[Eisfair_dev] Re3a Wichtige =?UTF-8?B?YzOEbmRlcnVuZw==?= in Samba 42e13
Marcus Röckrath
marcus.roeckrath at gmx.de
Sa Okt 17 15:58:02 CEST 2020
Hallo Detlef,
Detlef Paschke wrote:
> Ehrlich gesagt nervt Samba seit Jahren immer mehr.
Dafür gibt es Lösungen: Entweder Samba Ade sagen oder einen Fork
Samba-bequem-aber-unsicher ins Leben rufen.
> Rausgeredet wird sich auf Sicherheitsprobleme doch anstatt einen
> Gedanken daran zu verschwenden evtl. das isolierte Sicherheitsproblem zu
> beseitigen, wird einfach die gesamte Funktion gecancelt.
Die Option (gegebenenfalls in Verbindung mit weiteren erlaubten Optionen wie
"unix extensions") öffnen eine Tür, die besser geschlossen bliebe; das ist
kein Codeproblem.
Angriffe, über die ich gelesen habe, funktionierten dann darüber, dass es
dem Hacker mit einem speziellen smbclient gelang in der Freigabe selbst
Links mit beliebigem Ziel außerhalb der Freigabe anzulegen.
Ich denke, du weißt, was dann abgeht.
Eine Freigabe ist nach meinem Verständnis ein Art Gefängnis wie chroot unter
Linux, welches man nicht verlassen kann.
Es nutzt nichts, an die offene Tür ein Schild zu hängen, was die Zutritt
"bösen Hackern" verbietet.
Hier wird ständig von BfB oder Geoblocking gesprochen, weil man sich dadurch
Sicherheit verspricht, die aber nur oberflächlich ist, auf der anderen
Seite werden Löcher ins System geritten, frei nach dem Motto, wenn ich mich
versuche unsichtbar zu machen, wird schon kein Einbrecher die offene Türe
sehen.
> Somit wird eine
> vernünftige Bedienbarkeit immer weiter zurückgefahren.
Sicherheit geht immer vor Bequemlichkeit, iemals umgekehrt.
> Das liegt aber nicht an Dir sondern an den Samba-Leuten
Ich weiß, fühle mich auch nicht angesprochen oder angegriffen.
Ich sehe aber die Gefahr, die in der Option steckt und daher werde ich den
Samba-Leuten folgen und
das notwendige Modul bei Bedarf zur Verfügung stellen, solange es existnt
ist
die Option "wide links" nicht setzen, was man dann manuell z. B. mittels
sambaexpert tun muss.
Damit ist jeder Admin selbst in voller Verantwortung dessen, was er tut.
--
Gruß Marcus
[eisfair-Team]
Mehr Informationen über die Mailingliste Eisfair_dev