В выпуск новой версии Samba 4.13, версия, в которой добавлено решение уязвимости что было обнаружено несколько дней назад ZeroLogon (CVE-2020-1472), в дополнение к этому в этой новой версии требования Python уже изменились до версии 3.6, а также другие изменения.
Для тех, кто не знаком с Samba, вы должны знать, что это проект, который продолжает развитие ветви Samba 4.x с полной реализацией контроллера домена и службы Active Directory, совместимой с реализацией Windows 2000 и способной обслуживать все версии. клиентов Windows, поддерживаемых Microsoft, включая Windows 10.
Самба 4, это многофункциональный серверный продукт, который также обеспечивает реализацию файлового сервера, службы печати и сервера аутентификации (winbind).
Основные новые возможности Samba 4.13
В этой новой версии протокола Добавлено исправление уязвимости ZeroLogon (CVE-2020-1472), что может позволить злоумышленнику получить права администратора на контроллере домена в системах, которые не используют параметр server schannel = yes (Если вы хотите узнать об этом большеВы можете проверить публикацию об этом здесь, в блоге. Ссылка эта)
Еще одно изменение, внесенное в эту новую версию Samba, заключается в том, что Минимальные требования Python были повышены с Python 3.5 до Python 3.6. Хотя возможность создания файлового сервера с Python 2 все еще сохраняется (перед запуском ./configure 'и' make 'вам необходимо установить переменную среды' PYTHON = python2 '), но в следующей ветке она будет удалена и Для компиляции потребуется Python 3.6.
С другой стороны, функциональность «Широкие ссылки = да», что позволяет администраторам файловых серверов создавать символические ссылки. в область за пределами текущего раздела SMB / CIFS, перемещенного из smbd в отдельный модуль vfs_widelinks.
В настоящее время этот модуль загружается автоматически, если в конфигурации есть параметр «широкие ссылки = да».
Поддержка «широких ссылок = да» планируется убрать в будущем. из соображений безопасности, пользователям самбы настоятельно рекомендуется использовать команду «mount –bind» для монтирования внешних частей файловой системы вместо «широкие ссылки = да».
Обратите внимание, что разработчики Samba рекомендуют изменить все установки, которые в настоящее время используют «wide links = yes», чтобы использовать монтирование ссылок как можно скорее, поскольку «wide links = yes» - это небезопасный параметр, который мы хотели бы удалить из Samba. Перемещение функции в модуль VFS позволит сделать это более чистым способом в будущем.
Поддержка контроллера домена в классическом режиме устарела. Пользователи контроллеров домена NT4 («классических») должны перейти на контроллеры домена Samba Active Directory для работы с современными клиентами Windows.
Небезопасные методы аутентификации, которые могут использоваться только с SMBv1, устарели: «доменное имя», «необработанная аутентификация NTLMv2», «аутентификация клиента с открытым текстом», «аутентификация клиента NTLMv2», «аутентификация клиента Lanman» и «использование клиента spnego».
Также была удалена поддержка опции «ldap ssl ads» из smb.conf. Ожидается, что в следующей версии будет удалена опция «серверный канал».
Среди других изменений, которые выделяются, это устранение:
- Ldap ssl-реклама удалена.
- smb2 отключает проверку последовательности блокировок
- smb2 отключить повторную попытку прерывания блокировки
- вход в домен
- необработанная проверка подлинности NTLMv2
- проверка подлинности открытого текста клиента
- Клиент аутентификации NTLMv2
- клиент аутентификации lanman
- Использование клиента spnego
- Канал с сервера будет удален в версии 4.13.0
- Устаревшая опция smb.conf "ldap ssl ads" была удалена.
- Устаревшая опция "server schannel" smb.conf, скорее всего, удалена в финальной версии 4.13.0.
В конце концов если вы хотите узнать об этом больше об изменениях в этой новой версии Samba, вы можете узнать их По следующей ссылке.