[Eisfair_dev] Wichtige Aenderung in Samba 4.13

[Kay Martinen]

Am 17.10.20 um 15:58 schrieb Marcus Röckrath:
> Detlef Paschke wrote:
> 
>> Ehrlich gesagt nervt Samba seit Jahren immer mehr.

Die meist Fehlende Browseliste nervt auch mich seit Jahren. Und das
niemand das Problem behebt.

> Dafür gibt es Lösungen: Entweder Samba Ade sagen oder einen Fork
> Samba-bequem-aber-unsicher ins Leben rufen.

nfs wurde auch schon Unsicherheit vorgeworfen. Und, man kann jede
Software unsicher konfigurieren. Wenn man z.B. Max Protocol auf NT1
setzt... und dann?


>> Rausgeredet wird sich auf Sicherheitsprobleme doch anstatt einen
>> Gedanken daran zu verschwenden evtl. das isolierte Sicherheitsproblem zu
>> beseitigen, wird einfach die gesamte Funktion gecancelt.

Wie auch hier gern gesagt wird, mach dich selbst dran. :-)

> Die Option (gegebenenfalls in Verbindung mit weiteren erlaubten Optionen wie
> "unix extensions") öffnen eine Tür, die besser geschlossen bliebe; das ist
> kein Codeproblem.

Siehe meinen anderen Post hier. Wide Links ODER unix Extensions ist
offenbar die Wahl. In einem Fall werden UIDs u.a. "simuliert" im anderen
die echten aus dem Dateisystem genommen. Was passiert wenn man nun
umschaltet und etwas ändern will? Layer 8 Problem!?

> Angriffe, über die ich gelesen habe, funktionierten dann darüber, dass es
> dem Hacker mit einem speziellen smbclient gelang in der Freigabe selbst
> Links mit beliebigem Ziel außerhalb der Freigabe anzulegen.
> 
> Ich denke, du weißt, was dann abgeht.

Er kann darüber Dateien injizieren, diese ausführbar machen... wie bei
vielen anderen lücken auch. Der Unterschied ist nur: Das läuft via smb.
Na und? Ist das jetzt Schlimmer als eine Doom-Instanz auf einer
Router-Appliance starten zu können? ;-) Soll's auch schon gegeben haben.

> Eine Freigabe ist nach meinem Verständnis ein Art Gefängnis wie chroot unter
> Linux, welches man nicht verlassen kann.

Wenn wide links per default no wäre, Ja! Das scheint aber nicht so zu
sein. "nobody" ist auch nicht perfekt.

> Hier wird ständig von BfB oder Geoblocking gesprochen, weil man sich dadurch
> Sicherheit verspricht, die aber nur oberflächlich ist, auf der anderen
> Seite werden Löcher ins System geritten, frei nach dem Motto, wenn ich mich
> versuche unsichtbar zu machen, wird schon kein Einbrecher die offene Türe
> sehen.

Vielleicht sehe ich das ja falsch aber

BfB sperrt IPs aus die zu sehr nerven
Geoblocking blockt zugriffe von IPs aus Region X y oder Z ab

und wenn man seinem Router erlaubte TCPBEUI nach außen zugänglich zu
machen hat man es eh schon maximal verkackt.

Die ersten beiden sehe ich eher im public internet benutzt, das andere
hängt m.E. eher am Mißverständnis das NAT kein Filter ist und Firewall
kein NAT und unsichtbar oder sicher macht erst mal nichts davon.

Man kann eine Tür/Port zu lassen, dann kommt keiner rein. Aber dann gibt
es keinen Serverdienst. Man kann sie auf lassen und nichts weiter und
hat einen Serverdienst den alle nutzen können.

Oder man läßt die Tür auf und schränkt den Zugriff ein. Entweder bietet
der Dienst diese Möglichkeit oder eine vorgeschaltete Software. Dann
hängt es nur an deren Konfig ab wie sicher das ist. Auf, Zu,
Einschränken.... was darf's denn sein?

Ich bin der Meinung das Einschränken soll ein Router mit
Firewall/Paketfilter erledigen. Und im lokalen Netz will ich meine
Bequemlichkeit haben und das hieße z.b. auch das ich network-browsing
gut finde. Da bin ich Detlefs Meinung das Samba das verkackt hat den
Spagat zwischen Sicherheit und Bequemlichkeit hin zu kriegen.

Da ich eh alles selbst konfigurieren muß bin ich eh verantwortlich wenn
es nicht sicher ist. Und möglicherweise hab ich auch den einen oder
anderen Fehler in der Konfig den ich nur nicht finden kann weil browsing
nicht zuverlässig funktioniert. Das scheint aber der Normalfall zu sein
und das ist die Kritik daran.


>> Somit wird eine 
>> vernünftige Bedienbarkeit immer weiter zurückgefahren.
> 
> Sicherheit geht immer vor Bequemlichkeit, iemals umgekehrt.

Ich meine jetzt auch nicht dich sondern die Samba-Leute wenn ich sage
"Es muß doch wohl möglich sein Network Browsing nicht nur Bequem sondern
auch Sicher zu machen" Es will aber offenbar keiner. Und wsdd hat hier
auch nicht zu einer verbesserung des Browsing geführt.

> die Option "wide links" nicht setzen, was man dann manuell z. B. mittels
> sambaexpert tun muss.
> 
> Damit ist jeder Admin selbst in voller Verantwortung dessen, was er tut.

Das ist das gleiche in Grün zu sagen "Selber schuld wenn du's verkackst"
Das ist eh klar.

Kay

-- 
Posted via leafnode