Nooca cusub ee Samba 4.15.0 mar hore ayaa la sii daayay, waxay la timid taageero loogu talagalay SMB3, hagaajin iyo inbadan

Darkcrizt

Daqiiqado 4

Dhawaan sii deynta nooca cusub ee Samba 4.15.0 ayaa lagu dhawaaqay, oo sii wada horumarinta laanta Samba 4 iyada oo si buuxda loo hirgeliyey xakamaynta domainka iyo adeegga Tusaha Firfircoon.

Qaabkan cusub ee Samba dhammaystirka shaqada lakabka VFS ayaa la iftiimiyay, sidoo kale waxaa loo suuro galiyay si toos ah iyo marka lagu daro xasilinta taageerada kordhinta SMB3, khadka taliska ayaa la hagaajiyay, iyo waxyaabo kale.

Astaamaha ugu muhiimsan ee cusub ee Samba 4.15

Qaabkan cusub waxaa lagu muujiyay in Shaqadii casriyaynta lakabka VFS oo la dhammaystiray iyo sababo taariikheed, koodh leh hirgalinta server -ka faylka oo ku xidhan habaynta faylka, kaas oo loo adeegsaday, waxyaabo kale, oo loogu talagalay borotokoolka SMB2, kaas oo loo tarjumay si loogu isticmaalo tilmaamayaasha.

Casriyeynta ayaa ku timid turjumidda koodhka kaas oo siinaya marin u helka nidaamka faylka serverka si uu u adeegsado sharraxayaasha faylka halkii uu ka isticmaali lahaa dariiqyada faylka tusaale ahaan fstat () waxaa loo adeegsadaa halkii stat () iyo SMB_VFS_FSTAT () waxaa loo isticmaalaa halkii SMB_VFS_STAT ().

Hirgelinta tiknoolijiyada BIND ee Dynamically Loaded Zones (DLZ), oo u saamaxaysa macaamiisha inay u diraan codsiyada wareejinta aagga DNS server -ka BIND oo ay jawaab ka helaan Samba, waxay ku dartay awoodda lagu qeexayo liisaska gelitaanka si loo go'aamiyo waxa Macaamiisha loo oggol yahay codsiyada noocaas ah iyo kuwa kuwa aan ahayn

Cusboonaysiin kale oo taagan ayaa ah taas waxaa lagu awooday in lagu daro taageero hore ayaa loo xasiliyey fidinta SMB3 (Multichannel SMB3), kaas oo u oggolaanaya macaamiisha inay dhistaan ​​xiriiro badan si ay u barbar dhigaan wareejinta xogta gudaheeda hal kalfadhi SMB. Tusaale ahaan, marka la galayo isla faylka, hawlgallada I / O waxay ku faafi karaan isku -xidhnaanno badan oo isku mar furan. Habkani wuxuu hagaajiyaa waxqabadka wuxuuna kordhiyaa dulqaadka qaladka. Si aad u curyaamiso SMB3 multichannel -ka smb.conf, beddel ikhtiyaarka "taageerada server -ka badan", kaas oo hadda awood u siinaya si toos ah aaladaha Linux iyo FreeBSD.

Waxaa suurtogal ah in la adeegsado amarka aaladda samba-qaabaynta Samba oo la dhisay iyada oo aan la taageerin xakamaynta maareynta aagga Active Directory (oo leh ikhtiyaarka “–doon-ad-dc” la cayimay). Laakiin kiiskan, shaqooyinka oo dhan lama heli karo, tusaale ahaan awooda amarka 'aagga aaladda samba' ayaa xadidan.

Dhinaca kale, waxaa la xusay in is -dhexgalka khadadka taliska la wanaajiyay oo soo -jeedin ikhtiyaar ikhtiyaar ikhtiyaar ah oo cusub si loogu adeegsado sambalada kala duwan. Ikhtiyaarro la mid ah ayaa la mideeyay, kuwaas oo ku kala duwan adeegsiga kala duwan, tusaale ahaan, maaraynta ikhtiyaarrada la xiriira sirta, la shaqaynta saxiixyada dhijitaalka ah iyo adeegsiga kerberoska ayaa la mideeyay. Smb.conf wuxuu qeexayaa dejinta si loo dejiyo ikhtiyaarrada caadiga ah ee xulashooyinka.

Sidoo kale, taageero dheeri ah oo loogu talagalay farsamaynta Ku -biirinta Domain -ka ee Qarsoon (ODJ), kaas oo kuu oggolaanaya inaad ku biirto kombiyuutar cinwaanka adigoon si toos ah ula xiriirin maamule domain. Nidaamyada hawlgalka ku salaysan ee Samba-ku-saleysan ee Samba, amarka 'net offlinejoin' waxaa la siiyaa inuu ku biiro, daaqadahana waxaad ku isticmaali kartaa barnaamijka djoin.exe ee caadiga ah.

Isbeddelada kale taagan:

  • Si loo muujiyo khaladaadka dhammaan adeegyada, STDERR ayaa loo isticmaalaa (si loogu soo saaro STDOUT, ikhtiyaarka "–debug-stdout" ayaa la bixiyaa).
    Ikhtiyaar lagu daray "–client-protection = off | calaamad | sir '.
  • Qalabka DLZ DNS ma sii taageerayo laamaha isku xirka 9.8 iyo 9.9.
  • Sida caadiga ah, liisaska liiska aagagga la isku halleeyo ayaa naafo ah marka la bilaabayo winbindd, taas oo macno ku samaysay NT4 maalmood, laakiin aan khusayn Tusaha Firfircoon.
  • Adeegyada DNS DCE / RPC hadda waxaa adeegsan kara aaladda samba iyo adeegsiga Windows si ay u maareeyaan diiwaannada DNS ee server -ka dibedda.
  • Marka amarka "samba-tool domain backup online" la fuliyo, qaabeynta saxda ah ee qufulada ku jira keydka xogta LMDB waxaa loo dammaanad qaaday in laga ilaaliyo wax ka beddelka xogta isbarbar socda inta lagu jiro kaydinta.
  • Taageerada lahjadaha tijaabada ah ee borotokoolka SMB waa la joojiyay: SMB2_22, SMB2_24, iyo SMB3_10, kuwaas oo loo adeegsaday kaliya noocyada tijaabada ee Windows.
  • Tijaabintu waxay ku dhisantahay hirgelinta Tusaha Firfircoon ee Tijaabada ah oo ku salaysan MIT Kerberos, shuruudaha ayaa kor loo qaaday nooca xirmadaan. Dhismayaasha hadda waxay u baahan yihiin ugu yaraan MIT Kerberos 1.19 (lagu raray Fedora 34).
  • Taageerada NIS waa laga saaray.
  • Waxay hagaajisay nuglaanta CVE-2021-3671 oo u oggolaan karta isticmaale aan la xaqiijin inuu xiro koontaroole domain-ku saleysan Heimdal KDC haddii baakad TGS-REQ la diro iyadoo aan la adeegsan magaca server.

Finalmente hadaad xiisaynayso inaad waxbadan ka ogaato, waad hubin kartaa faahfaahinta xiriirka soo socda.


Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Masuul ka ah xogta: Miguel Ángel Gatón
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.