[Eisfair_dev] Samba 2.29.0 badlock (Status 'testing')

Thomas Bork tom at eisfair.org
Fr Apr 15 12:38:23 CEST 2016 

Am 15.04.2016 um 08:14 schrieb Marcus Roeckrath:

> Das muss Thomas entscheiden, wieviel Aufwand ein solcher Schalter
> SAMBA_OLD_CLIENT_SUPPORT = yes|no   ; Default no; Switching to yes could
> break your network security
> macht.
> Dann aber auch in der Hilfe ein deutlicher Hinweis, dass das möglicherweise
> Sicherheitsrisiken mit sich bringen kann.

Im Bild fehlen noch ältere Samba-Versionen als Client oder Server. Hier 
hat anscheinend zur Zeit Debian mit seinem Samba 3.6 nach den Patches 
für badlock zu kämpfen.

Auch solche Clients und Server müssen nach einer Änderung in Tests mit 
einbezogen werden. Das kann ich allein nicht leisten. Jeder mit älteren 
Clients oder Servern in Verbindung mit eisfair-Samba ist also hiermit 
zur Mithilfe aufgerufen.

Erschwerend kommt hinzu, dass ein solcher Schalter oder eine solche 
manuelle Veränderung der Konfiguration irreversible Auswirkungen haben kann.

Beispiel:
1.43.1 --> 1.43.2
-----------------
- 3.4.3 (3.4.3-for-eisfair-X-patch-1, status unstable)
   samba_vscan isn't working!
- /var/install/config.d/samba.sh:
   - since 3.2.0 the defaults for
     lanman auth
     client lanman auth
     client plaintext auth
     were changed to no
     changing them back to yes for lanman hashes in
     smbpasswd and access from win9x/winme


Ich glaube mich zu erinnern, dass die Umstellung dieser 3 Optionen 
damals dazu geführt hat, dass der Lanman Hash aus der Datei smbpasswd 
(heute passdb.tdb) gelöscht und nicht neu geschrieben wurde, mit dem 
Erfolg, dass diese Clients keinen Zugriff mehr hatten.

Auch nach Rückänderung der Optionen hatten sie m.E. keinen Zugriff mehr, 
flogen aus der Domäne usw., da der Lanman Hash weg war (denn der Lanman 
Hash steht auch in den Maschinen-Konten).

Einen Schalter einzubauen suggeriert, man könne die Optionen beliebig 
hin und her setzen und den Ausgangs-Zustand wieder herstellen. Ehrlich 
gesagt, möchte ich so etwas unter den o.g. Umständen weder einbauen noch 
supporten...

-- 
der tom
[eisfair-team]

Mehr Informationen über die Mailingliste Eisfair_dev