The випуск нової версії Samba 4.13, версія в якій додано рішення уразливості що було виявлено кілька днів тому ZeroLogon (CVE-2020-1472), крім того, що в цій новій версії вимоги Python вже змінені до версії 3.6, а також інші зміни.
Для тих, хто не знайомий із Samba, вам слід знати, що це проект, який продовжує розробку гілки Samba 4.x з повною реалізацією контролера домену та служби Active Directory, сумісний із реалізацією Windows 2000 і здатний обслуговувати всі версії клієнтів Windows, що підтримуються Microsoft, включаючи Windows 10.
Самба 4, є багатофункціональний серверний продукт, який також забезпечує реалізацію файлового сервера, служби друку та сервера автентифікації (winbind).
Основні нові можливості Samba 4.13
У цій новій версії протоколу Додано виправлення вразливості ZeroLogon (CVE-2020-1472), що може дозволити зловмиснику отримати права адміністратора на контролері домену в системах, які не використовують параметр "серверний канал = так" (Якщо ви хочете дізнатися більше про цеВи можете перевірити публікацію, якою ми ділимось про це, тут, у блозі. Посилання це)
Ще одна зміна, яка була внесена в цю нову версію Samba, полягає в тому, що Мінімальні вимоги до Python підвищено з Python 3.5 до Python 3.6. Хоча можливість створення файлового сервера за допомогою Python 2 все ще зберігається (перед запуском ./configure 'та' make ', вам потрібно встановити змінну середовища' PYTHON = python2 '), але в наступній гілці вона буде видалена і Для компіляції знадобиться Python 3.6.
З іншого боку функціональність "Широкі посилання = так", що дозволяє адміністраторам файлових серверів створювати символічні посилання до області за межами поточного розділу SMB / CIFS, вона була переміщена з smbd в окремий модуль "vfs_widelinks".
В даний час цей модуль завантажується автоматично, якщо в конфігурації є параметр "широкі посилання = так".
Підтримку "широких посилань = так" планується видалити в майбутньому через проблеми безпеки, і користувачам samba настійно рекомендується використовувати "mount –bind" для монтування зовнішніх частин файлової системи замість "wide links = yes".
Зауважте, що розробники Samba рекомендують змінювати будь-які установки, які в даний час використовують "широкі посилання = так", щоб використовувати монтування посилань якомога швидше, оскільки "широкі посилання = так" - це за своєю суттю небезпечні налаштування, які ми хотіли б видалити із Самби. Переміщення функції у модуль VFS дозволяє зробити це більш чисто в майбутньому.
Підтримка контролера домену в класичному режимі застаріла. Користувачі контролерів домену типу "NT4" ("класичний") повинні перейти на контролери домену Samba Active Directory, щоб працювати з сучасними клієнтами Windows.
Небезпечні методи автентифікації, які можна використовувати лише з SMBv1, застаріли: "входи в домен", "необроблена автентифікація NTLMv2", "автентифікація клієнта в звичайному тексті", "автентифікація клієнта NTLMv2", "клієнт автентифікації на локальній мережі" та "використання клієнта-клієнта".
Також вилучено підтримку опції "ldap ssl ads" із smb.conf. Очікується, що наступна версія видалить параметр "серверний канал".
З інших змін, що виділяються, є усунення:
- Оголошення Ldap ssl видалено
- smb2 вимикає перевірку послідовності блокування
- smb2 вимкнути розблокування повторної спроби
- логіни домену
- необроблена автентифікація NTLMv2
- клієнтська автентифікація у відкритому тексті
- Клієнт автентифікації NTLMv2
- клієнт
- Використання клієнта spnego
- Канал із сервера буде видалено у версії 4.13.0
- Застарілу опцію smb.conf "ldap ssl ads" видалено.
- Застарілу опцію "серверний канал" smb.conf, швидше за все, видалено в остаточній версії 4.13.0.
В кінці кінців якщо ви хочете дізнатися більше про це про зміни в цій новій версії Samba, ви можете їх знати У наступному посиланні.