Подготовлены (https://www.mail-archive.com/samba-announce@lists.samba...) корректирующие выпуски пакета Samba 4.8.4, 4.7.9 и 4.6.16, в которых устранено несколько уязвимостей:- CVE-2018-1139 - позволяет применить для аутентификации устаревший алгоритм NTLMv1, даже если он отключен в настройках;
- CVE-2018-1140 - отсутствие проверки на нулевой указатель может привести к краху Samba AD DC при отправке определённым образом оформленных запросов через DNS или LDAP;- CVE-2018-10858 - при обращении клиента к серверу, подконтрольному злоумышленнику, возможно повреждение областей памяти libsmbclient;- CVE-2018-10918 - отсутствие проверки на нулевой указатель может привести к краху Samba AD DC через отправку аутентифицированного запроса через DRSUAPI RPC;- CVE-2018-10919 - отсутствие проверки прав доступа позволяет выяснить значения конфиденциальных атрибутов через формирование поискового запроса в LDAP.
URL: https://www.mail-archive.com/samba-announce@lists.samba...
Новость: https://www.opennet.ru/opennews/art.shtml?num=49133
Итак, приготовились, и ждем в Debian!
Уже несколько часов как пришло.
А в каком репозитории доступна версия 4.8.4 ?А то я туплю что то и старше 4.8.2 обновиться не получается.
Добавлены репозитории для Debian 9 stable, testing, stableupdates, backports:
deb http://security.debian.org/debian-security stretch/updates main contrib
deb-src http://security.debian.org/debian-security stretch/updates main contrib
deb http://deb.debian.org/debian/ stretch-updates main contrib
deb-src http://deb.debian.org/debian/ stretch-updates main contribdeb http://security.debian.org/ stretch/updates main
deb-src http://security.debian.org/ stretch/updates main
deb http://mirror.yandex.ru/debian stretch main
deb-src http://mirror.yandex.ru/debian stretch main
deb http://mirror.yandex.ru/debian stretch-updates main
deb-src http://mirror.yandex.ru/debian stretch-updates main
deb http://mirror.yandex.ru/debian/ stretch-proposed-updates main non-free contrib
deb-src http://mirror.yandex.ru/debian/ stretch-proposed-updates main non-free contrib
deb http://ftp.ru.debian.org/debian/ testing main non-free contrib
deb-src http://ftp.ru.debian.org/debian/ testing main non-free contrib
deb http://ftp.ru.debian.org/debian/ unstable main non-free contrib
deb-src http://ftp.ru.debian.org/debian/ unstable main non-free contribdeb http://httpredir.debian.org/debian stretch-updates main
deb-src http://httpredir.debian.org/debian stretch-updates main
Сетку видет виндовую теперь?
нет
как теперь жить?
Этим кто-то пользуется?
>Этим кто-то пользуется?Пользуются и достаточно много народа.
C NFS4 все грустно,реально сталкивался с ситуацией когда сервер скидывал протокол соединения на 3 а то и 2 версию, а там с скоростью дело швах, и кричащие спецы NFS наше все куда то сдулись и исчезли.Диагностировать ошибки в протоколе сложно ,нужно ставить спецсофт который еще задолбался я собирать как в репозитарий основных дистрибутивов не входит , или снифер с падчами .Очень чувствителен к прошивкам маршрутизаторов (в разных версиях разные задержки обработки), такое ощущение что на этот протокол забили и не кто уже не тестирует и не пользуеться :-(
Вы что-то гоните. NFS никуда не может скидывать протокол (максимум в рамках подверсии, типа 4.1 и 4.0) - если 4, то это 4, а если 3, то это 3. Это разные протоколы, 3 и 4 реализованы в достаточной степени *независимо* и обрабатываются разными потоками в ядре: на какой подключаемся, такой и работает. То, что через rpc разруливается версия, никак не меняет того факта, что реализация за ней и обработка - разделены. Во всяком случае, в линуксе. На солярке несколько иначе.Про "швах со скоростью" это вы тоже маленько гоните. Ну в NFSv2 может и да, а NFSv3, если все правильно настроить (как минимум tcp режим и правильные буферы) скорость отличная. Иногда даже лучше, чем на 4. Хотя на 4-ке немного проще. Вообще, если есть проблемы со скоростью - ищите их на клиенте. А использовать старые версии не стоит, хотя бы потому, что там керберос был через задницу (а без него нет ни авторизации, ни аутентификации. Иллюзия аутентификции только разве что).
> Очень чувствителен к прошивкам маршрутизаторов (в разных версиях разные задержки обработки),
Эээ ЧТО? Ну давайте расскажите, каким образом одно tcp-соединение через 2049 порт (раз уж говорим про актуальную 4-ую версию) может быть "чувствительно к прошивкам" или задержкам из-за маршрутизации и что у вас за маршутизатор такой, который остальной трафик пропускает нормально, а с NFS лажает. Только не надо про NFSv3, он не предназначен для работы через интернет и машрутизаторы и требует хелперов - это возможно, но смысла никакого нет, когда NFSv4 работает без каких-либо хаков.
>Вы что-то гоните. NFS никуда не может скидывать протоколНу сам же наблюдал такую вещь,правда клиенты монтировались "жестко" ,может проблемы были в ядре ,х.з ,при хороших нагрузках возникали большие таймауты и смотришь пересоединение с пониженой версией .
>Ну давайте расскажите, каким образом одно tcp-соединение через 2049 порт
D-Link , как выяснилось не очень любит мелкие фрагментированные пакеты,любит их дефрагментировать ....
> Ну сам же наблюдал такую вещь,правда клиенты монтировались "жестко" ,может проблемы были в ядре ,х.з ,при хороших нагрузках возникали большие таймауты и смотришь пересоединение с пониженой версией .o.O Насколько я знаю, подобной логики там точно нигде нет. Чтобы при пересоединении пробовали другую версию. Вообще, если умеете 4 - залочьте ее и все.
> D-Link , как выяснилось не очень любит мелкие фрагментированные пакеты,любит их дефрагментировать ....
Предположим. Но тогда поясните, каким образом фрагментация или дефрагментация IP-пакетов влияет (и вообще заметна) с точки зрения TCP, по которому ходит NFS?
>.O Насколько я знаю, подобной логики там точно нигде нет.Вот и кому верить? Журнал Системный администратор ,номер не помню, было описание 4 версии протокола, написано что полностью совместимо с 2 и 3 версией протокола.В 4.1 веденно пару расширений и возможность для безопасности заблокировать на 4 версии протокола.Т.к сквозное шифрование было принято только в 4 версии.
С дефрагментацией на маршрутизаторе ощутимо падала скорость на клиентах .
> описание 4 версии протокола, написано что полностью совместимо с 2 и 3 версией протокола.Где оно совместимо, когда:
1) stateful, в отличие от statless 2 и 3 версии
2) Не использует внешние mountd и lock manager, вместо этого они стали частью протокола (собственно, эти не-statless части, подключенные снаружи к обычному nfs 2/3 версии создавали проблемы). Соответственно основной протокол внедрил в себя все эти операции
3) Операции объединяютсяЭто все разница чисто с точки зрения протокола, не фич. А "совместимо" разве что в смысле что все работают через rpc и их можно повесить за одним мультиплексором rpc, который договорится о версии и переключит, куда надо.
Может, тот факт, что nfs v2/3 даже на клиенте реализован одним драйвером ФС, а v4 - совершенно другим, тоже о чем-то говорит.
Вчера на минт обновление пришло, сеть видит.
Отвечу сам себе, в вышеперечисленных репозиториях самба 4.8.4 уже есть.
Подскажите простому ДебСид-юзеру. Возможно ли хотя бы в теории заменить AD DS +SMB на что-то другое, к чему подцеплять (простите) вендовые же телеги?
GINA. Бесплатного и не протухшего ничего нет. Вот пример https://www.rohos.com/gina-authentication-module.htm
А самба четыре чем тебе не нравится?
Опять же - вопрос теоретический. Сделать структуру на базе вменяемых вещей (LDAP-сервер, и что там ещё надо для работы), которая дял вендовых клиентосистем будет выглядеть как обычный AD DS.
Тебе же сказали - Samba4. Как раз то, что ты хочешь.Если сложно - смотри реализацию в Calculate Linux.
Если ради интереса, то ответы выше.
А если для продакшена, то надо понимать конечную цель, объем Win их распредеоенность и т.п. А также необходимый функционал.
Для маленькой инфраструктуры сойдет и samba4.
В большой организации если большинство ПК на Win и Вы этого менять не собираетесь, то ничего лучше AD нет. Ну вот умеет MS делать корпоративные продукты с интеграцией внутри MS.А если в плане перевода всех ПК на NIX, то у Вас вопрос стоит неправильно. Надо создавать NIX инфраструктуру (пока интегрированную с Win) и переводить ПК. А как управляться с остатками будет зависеть чего сколько останется.
Если сложно самому осилить (на базе samba4), попробуйте nethserver, там это из коробки.
Файловую 1С уже можно на ней запускать? С 1998 года жду этого момента.