The Samba jaunās versijas 4.13 izlaišana, versija, kurā tiek pievienots ievainojamības risinājums kas tika atklāts pirms dažām dienām ZeroLogon (CVE-2020-1472), papildus šai jaunajai versijai Python prasības jau ir mainītas uz 3.6 versiju un arī citas izmaiņas.
Tiem, kam Samba nav sveša, jums jāzina, ka šis ir projekts, kas turpina filiāles Samba 4.x izstrādi, pilnībā ieviešot domēna kontrolleri un Active Directory pakalpojumu, kas ir saderīgs ar Windows 2000 ieviešanu un spēj apkalpot visas versijas. no Microsoft atbalstītajiem Windows klientiem, ieskaitot Windows 10.
Samba 4, ir daudzfunkcionāls servera produkts, kas nodrošina arī failu servera, drukas pakalpojuma un autentifikācijas servera (winbind) ieviešanu.
Samba 4.13 galvenās jaunās iespējas
Šajā jaunajā protokola versijā Pievienots ZeroLogon ievainojamības labojums (CVE-2020-1472), kas varētu ļaut uzbrucējam iegūt administratora tiesības uz domēna kontrolleri sistēmās, kurās neizmanto iestatījumu "servera schannel = jā" (Ja vēlaties uzzināt vairāk par toPublikāciju, kurā mēs par to kopīgojam, varat pārbaudīt šeit, emuārā. Saite ir šī)
Vēl viena no izmaiņām, kas tika veikta šajā jaunajā Samba versijā, ir tā, ka Minimālās Python prasības ir paaugstinātas no Python 3.5 uz Python 3.6. Kaut arī joprojām tiek saglabāta iespēja izveidot failu serveri ar Python 2 (pirms palaišanas ./configure un make, jums jāiestata vides mainīgais “PYTHON = python2”), bet nākamajā filiālē tas tiks noņemts un Kompilēšanai būs nepieciešama Python 3.6.
No otras puses, funkcionalitāte "Wide links = yes", kas failu serveru administratoriem ļauj izveidot simboliskas saites uz apgabalu ārpus pašreizējā SMB / CIFS nodalījuma tas ir pārvietots no smbd uz atsevišķu moduli "vfs_widelinks".
Pašlaik šis modulis tiek ielādēts automātiski, ja konfigurācijā ir parametrs "wide links = yes".
Atbalstu vaicājumam “wide links = yes” nākotnē plānots noņemt drošības apsvērumu dēļ, un samba lietotājiem ir ļoti ieteicams faila sistēmas ārējo daļu montāžai izmantot “mount –bind”, nevis “wide links = yes”.
Ņemiet vērā, ka Samba izstrādātāji iesaka mainīt visas instalācijas, kurās pašlaik tiek izmantots “wide links = yes”, lai pēc iespējas ātrāk izmantotu saišu stiprinājumus, jo “wide links = yes” ir raksturīgs nedrošs iestatījums, kuru mēs vēlētos noņemt no Samba. Funkcijas pārvietošana VFS modulī ļauj to nākotnē izdarīt tīrāk.
Domēna kontrollera atbalsts klasiskajā režīmā ir novecojis. NT4 tipa (“klasiskā”) domēna kontrolleru lietotājiem ir jāpāriet uz Samba Active Directory domēna kontrolleriem, lai strādātu ar mūsdienu Windows klientiem.
Nedrošās autentifikācijas metodes, kuras var izmantot tikai ar SMBv1, ir novecojušas: "domēna pieteikšanās", "neapstrādāta NTLMv2 autentifikācija", "klienta vienkāršā teksta autentifikācija", "NTLMv2 klienta autentifikācija", "autentifikācijas lanman klients" un "spnego klienta lietojums".
Ir noņemts arī atbalsts opcijai "ldap ssl ads" no smb.conf. Paredzams, ka nākamajā versijā tiks noņemta opcija "servera kanāls".
Starp citām izmaiņām, kas izceļas, ir likvidēt:
- Ldap ssl reklāmas ir noņemtas
- smb2 atspējo bloķēšanas secības pārbaudi
- smb2 atspējot oplock break atkārtotu mēģinājumu
- domēna pieteikšanās
- neapstrādāta NTLMv2 autentifikācija
- klienta vienkāršā teksta autentifikācija
- NTLMv2 autentifikācijas klients
- lanman auth klients
- Izmantojot spnego klientu
- Kanāls no servera tiks noņemts 4.13.0 versijā
- Novecojusī opcija smb.conf "ldap ssl ads" ir noņemta.
- Novecojusī opcija "servera kanāls" smb.conf, visticamāk, ir noņemta galīgajā versijā 4.13.0.
Beidzot ja vēlaties uzzināt vairāk par to par izmaiņām šajā jaunajā Samba versijā varat tās zināt Šajā saitē.