The pelepasan versi baru Samba 4.13, versi di mana penyelesaian untuk kerentanan ditambahkan yang dikesan beberapa hari yang lalu ZeroLogon (CVE-2020-1472), selain fakta bahawa dalam versi baru ini, persyaratan Python telah berubah menjadi versi 3.6 dan juga perubahan lain.
Bagi mereka yang tidak biasa dengan Samba, anda harus tahu bahawa ini adalah projek yang meneruskan pengembangan cawangan Samba 4.x dengan pelaksanaan penuh pengawal domain dan perkhidmatan Direktori Aktif, serasi dengan pelaksanaan Windows 2000 dan mampu melayani semua versi pelanggan Windows yang disokong oleh Microsoft, termasuk Windows 10.
Samba 4, adalah produk pelayan pelbagai fungsi, yang juga menyediakan pelaksanaan pelayan fail, perkhidmatan cetak dan pelayan pengesahan (winbind).
Ciri baru utama Samba 4.13
Dalam versi baru protokol ini Pembaikan kerentanan ZeroLogon ditambah (CVE-2020-1472), yang memungkinkan penyerang memperoleh hak pentadbir pada pengawal domain pada sistem yang tidak menggunakan tetapan "server schannel = yes" (Sekiranya anda ingin mengetahui lebih lanjut mengenainyaAnda boleh menyemak penerbitan yang kami kongsikan di sini di blog. Pautan ini)
Perubahan lain yang dibuat dalam versi baru Samba adalah bahawa Keperluan minimum Python telah dinaikkan dari Python 3.5 ke Python 3.6. Walaupun kemampuan untuk membina pelayan fail dengan Python 2 masih terpelihara (sebelum menjalankan ./configure 'dan' make ', anda perlu menetapkan pemboleh ubah persekitaran' PYTHON = python2 '), tetapi di cawangan seterusnya ia akan dikeluarkan dan Python 3.6 diperlukan untuk penyusunan.
Sebaliknya fungsi "Pautan lebar = ya", yang membolehkan pentadbir pelayan fail membuat pautan simbolik ke kawasan di luar partisi SMB / CIFS semasa, dipindahkan dari smbd ke modul "vfs_widelinks" yang berasingan.
Pada masa ini, modul ini dimuat secara automatik jika terdapat parameter "pautan lebar = ya" dalam konfigurasi.
Sokongan untuk "pautan lebar = ya" dirancang untuk dikeluarkan pada masa akan datang Kerana masalah keselamatan, pengguna samba sangat disarankan untuk menggunakan "mount –bind" untuk memasang bahagian luar sistem fail dan bukannya "pautan lebar = ya".
Perhatikan bahawa pemaju Samba mengesyorkan menukar pemasangan yang kini menggunakan "pautan lebar = ya" untuk menggunakan pemasangan pautan secepat mungkin, kerana "pautan lebar = ya" adalah tetapan yang tidak selamat secara semula jadi yang ingin kami alih keluar dari Samba. Memindahkan ciri ke modul VFS membolehkan ini dilakukan dengan cara yang lebih bersih pada masa akan datang.
Sokongan untuk pengawal domain dalam mod klasik sudah tidak digunakan lagi. Pengguna pengawal domain jenis NT4 ('klasik') mesti berpindah ke pengawal domain Direktori Aktif Samba untuk bekerja dengan klien Windows moden.
Kaedah pengesahan tidak selamat yang hanya dapat digunakan dengan SMBv1 tidak digunakan lagi: "log masuk domain", "pengesahan NTLMv2 mentah", "pengesahan klien plaintext", "pengesahan klien NTLMv2", "pelanggan lanman pengesahan" dan "penggunaan klien spnego".
Juga, sokongan untuk pilihan "ldap ssl ads" dari smb.conf telah dikeluarkan. Versi seterusnya diharapkan dapat menghapus pilihan "saluran pelayan".
Perubahan lain yang menonjol adalah penghapusan:
- Iklan ldap ssl dikeluarkan
- smb2 melumpuhkan pengesahan urutan kunci
- smb2 lumpuhkan percubaan rehat oplock
- log masuk domain
- pengesahan NTLMv2 mentah
- pengesahan plaintext pelanggan
- Pelanggan autentikasi NTLMv2
- pelanggan autentik lanman
- Menggunakan klien spnego
- Saluran dari pelayan akan dikeluarkan dalam versi 4.13.0
- Pilihan smb.conf yang tidak digunakan lagi "ldap ssl ads" telah dikeluarkan.
- Opsi smb.conf "pelayan schannel" yang sudah tidak digunakan kemungkinan besar akan dikeluarkan dalam versi akhir 4.13.0.
Akhirnya sekiranya anda ingin mengetahui lebih lanjut mengenainya mengenai perubahan dalam versi baru Samba ini, anda boleh mengenalinya Dalam pautan berikut.