The vydanie novej verzie Samby 4.13, verzia v ktorej pridáva sa riešenie zraniteľnosti ktorá bola zistená pred niekoľkými dňami ZeroLogon (CVE-2020-1472), navyše v tejto novej verzii sa už požiadavky na Python zmenili na verziu 3.6 a tiež ďalšie zmeny.
Pre tých, ktorí nie sú oboznámení so Sambou, by ste mali vedieť, že ide o projekt, ktorý pokračuje vo vývoji pobočky Samba 4.x s úplnou implementáciou radiča domény a služby Active Directory, kompatibilnou s implementáciou Windows 2000 a schopnou obsluhovať všetky verzie klientov Windows podporovaných spoločnosťou Microsoft, vrátane Windows 10.
Samba 4, je multifunkčný serverový produkt, ktorá tiež poskytuje implementáciu súborového servera, tlačovej služby a autentifikačného servera (winbind).
Hlavné nové funkcie Samby 4.13
V tejto novej verzii protokolu Oprava zraniteľnosti ZeroLogon pridaná (CVE-2020-1472), čo by mohlo útočníkovi umožniť získať práva správcu na radiči domény v systémoch, ktoré nepoužívajú nastavenie „server schannel = yes“ (Ak o tom chcete vedieť viacPublikáciu, ktorú o nej zdieľame, si môžete skontrolovať tu na blogu. Odkaz je tento)
Ďalšou zmenou, ktorá bola urobená v tejto novej verzii Samby, je to, že Minimálne požiadavky na Python boli zvýšené z Pythonu 3.5 na Python 3.6. Aj keď je schopnosť zostavy súborového servera s Pythonom 2 stále zachovaná (pred spustením ./configure 'a' make ', musíte nastaviť premennú prostredia' PYTHON = python2 '), ale v nasledujúcej vetve bude odstránená a Na kompiláciu bude potrebný Python 3.6.
Na druhej strane funkčnosť „Wide links = yes“, ktoré umožňuje správcom súborového servera vytvárať symbolické odkazy do oblasti mimo aktuálneho oddielu SMB / CIFS, presunutý z protokolu smbd do samostatného modulu „vfs_widelinks“.
Momentálne sa tento modul načítava automaticky, ak je v konfigurácii parameter „wide links = yes“.
Podpora výrazu „wide links = yes“ sa plánuje v budúcnosti zrušiť z bezpečnostných dôvodov sa používateľom samby dôrazne odporúča použiť „mount –bind“ na pripojenie externých častí súborového systému namiesto „wide links = yes“.
Upozorňujeme, že vývojári Samby odporúčajú čo najskôr zmeniť inštalácie, ktoré v súčasnosti používajú „wide links = yes“, aby sa pripojenia pripojili čo najskôr, pretože „wide links = yes“ je zo svojej podstaty nezabezpečené nastavenie, ktoré by sme chceli zo Samby odstrániť. Presunutie funkcie do modulu VFS umožňuje, aby sa to v budúcnosti dialo čistejším spôsobom.
Podpora radiča domény v klasickom režime bola ukončená. Používatelia radičov domény typu NT4 („klasický“) musia migrovať na radiče domén Samba Active Directory, aby mohli pracovať s modernými klientmi so systémom Windows.
Metódy nezabezpečeného overovania, ktoré je možné použiť iba v prípade protokolu SMBv1, sú zastarané: „prihlásenia do domény“, „nespracované overenie NTLMv2“, „overenie totožnosti klienta prostredníctvom holého textu“, „overenie totožnosti klienta NTLMv2“, „autentifikácia klienta Lanman“ a „použitie klienta spnego“.
Bola tiež odstránená podpora možnosti „ldap ssl ads“ zo súboru smb.conf. Očakáva sa, že budúca verzia odstráni možnosť „serverový kanál“.
Z ďalších zmien, ktoré vynikajú, sú vylúčenie:
- Reklamy LDAP SSL boli odstránené
- smb2 zakáže overenie sekvencie zámku
- smb2 vypnúť opakovanie prerušenia blokovania
- prihlásenia do domény
- prvotné overenie NTLMv2
- autentifikácia holého textu klienta
- NTLMv2 autorizačný klient
- lanman auth klient
- Pomocou klienta spnego
- Kanál zo servera bude vo verzii 4.13.0 odstránený
- Zastaraná možnosť smb.conf „reklamy ldap ssl“ bola odstránená.
- Zastaraná možnosť „serverový kanál“ smb.conf bola s najväčšou pravdepodobnosťou odstránená vo finálnej verzii 4.13.0.
Konečne ak o tom chcete vedieť viac o zmenách v tejto novej verzii Samby ich môžete poznať Na nasledujúcom odkaze.