Представлены (http://permalink.gmane.org/gmane.network.samba.announce/319) корректирующие выпуски Samba 4.1.11 и 4.0.21 (http://www.samba.org/), в которых устранена уязвимость (http://www.samba.org/samba/security/CVE-2014-3560) (CVE-2014-3560), которая позволяет организовать удалённое выполнение кода злоумышленника с правами пользователя root. Проблема вызвана ошибкой в коде демона nmbd и проявляется только при использовании Samba в качестве сервера имён NetBIOS (http://ru.wikipedia.org/wiki/NetBIOS). Атака может быть совершена без проведения аутентификации. В качестве запасного пути защиты рекомендуется не запускать процесс nmbd.URL: http://permalink.gmane.org/gmane.network.samba.announce/319
Новость: https://www.opennet.ru/opennews/art.shtml?num=40314
Мда... а некоторые умудряются её на сервере включённой оставить...
Самбу?
На каком сервере, извините? Вы точно понимаете, о чем тут речь идет?
файло на виртуалках с вендами чем гонять?
Я знаю примерно 20 способов, самый быстрый вариант - самба.
на каком-каком, публичномпоставит гореадмин дистр по умолчанию, а там самба...
Жаль NFS на винде неюзабельна
> Жаль NFS на винде неюзабельнаВсё верно: вы, вендузятники, должны страдать.
Я не использую вантуз, но мои рабы в персонале офиса масдайщики
Ахахах... рабы, это те, что по звонку директору награждают шваброй в добавок к клавиатуре?;)
> Я не использую вантуз, но мои рабы в персонале офиса масдайщикиУ вас какое-то BDSM-предприятие, или что?
>> Я не использую вантуз, но мои рабы в персонале офиса масдайщики
> У вас какое-то BDSM-предприятие, или что?макбук у него, а у остальных вантузные вёдра под столами, вот он и угорает со своих жалких терпил, у которых даже nfs нету
> Жаль NFS на винде неюзабельнаВот за что я не люблю фанбоев пингвинуса - противника не знают, но критиковать лезут.
Чувак! Открытие века - у Майкрософт есть UNIX-клиент! Сто лет в обед как есть! И там есть NFS-клиент! Сюрпризщ-сюрприз! Был еще со времен NT 4!
И он неюзабелен.
UTF-8 или любую другую, совместимую с русскими буквами кодировку он не понимает. Соответственно, придется ограничить себя английскими буквами в именах файлов (и иероглифами. CJK-кодировки он понимает ;)Проблемы с производительностью там подчас жуткие и на некоторых сетевых конфигурациях не решаются ничем. Иногда NFSEx может спасти, иногда не может ничего, скорость по гигабиту будет как по 100 мегабитам, а параметров для кручения нет (а виной всему криво реализованная работа виндового rpc..).
Наконец, чтобы неповадно было, MS его выпилила из всех версий винды, кроме серверной (2008/2012) и Ultimate/Enterprise (это в 7-ке; в 8-ке только Enterprise). В обычных Professional, которые обычно покупаются для офисных компов, работающих в домене его больше нет и способа установить не существует.
А я в своё время злорадствовал, как так хвалёный MS Windows имеет дырявый netbios, который позволяет неавторизованное удалённое выполнение произвольного кода. Только MS его давно пофиксил, а в самбе висел он до сих пор. Может зря ругаем мелокомягких, у самих бревно в глазу есть?P.S. Ну только вот не надо говорить, что протокол проклят.
Проклят не протокол, а ущербна вся модель построения сети "от микрософт". Авторы Samba повторяют ее, и напарываются на похожие грабли. Достоинство Samba в том, что это открытая реализация, но не нужно забывать, что это открытая реализация изначально дерьмовых разработок от микрософт.
как это мешает писать код который должен контролировать выход за пределы массивов?Кстати схема сети от NetBIOS - много лучше чем NFS в версии 3 и даже 4.0, 4.1 уже по приятнее, но...
> Проклят не протокол, а ущербна вся модель построения сети "от микрософт". Авторы
> Samba повторяют ее, и напарываются на похожие грабли. Достоинство Samba в
> том, что это открытая реализация, но не нужно забывать, что это
> открытая реализация изначально дерьмовых разработок от микрософт.Самба это недоНетБиос, причем только его хороших качеств. Я все ждал-ждал, что в самбе можно будет убивать блокировку на отдельный файл отдельной netbios-сессии пользователя, но даже в самых последних релизах все равно - убивать блокировку можно на всю сессию целиком, это значит что если пользователь Иванов открыл файлы kassa.xlsx, detali.docx, spisok.doc, сам убежал куда-то, и нам срочно нужен для работы файл detali.docx, то мы не сможем прибить блокировку только на этот файл, если и сможем прибить блокировку то на все его открытые файлы, а сохранил он в них изменения или же после того как мы прибьем его блокировку - он потеряет труды своей работы за полдня - ХЗ !!.
В винде с этим все давно решено, а в линуксе видимо никто не задумывается.
Это было раз.
Два - это монтирование. Как "в винде" видимо не получиться сделать никогда, всмысле прозрачно и удобно - мы делаем в адресной строке браузера или файлового менеджера:
\\192.168.4.1 и получаем список шар, ну вы меня поняли, надеюсь.
Это то как работает самба/нетбиос в винде.
В линуксе же есть аж три способа получить доуступ до файлов на сервере:
1. smbclient - это когда в адресной строке вводим smb://192.168.4.1 и получаем список файлов и папок, типа как в винда, да фига там - если мы захотим что-то в файле поправить, мы сначала его должны будем скачать его себе, а потом уже править и потом обратно заливать.
Причем в ручную, этакое фтп, только самба.
2. mount -t cifs ... классный способ, только вот уж больно статичный, если на сервере расшарить еще одну папку - придется на ВСЕХ компах переписывать fstab, можно конечно автоматизировать через скрипты, но все равно как-то это....
Но самый главный ФАК этого способа - это то, что если вдруг между компом и сервером пропадет связь, когда шара будет смонтирована - то ядро потеряет точку монтирования и ему сорвет башню, скроее всего рабочую станцию придется перезагружать ресетом, отмонтировать шару не получиться, при попытке отмонтировать - ядро будет сыпать ошибками в консоль.
3. smbnetfs / fusesmb - классный проект, очень классный, делает почти как в винде - указываем ему папку, и говорим ФАС - вся сеть собрана в одной папке, в которой указаны папки с названиями рабочих групп, а в этих папках - папки с именми или ip компов, у которых что-то расшарено...ВСЕ очень круто, недостатки 1 и 2 отстутствуют, но есть свой один недостаток - эта хрень не всегда работает, то видны расшаренные ресурсы, то нет, и не понятно почему.
Ведь можно было бы сделать все как в винде и даже лучше, если не ядерным модулем, то хотя бы демоном, который не требовал бы никакой настройки, но при этом имел бы такую возможность, чтобы после запуска демона sambacln все монтировалось в каталог /net как в способе 3, и чтобы все работало стабильно.
О, адепты микрософт слетелись, лол. Знаешь, почему в этих проектах нет того, чего хочешь ты? Потому что они обеспечивают временное обеспечение работы гетерогенной сети до тех пор, пока машины мигрируют на нормальные ОС.
Ну ка, расскажи ка, как сделать в нормальной ОС, такой же удобный способ создания файловых шар?
Какой - такой же? Ты же не про шару по smb, надеюсь, лол?
Файловые шары в офисе не нужны, иначе будут утечки данных.
> Файловые шары в офисе не нужны, иначе будут утечки данных.Да ты что? А ты в офисе-то работал, локалхост? Крупнее чем Рога и Копыта Инкорпорейтед?
>> Файловые шары в офисе не нужны, иначе будут утечки данных.
> Да ты что? А ты в офисе-то работал, локалхост? Крупнее чем Рога
> и Копыта Инкорпорейтед?Обратите внимание, дети, онанимный мудозвон из микрософта ставит своим убогим высерам плюсики, а всем остальным — минусики. Запомните его, дети, и больше не общайтесь с такими.
>> Файловые шары в офисе не нужны, иначе будут утечки данных.
> Да ты что? А ты в офисе-то работал, локалхост? Крупнее чем Рога
> и Копыта Инкорпорейтед?Как раз в крупных конторах с файловами шарами геморой.
Куда утечки то? :) Внутри офиса?
Утечки данных - это когда работник этого офиса посылает по эл. почте некий файл с некими данными. Или записывает этот файл на флешку. И выносит наружу.
А самбовые шары - это всего лишь удобный способ обмена файлами.
> Куда утечки то? :) Внутри офиса?
> Утечки данных - это когда работник этого офиса посылает по эл. почте
> некий файл с некими данными. Или записывает этот файл на флешку.
> И выносит наружу.
> А самбовые шары - это всего лишь удобный способ обмена файлами.Файловая шара это удобный способ слить данные на незащищенный компьютер.
Проблема открытых файлов и в сети Windows все равно остается проблемой, причем организационной. Если какая-то сволочь все время забывает закрыть общие рабочие документы, то так ему и надо.
net rpc file close на samba не помогает, кстати?
Дальше по тексту оптом:
Вы не умеете монтировать cifs, раз приходится перезагружать рабочие станции при отвале сервера. (Между прочим: Часто отваливается связь? Может пора что-то менять?)
Также cifs прекрасно работает с демоном автомонтирования, будет как раз то, что Вам так хочется в последнем абзаце.
> (Между прочим: Часто отваливается связь? Может пора что-то менять?)запретить перезагружать или выключать винды на ночь?
> Также cifs прекрасно работает с демоном автомонтирования, будет
> как раз то, что Вам так хочется в последнем абзаце.Что за демон такой, умеющий сам определять появление сетевых ресурсов? Можно название и настройки?
> запретить перезагружать или выключать винды на ночь?Причем здесь рабочие станции? У вас проблемы с отмонтированием ресурсов при пропадании сервера или что?
> Что за демон такой, умеющий сам определять появление сетевых ресурсов? Можно название
> и настройки?autofs, оно снабжено передачей параметров. Если туда приделать еще и скрипт обзора ресурсов, получите что хотели.
(У меня это работало на прошлой работе в 2011 году точно, если память не изменяет)
>> запретить перезагружать или выключать винды на ночь?
> Причем здесь рабочие станции? У вас проблемы с отмонтированием ресурсов при пропадании
> сервера или что?
>> Что за демон такой, умеющий сам определять появление сетевых ресурсов? Можно название
>> и настройки?
> autofs, оно снабжено передачей параметров. Если туда приделать еще и скрипт обзора
> ресурсов, получите что хотели.
> (У меня это работало на прошлой работе в 2011 году точно, если
> память не изменяет)Сейчас 2014й. Ты еще NIS+ вспомнил бы, лол.
У меня жена раньше девочкой была - знаешь такую фразу?
> Сейчас 2014й. Ты еще NIS+ вспомнил бы, лол.О боже, ЦЕЛЫХ ТРИ ГОДА. Мир перевернулся наверное.
Кстати, хорошая штука была. Когда ничего другого не было.
> У меня жена раньше девочкой былаА сейчас? мальчик?
Видимо намекает что за три года стала женщиной. Это или у них за это время был секс, или она забеременела. Поздравим чувака, в любом случае! )
>> запретить перезагружать или выключать винды на ночь?
> Причем здесь рабочие станции? У вас проблемы с отмонтированием ресурсов при пропадании
> сервера или что?Вопрос был про отваливание связи. Проблем с отмонтированием не имею.
>> Что за демон такой, умеющий сам определять появление сетевых ресурсов? Можно название
>> и настройки?
> autofs, оно снабжено передачей параметров. Если туда приделать еще и скрипт обзора
> ресурсов, получите что хотели.
> (У меня это работало на прошлой работе в 2011 году точно, если
> память не изменяет)Звучит не очень надёжно... Много ли было компов в сети и монтируемых ресурсов? Как часто скрипт делал обзор ресурсов? Он работал как демон или по крону? И зачем нужен autofs? - если всё-равно свой скрипт делает основную работу, то и монтировать/отмонтировать наверное сам сможет...
> Вопрос был про отваливание связи. Проблем с отмонтированием не имею.Тогда я совсем не понимаю что не так. У меня отваливание связи не приводило к проблемам.
> Звучит не очень надёжно...Вам шашечки или ехать?
> Много ли было компов в сети и монтируемых
> ресурсов? Как часто скрипт делал обзор ресурсов? Он работал как демон
> или по крону? И зачем нужен autofs? - если всё-равно свой
> скрипт делает основную работу, то и монтировать/отмонтировать наверное сам сможет...autofs сам новые шары не найдет, разве что ему прямой путь скажут при попытке открытия. А вам же обзор нужен или как?
Сможет, но зачем монтировать все, если лучше сделать точку монтирования, чтобы юзер видел что такая есть, а уже при попытке обращения в каталог autofs монтирует.
Вспомнить бы точно... Компьютеров на CentOS около 30. Windows машин столько же.
>> Вопрос был про отваливание связи. Проблем с отмонтированием не имею.
> Тогда я совсем не понимаю что не так. У меня отваливание связи
> не приводило к проблемам.AFAIR, после восстановления связи cifs нужно перемонтировать...
>> Звучит не очень надёжно...
> Вам шашечки или ехать?Мне-то как раз ехать. А то последний эксперимент по переводу одного компа с винды на линукс провалился как раз из-за того, что fusesmb переставал видеть компы в сети.
> autofs сам новые шары не найдет, разве что ему прямой путь скажут
> при попытке открытия. А вам же обзор нужен или как?
> Сможет, но зачем монтировать все, если лучше сделать точку монтирования, чтобы юзер
> видел что такая есть, а уже при попытке обращения в каталог
> autofs монтирует.
> Вспомнить бы точно... Компьютеров на CentOS около 30. Windows машин столько же.Ок, а скриптиком не поделитесь?
> AFAIR, после восстановления связи cifs нужно перемонтировать...Стоит проверить, конечно, но я такого не помню.
> Мне-то как раз ехать. А то последний эксперимент по переводу одного компа
> с винды на линукс провалился как раз из-за того, что fusesmb
> переставал видеть компы в сети.Не пользуйтесь fuse. Тем более есть же альтернативы!
> Ок, а скриптиком не поделитесь?Там было все просто на баше с smbclient и прочими samba тулзами. Не сохранил при уходе.
Слепите сами по своим нуждам, я припоминаю, что времени ушло совсем немного.
> Стоит проверить, конечно, но я такого не помню.Проверил - действительно, перемонтирования не требует. То ли меня память подводит, то ли уже исправили.
> Не пользуйтесь fuse. Тем более есть же альтернативы!
Дело было в начале - середине 2000-ых, нормальных альтернатив тогда не нашлось. Стандартный способ, предлагаемый различными DE по дефолту не устраивает, т.к. не всеми программами поддерживается. Да и с остальными что-то не очень гладко - сейчас вот на свежем Mint+Mate мне gedit стабильно выдаёт ошибку при попытке просмотра сети из диалога открытия файла...
При следующем удобном случае попробую повторить эксперимент с вашим способом через autofs. Спасибо за наводку.
Это, вообще-то не к Самбе претензии, а к "оболочкам", но таки да - необходимость каждый раз исполнять несколько па с бубном действительно напрягает.
научите git использовать их всех
umount -l и перегружать не надо.
> Я все ждал-ждал, что в самбе можно будет убивать блокировку на отдельный файл отдельной netbios-сессии пользователя, но даже в самых последних релизах все равно - убивать блокировку можно на всю сессию целиком, это значит что если пользователь Иванов открыл файлы kassa.xlsx, detali.docx, spisok.doc, сам убежал куда-то, и нам срочно нужен для работы файл detali.docx, то мы не сможем прибить блокировку только на этот файл, если и сможем прибить блокировку то на все его открытые файлыКак вам удалось заблокировать файл, открытый по smb на линуксовом сервере, что бы нельзя было выполнить cp file new_file?
> В линуксе же есть аж три способа получить доуступ до файлов на сервере:
У gvfs поддержка smb есть уже есть давно, очень давно. У kio тоже есть поддержка smb, не говоря уже про autofs.
> Ведь можно было бы сделать все как в винде и даже лучше
Можете начинать делать.
У кого у самих-то? Вы же не имеете никакого отношения ни к разработке Samba, ни к разработке Linux, ни любого другого свободного софта. Не надо себя с нами ассоциировать.
> У кого у самих-то? Вы же не имеете никакого отношения ни к
> разработке Samba, ни к разработке Linux, ни любого другого свободного софта.
> Не надо себя с нами ассоциировать.А ты - ты имеешь?
правильно так: В Samba 4.1.11 и 4.0.21 устранена _очередная_ критическая уязвимость