Binarly REsearch před týdnem informoval o kritických zranitelnostech UEFI souhrnně pojmenovaných LogoFAIL. Tento týden doplnil podrobnosti. Útočník může nahradit logo zobrazováno při bootování vlastním speciálně upraveným obrázkem, jehož "zobrazení" při bootování spustí připravený kód. Pětiminutové povídání o LogoFAIL a ukázka útoku na YouTube.
Byla vydána listopadová aktualizace aneb nová verze 1.85 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a animovanými gify v poznámkách k vydání. Ve verzi 1.85 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.
git.kernel.org je nově oficiálně také v tmavém vzhledu.
Richard Hughes na svém blogu oznámil, že počet aktualizací firmwarů pomocí služby LVFS (Linux Vendor Firmware Service) přesáhl 100 milionů. Přehled podporovaných zařízení, nejnovějších firmwarů nebo zapojených výrobců na stránkách LVFS.
Byla vydána nová stabilní verze 3.19.0, tj. první z nové řady 3.19, minimalistické linuxové distribuce zaměřené na bezpečnost Alpine Linux (Wikipedie) postavené na standardní knihovně jazyka C musl libc a BusyBoxu. Z novinek lze vypíchnou podporu Raspberry Pi 5.
Altap Salamander (Wikipedie), dvoupanelový správce souborů pro Windows, byl uvolněn jako open source pod názvem Open Salamander. Zdrojové kódy jsou k dispozici na GitHubu pod licencí GPLv2.
Společnost JetBrains představila (YouTube) svou umělou inteligenci JetBrains AI a nástroj AI Assistant v IDE.
Byla vydána nová verze 255 správce systému a služeb systemd (GitHub, NEWS). Z novinek lze vypíchnout například novou službu systemd-bsod.service.
Google představil Gemini, svůj největší a nejschopnější model umělé inteligence.
openSUSE komunita vybírá nová loga. Jedním z cílů je odlišit se od SUSE. Aktuálně probíhá hlasování o logu openSUSE a čtyř distribucí Tumbleweed, Leap, Slowroll a Kalpa.
security = share
(tj. jméno a heslo je pak přiřazené sdílení, všichni uživatelé používají pro stejné sdílení stejné jméno a heslo). Ovšem podle mne to není dobrý nápad – všichni se snaží, aby si uživatel nemusel pamatovat x různých hesel, a vy byste jim tu další heslo přidal… Proč prostě neumožníte přístup do tohoto sdílení jen vybraným uživatelům?
security=share
se chová stejně jako ty Windows 95. Ale není to zrovna nejšťastnější řešení, protože pro uživatele je nepohodlné a není příliš bezpečné (když víc uživatelů sdílí jedno jméno a heslo).
debian:/etc/samba# cat smb.conf # Global parameters [global] client code page = 852 workgroup = firma s.r.o. netbios name = firma guest account = nobody keep alive = 30 kernel oplocks = false security = share oplocks = yes write raw = yes read raw = yes server string = Samba Server encrypt passwords = true log file = /var/log/samba/log.%m max log size = 100 name resolve order = wins lmhosts bcast socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 character set = ISO8859-2 logon script = vedeni.bat logon path = \\%L\profiles\%U domain logons = Yes os level = 34 preferred master = Yes domain master = Yes dns proxy = No wins support = Yes hide special files = Yes hide dot files = Yes map to quest = Bad User #======================= Share Definitions ======================= [homes] comment = Home Directories browseable = no read only = yes create mask = 0700 directory mask = 0700 valid users = %S [ceving] comment = firma path = /home/firma read only = no delete readonly = yes browseable = yes create mask = 0777 directory mask = 0777
security=share
se heslo zkouší oproti seznamu uživatelů, jak se ten seznam sestavuje je popsáno v dokumentaci. Zkuste jedině dát do valid users
uživatelská jména z tohoto seznamu (např. podle jména share), jestli se tím obejde to, aby se uživatel nemohl přihlásit svým jménem a heslem. Jméno Windows nebudou chtít určitě, protože ke sdílení ve Windows se přihlašuje pouze heslem beze jména. Proto pak Samba sestavuje seznam uživatelů, se kterými to heslo zkouší.
novak
) přistupovat ke sdílení [test]
, bude se postupně testovat poslané heslo se jménem, pod kterým je přihlášen (novak
), s uživatelem test
, se jménem počítače, ze kterého se přihlašuje, a s uživateli zadanými pod users list
. Pokud by na daném serveru neexistoval uživatel novak
, a existoval uživatel test
, přihlásí se ke sdílení uživatel, který zadá heslo pro uživatele test
. Nevím, jak to bude fungovat, pokud tam uživatel novak
bude existovat ale nebude ve valid users
– nejprve stanice pošle jméno novak
a heslo, které zadal uživatel při přihlášení. To samba odmítne kvůli tomu, že není ve valid users
. Ale nevím, zda pošle takovou chybovou zprávu, aby Windows zobrazily dialog pro zadání hesla, uživatel mohl zadat heslo pro uživatele test
a s tímto heslem jej už Samba ověří.
Ale to neresi to co potrebuji, ja potrebuji aby se korektni uzivatel samby dostal do jineho adresare pod jinym heslem a nebo i pod jinym jmenem a heslem ...Pak snad jedině vytvořit a dát na plochu bat soubor a v něm: net use X: \\nazevserveru\sdileni heslo /USER: uživatelskejmeno Jiného mě nenapadá ... i když nechápu dost dobře, proč tak složitě ... to jako že je přihlášen Franta a Mařena k němu přijde na počítač a ona má právo se přihlásit do té privátní složky, tak se nějakým jménem přihlásí? Tak je to myšleno? Pak by NET USE mohlo pomoct, ale nezapomeň tedy taky nastavit NET USE písmenko /DELETE pro zrušení sdílení ... Mj, ve WinXP existuje i možnost "Přepnout uživatele" bez nutnosti odhlášení ... to by asi taky nebylo od věci ... kdyby se Přepnula Mařena, měla dle toho co jsem psal výše právo ... udělala svoje a odhlásila se ... a Franta se vrátil ke své práci ... bez nutnosti znova se přihlašovat (jen by zadal heslo jako by měl zamčený PC).
Mj, ve WinXP existuje i možnost "Přepnout uživatele" bez nutnosti odhlášení ..To ale nefunguje, pokud je uživatel přihlášen do domény. Takhle to dopadá, když se víceuživatelský přístup emuluje na operačním systému, který je v základech jednouživatelský…
security=share
vždy přidává jméno přihlášeného uživatele (případně jméno poslané s požadavkem) do seznamu jmen, pro která se porovnává zaslané heslo. V tom případě by to šlo udělat jedině tak, že by Samba se security=share
běžela na úplně jiném počítači, kde by vůbec neexistovaly účty se jmény, jaké normálně používají uživatelé, a porovnávala by je tedy pouze s účty odpovídajícími jménu sdílení.
Problem je v tom ze nektere stanice bezi na XP Home tudiz je numohu prihlasit do domeny.O důvod víc používat výše uvedený BAT soubor s NET USE ... Mj. to mě nenapadlo, zkuste si skutečně vytvořit pomocí direktivy NETBIOS ALIASES jiny_nazevserveru (více MAN) další jakoserver. Já takhle provozoval 5 jakoserverů ... a je to celkem snadné, stačí pak do SMB.CONF vložit INCLUDE smb.conf.direktivu_si_už_nepamatuju, kde ttt je NETBIOS název - to jsem si našel na Webu samby a tuším jsem to už před nějakou dobou tady i ventiloval ... a to by mohlo být řešení.
Nemusí jít o jiný počítač, Samba umí pomocí podmíněného vkládání konfigurace "virtuální servery", které jsou rozlišeny podle IP adresy nebo jen jména. Je to dobře popsáno v HOWTO-Collection.Pokud přes volbu
valid users
(nebo jinak) půjde Sambě vnutit, ať se nepokouší heslo ověřovat proti účtu dle jména uživatele, nebude jiný počítač potřeba. Pokud by to nešlo, musel by být jiný počítač (nebo virtuální stroj) z toho důvodu, aby Samba nikdy neověřila úspěšně uživatele v případě, že uživatel při přístupu ke sdílení zadá svoje jméno a heslo.
write list
na sdílení pro příslušné uživatele. Normální řešení by ale bylo takové, že bude jedno sdílení, které budou moci uživatelé číst, a určitá skupina bude mít právo zapisovat. Pokud chtějí zmenšit riziko, že to někdo změní omylem, může se všem mapovat jako pouze pro čtení, a vybraní uživatelé si budou moci třeba přes ikonu na ploše namapovat to samé sdílení jako jiný disk i pro zápis.
Tiskni
Sdílej: