ดิ การเปิดตัว Samba 4.13 เวอร์ชันใหม่, เวอร์ชันที่ มีการเพิ่มวิธีแก้ไขช่องโหว่ ที่ตรวจพบเมื่อสองสามวันก่อน ZeroLogon (CVE-2020-1472) นอกจากนั้นในเวอร์ชันใหม่นี้ข้อกำหนดของ Python ได้เปลี่ยนไปเป็นเวอร์ชัน 3.6 แล้วและยังมีการเปลี่ยนแปลงอื่น ๆ อีกด้วย
สำหรับผู้ที่ไม่คุ้นเคยกับ Samba คุณควรทราบว่านี่เป็นโครงการที่ดำเนินการพัฒนาสาขา Samba 4.x อย่างต่อเนื่องด้วยการใช้งานตัวควบคุมโดเมนและบริการ Active Directory เต็มรูปแบบซึ่งเข้ากันได้กับการใช้งาน Windows 2000 และสามารถให้บริการได้ทุกเวอร์ชัน ของไคลเอนต์ Windows ที่รองรับโดย Microsoft รวมถึง Windows 10
Samba 4 คือ ผลิตภัณฑ์เซิร์ฟเวอร์มัลติฟังก์ชั่น ซึ่งยังให้การใช้งานเซิร์ฟเวอร์ไฟล์บริการการพิมพ์และเซิร์ฟเวอร์การตรวจสอบความถูกต้อง (winbind)
คุณสมบัติใหม่หลักของ Samba 4.13
ในโปรโตคอลเวอร์ชันใหม่นี้ เพิ่มการแก้ไขช่องโหว่ ZeroLogon (CVE-2020-1472) ซึ่งอาจทำให้ผู้โจมตีได้รับสิทธิ์ของผู้ดูแลระบบบนตัวควบคุมโดเมนบนระบบที่ไม่ใช้การตั้งค่า "เซิร์ฟเวอร์ schannel = ใช่" (หากคุณต้องการทราบข้อมูลเพิ่มเติมคุณสามารถตรวจสอบสิ่งพิมพ์ที่เราแบ่งปันเกี่ยวกับเรื่องนี้ได้ที่นี่ในบล็อก ลิงค์คือนี่)
การเปลี่ยนแปลงอีกอย่างที่เกิดขึ้นใน Samba เวอร์ชันใหม่นี้ก็คือไฟล์ ข้อกำหนดขั้นต่ำของ Python เพิ่มขึ้นจาก Python 3.5 เป็น Python 3.6 ในขณะที่ความสามารถในการสร้างไฟล์เซิร์ฟเวอร์ด้วย Python 2 ยังคงรักษาไว้ (ก่อนรัน. / กำหนดค่า 'และ' ทำให้ 'คุณต้องตั้งค่าตัวแปรสภาพแวดล้อม' PYTHON = python2 ') แต่ในสาขาถัดไปจะถูกลบออกและ Python 3.6 จะต้องใช้ในการคอมไพล์
ในทางกลับกันการทำงาน "ลิงก์กว้าง = ใช่" ซึ่งช่วยให้ผู้ดูแลระบบเซิร์ฟเวอร์ไฟล์สามารถสร้างลิงก์สัญลักษณ์ ไปยังพื้นที่นอกพาร์ติชัน SMB / CIFS ปัจจุบันโดยย้ายจาก smbd ไปยังโมดูล "vfs_widelinks" แยกต่างหาก
ปัจจุบันโมดูลนี้โหลดโดยอัตโนมัติหากมีพารามิเตอร์ "wide links = yes" ในการกำหนดค่า
มีการวางแผนที่จะลบการสนับสนุน "ลิงก์กว้าง = ใช่" ในอนาคต เนื่องจากปัญหาด้านความปลอดภัยและผู้ใช้ samba จึงควรใช้ "mount –bind" เพื่อต่อเชื่อมส่วนภายนอกของระบบไฟล์แทน "wide links = yes"
โปรดทราบว่านักพัฒนา Samba แนะนำให้เปลี่ยนการติดตั้งใด ๆ ที่ปัจจุบันใช้ "wide links = yes" เพื่อใช้ link mount โดยเร็วที่สุดเนื่องจาก "wide links = yes" เป็นการตั้งค่าที่ไม่ปลอดภัยโดยเนื้อแท้ซึ่งเราต้องการลบออกจาก Samba การย้ายคุณสมบัติไปไว้ในโมดูล VFS ช่วยให้สามารถทำได้ในอนาคตที่สะอาดขึ้น
เลิกรองรับตัวควบคุมโดเมนในโหมดคลาสสิกแล้ว ผู้ใช้ตัวควบคุมโดเมนชนิด NT4 ('คลาสสิก') ต้องย้ายไปยังตัวควบคุมโดเมน Samba Active Directory เพื่อที่จะทำงานกับไคลเอนต์ Windows สมัยใหม่
วิธีการรับรองความถูกต้องที่ไม่ปลอดภัยซึ่งสามารถใช้ได้เฉพาะกับ SMBv1 นั้นเลิกใช้แล้ว: "การเข้าสู่ระบบโดเมน", "การตรวจสอบสิทธิ์ NTLMv2 แบบดิบ", "การตรวจสอบความถูกต้องของข้อความธรรมดาของไคลเอ็นต์", "การตรวจสอบสิทธิ์ไคลเอ็นต์ NTLMv2", "การตรวจสอบสิทธิ์ lanman ไคลเอ็นต์" และ "การใช้งานไคลเอ็นต์ spnego"
นอกจากนี้การสนับสนุนสำหรับตัวเลือก "ldap ssl ads" จาก smb.conf ได้ถูกลบออกแล้ว รุ่นถัดไปคาดว่าจะลบตัวเลือก "ช่องเซิร์ฟเวอร์"
การเปลี่ยนแปลงอื่น ๆ ที่โดดเด่นคือ การกำจัด:
- ลบโฆษณา Ldap ssl แล้ว
- smb2 ปิดใช้งานการตรวจสอบลำดับการล็อก
- smb2 ปิดใช้งานตัวแบ่ง oplock ลองอีกครั้ง
- การเข้าสู่ระบบโดเมน
- การตรวจสอบสิทธิ์ NTLMv2 แบบดิบ
- การรับรองความถูกต้องของข้อความธรรมดาของไคลเอ็นต์
- ไคลเอนต์รับรองความถูกต้อง NTLMv2
- lanman รับรองความถูกต้องไคลเอ็นต์
- ใช้ไคลเอนต์ spnego
- ช่องจากเซิร์ฟเวอร์จะถูกลบออกในเวอร์ชัน 4.13.0
- ตัวเลือก smb.conf ที่เลิกใช้แล้ว "ldap ssl ads" ถูกลบออกแล้ว
- ตัวเลือก smb.conf "server schannel" ที่เลิกใช้แล้วมักจะถูกลบออกในเวอร์ชันสุดท้าย 4.13.0
ในที่สุด หากคุณต้องการทราบข้อมูลเพิ่มเติม เกี่ยวกับการเปลี่ยนแปลงใน Samba เวอร์ชันใหม่นี้คุณสามารถทราบได้ ในลิงค์ต่อไปนี้.