktas, kuris taip pat suteikia failų serverio, spausdinimo paslaugos ir autentifikavimo serverio („winbind“) įgyvendinimą.
Pagrindinės naujos „Samba 4.13“ savybės
Šioje naujoje protokolo versijoje Pridėtas „ZeroLogon“ pažeidžiamumo pataisymas (CVE-2020-1472), kuris gali leisti užpuolikui įgyti domeno valdiklio administratoriaus teises sistemose, kuriose nenaudojamas parametras „server schannel = yes“ (Jei norite apie tai sužinoti daugiauLeidinį, kuriuo apie jį dalinamės, galite patikrinti čia, tinklaraštyje. Nuoroda yra tokia)
Kitas pakeitimas, padarytas šioje naujoje „Samba“ versijoje, yra tas, kad Minimalūs „Python“ reikalavimai buvo pakelti iš „Python 3.5“ į „Python 3.6“. Nors galimybė išsaugoti failų serverį su „Python 2“ vis dar yra išsaugota (prieš paleisdami ./configure ir make, turite nustatyti aplinkos kintamąjį „PYTHON = python2“), tačiau kitame filiale jis bus pašalintas ir Kompiliavimui reikės „Python 3.6“.
Kita vertus, funkcionalumas "Wide links = yes", leidžiantis failų serverių administratoriams sukurti simbolines nuorodas į sritį, esančią už dabartinio SMB / CIFS skaidinio, perkelto iš smbd į atskirą modulį „vfs_widelinks“.
Šiuo metu šis modulis įkeliamas automatiškai, jei konfigūracijoje yra parametras „plačios nuorodos = taip“.
Ateityje planuojama pašalinti „plačių nuorodų = taip“ palaikymą dėl saugumo problemų, o samba vartotojams primygtinai rekomenduojama naudoti „mount –bind“ išorinėms failų sistemos dalims montuoti, o ne „plačios nuorodos = taip“.
Atkreipkite dėmesį, kad „Samba“ kūrėjai rekomenduoja pakeisti visas instaliacijas, kurios šiuo metu naudoja „wide links = yes“, kad kuo greičiau būtų naudojami nuorodų laikikliai, nes „wide links = yes“ yra savaime nesaugus nustatymas, kurį norėtume pašalinti iš „Samba“. Perkėlus funkciją į VFS modulį, ateityje tai bus galima atlikti švariau.
Domeno valdiklio palaikymas klasikiniu režimu nebenaudojamas. NT4 tipo („klasikinio“) domeno valdiklių vartotojai, norėdami dirbti su šiuolaikiniais „Windows“ klientais, turi pereiti prie „Samba Active Directory“ domeno valdiklių.
Nesaugūs autentifikavimo metodai, kuriuos galima naudoti tik su SMBv1, yra nebenaudojami: „domeno prisijungimai“, „neapdorotas NTLMv2 autentifikavimas“, „kliento paprastojo teksto autentifikavimas“, „NTLMv2 kliento autentifikavimas“, „autentifikavimo lanmano klientas“ ir „spnego kliento naudojimas“.
Be to, pašalinta parama „ldap ssl ads“ iš smb.conf. Tikimasi, kad kitoje versijoje bus pašalinta parinktis „serverio kanalas“.
Iš kitų išsiskiriančių pokyčių yra pašalinti:
- Pašalinti „LDAP SSL“ skelbimai
- smb2 išjungia užrakto sekos patikrinimą
- smb2 deaktyvinti oplock break pertrauką
- domeno prisijungimai
- neapdorotas NTLMv2 autentifikavimas
- kliento paprasto teksto autentifikavimas
- NTLMv2 autentifikavimo klientas
- lanman auth klientas
- Naudojant „spnego“ klientą
- Kanalas iš serverio bus pašalintas 4.13.0 versijoje
- Nebenaudojama „smb.conf“ parinktis „ldap ssl ads“ buvo pašalinta.
- Nebenaudojama parinktis „serverio kanalas“ smb.conf greičiausiai pašalinta galutinėje 4.13.0 versijoje.
Pagaliau jei norite apie tai sužinoti daugiau apie šios naujos „Samba“ versijos pakeitimus galite juos žinoti Šioje nuorodoje.