修复 SambaCry 漏洞的方法在 Linux 系统中的应用-LINUX-PHP中文网

首页

系统教程

LINUX

修复 SambaCry 漏洞的方法在 Linux 系统中的应用

王林

Jan 02, 2024 pm 09:12 PM

linuxlinux教程红帽linux系统linux命令linux认证红帽linuxlinux视频

导读	Samba 很久以来一直是为 linux 系统上的 Windows 客户端提供共享文件和打印服务的标准。家庭用户，中型企业和大型公司都在使用它，它作为最佳解决方案在多种操作系统共存的环境中脱颖而出，由于广泛使用的工具很可能发生这种情况，大多数 Samba 安装都面临着可能利用已知漏洞的攻击的风险，这个漏洞直到 WannaCry 勒索软件攻击的新闻出来之前都被认为是不重要的。

Linux 系统中这样修复 SambaCry 漏洞

漏洞

过时和未修补的系统容易受到远程代码执行漏洞的攻击。简单来说，这意味着访问可写共享的人可以上传一段任意代码，并使用服务器中的 root 权限执行该代码。

这个问题在 Samba 网站上被描述为 CVE-2017-7494，并且已知会影响 Samba v3.5（2010 年 3 月初发布）及以后版本。由于与 WannaCry 有相似之处，它被非官方地被命名为 SambaCry：它们均针对 SMB 协议，并且可能是蠕虫病毒 - 这可能导致其从一个系统传播到另一个系统中。

Debian、Ubuntu、CentOS 和 Red Hat 已采取快速的行动来保护它们的用户，并为其支持的版本发布了补丁。另外，还提供了不受支持的安全临时解决方案。

更新 Samba

如先前提到的那样，根据你之前安装的方法有两种方式更新：

如果你从发行版的仓库中安装的 Samba

让我们看下在这种情况下你需要做什么：

在 Debian 下修复 SambaCry

添加下面的行到你的源列表中（/etc/apt/sources.list）以确保 apt 能够获得最新的安全更新：

deb http://security.debian.org stable/updates main
deb-src http://security.debian.org/ stable/updates main

接下来，更新可用的软件包：

# aptitude update

最后，确保 samba 软件包的版本符合漏洞修复的版本（见 CVE-2017-7494）：

# aptitude show samba

Linux 系统中这样修复 SambaCry 漏洞

在 Debian 中修复 SambaCry

在 Ubuntu 中修复 SambaCry

要开始修复，如下检查新的可用软件包并更新 Samba 软件包：

$ sudo apt-get update
$ sudo apt-get install samba

已经修复 CVE-2017-7494 的 Samba 版本有下面这些：

17.04: samba 2:4.5.8+dfsg-0ubuntu0.17.04.2
16.10: samba 2:4.4.5+dfsg-2ubuntu5.6
16.04 LTS: samba 2:4.3.11+dfsg-0ubuntu0.16.04.7
14.04 LTS: samba 2:4.3.11+dfsg-0ubuntu0.14.04.8

最后，运行下面命令验证你的 Ubuntu 已经安装了正确的版本。

$ sudo apt-cache show samba

在 CentOS/RHEL 7 中修复 SambaCry

在 EL 7 中打过补丁的 Samba 版本是 samba-4.4.4-14.el7_3。要安装它，这些做：

# yum makecache fast
# yum update samba

像先前那样，确保你已经安装了打补丁的 Samba 版本：

# yum info samba

Linux 系统中这样修复 SambaCry 漏洞

在 CentOS 中修复 SambaCry

旧支持的 CentOS 以及 RHEL 更老的版本也有修复。参见 RHSA-2017-1270 获取更多。

如果你从源码安装的 Samba

注意：下面的过程假设你先前从源码构建的 Samba。强烈建议你在部署到生产服务器之前先在测试环境尝试。

此外，开始之前确保你备份了 smb.conf文件。

在这种情况下，我们也会从源码编译并更新 Samba。然而在开始之前，我们必须先确保安装了所有的依赖。注意这也许会花费几分钟。

在 Debian 和 Ubuntu 中：

# aptitude install acl attr autoconf bison build-essential /
debhelper dnsutils docbook-xml docbook-xsl flex gdb krb5-user /
libacl1-dev libaio-dev libattr1-dev libblkid-dev libbsd-dev /
libcap-dev libcups2-dev libgnutls28-dev libjson-perl /
libldap2-dev libncurses5-dev libpam0g-dev libparse-yapp-perl /
libpopt-dev libreadline-dev perl perl-modules pkg-config /
python-all-dev python-dev python-dnspython python-crypto xsltproc /
zlib1g-dev libsystemd-dev libgpgme11-dev python-gpgme python-m2crypto

在 CentOS 7 或相似的版本中：

# yum install attr bind-utils docbook-style-xsl gcc gdb krb5-workstation /
libsemanage-python libxslt perl perl-ExtUtils-MakeMaker /
perl-Parse-Yapp perl-Test-Base pkgconfig policycoreutils-python /
python-crypto gnutls-devel libattr-devel keyutils-libs-devel /
libacl-devel libaio-devel libblkid-devel libxml2-devel openldap-devel /
pam-devel popt-devel python-devel readline-devel zlib-devel

停止服务（LCTT 译注：此处不必要）：

# systemctl stop smbd

下载并解压源码（在写作时 4.6.4 是最新的版本）：

# wget https://www.samba.org/samba/ftp/samba-latest.tar.gz 
# tar xzf samba-latest.tar.gz
# cd samba-4.6.4

出于了解信息的目的，用以下命令检查可用的配置选项。

# ./configure --help

如果你在先前的版本的构建中有使用到一些选项，你或许可以在上面命令的返回中包含一些选项，或者你可以选择使用默认值：

# ./configure
# make
# make install

最后重启服务。

# systemctl restart smbd

并验证你正在使用的是更新后的版本：

# smbstatus --version

这里返回的应该是 4.6.4。

其它情况

如果你使用的是不受支持的发行版本，并且由于某些原因无法升级到最新版本，你或许要考虑下面这些建议：

如果 SELinux 是启用的，你是处于保护之下的！
确保 Samba 共享是用 noexec 选项挂载的。这会阻止二进制文件从被挂载的文件系统中执行。

还有将：

nt pipe support = no

添加到smb.conf 的 [global] 字段中。你或许要记住，根据 Samba 项目，这“或许禁用 Windows 客户端的某些功能”。

重要：注意 nt pipe support = no 选项会禁用 Windows 客户端的共享列表。比如：当你在一台 Samba 服务器的 Windows Explorer 中输入 //10.100.10.2/ 时，你会看到 “permission denied”。Windows 客户端不得不手动执行共享，如 //10.100.10.2/share_name来访问共享。

总结

在本篇中，我们已经描述了 SambaCry 漏洞以及如何减轻影响。我们希望你可以使用这个信息来保护你负责的系统。

如果你有关于这篇文章的任何提问以及评论，欢迎使用下面的评论栏让我们知道。

作者简介：

Gabriel Cánepa 是一名 GNU/Linux 系统管理员，阿根廷圣路易斯 Villa Mercedes 的 web 开发人员。他为一家国际大型消费品公司工作，在日常工作中使用 FOSS 工具以提高生产力，并从中获得极大乐趣。

以上是修复 SambaCry 漏洞的方法在 Linux 系统中的应用的详细内容。更多信息请关注PHP中文网其他相关文章！

声明

本文转载于：Linux就该这么学。如有侵权，请联系admin@php.cn删除

Linux实际上有什么好处？Apr 12, 2025 am 12:20 AM

Linux适用于服务器、开发环境和嵌入式系统。1.作为服务器操作系统，Linux稳定高效，常用于部署高并发应用。2.作为开发环境，Linux提供高效的命令行工具和包管理系统，提升开发效率。3.在嵌入式系统中，Linux轻量且可定制，适合资源有限的环境。

在Linux上掌握道德黑客的基本工具和框架Apr 11, 2025 am 09:11 AM

简介：通过基于Linux的道德黑客攻击数字边界在我们越来越相互联系的世界中，网络安全至关重要。道德黑客入侵和渗透测试对于主动识别和减轻脆弱性至关重要

如何学习Linux基础知识？Apr 10, 2025 am 09:32 AM

Linux基础学习从零开始的方法包括：1.了解文件系统和命令行界面，2.掌握基本命令如ls、cd、mkdir，3.学习文件操作，如创建和编辑文件，4.探索高级用法如管道和grep命令，5.掌握调试技巧和性能优化，6.通过实践和探索不断提升技能。

Linux最有用的是什么？Apr 09, 2025 am 12:02 AM

Linux在服务器、嵌入式系统和桌面环境中的应用广泛。1)在服务器领域，Linux因其稳定性和安全性成为托管网站、数据库和应用的理想选择。2)在嵌入式系统中，Linux因其高度定制性和高效性而受欢迎。3)在桌面环境中，Linux提供了多种桌面环境，满足不同用户需求。

Linux的缺点是什么？Apr 08, 2025 am 12:01 AM

Linux的缺点包括用户体验、软件兼容性、硬件支持和学习曲线。1.用户体验不如Windows或macOS友好，依赖命令行界面。2.软件兼容性不如其他系统，缺乏许多商业软件的原生版本。3.硬件支持不如Windows全面，可能需要手动编译驱动程序。4.学习曲线较陡峭，掌握命令行操作需要时间和耐心。

Linux难以学习吗？Apr 07, 2025 am 12:01 AM

Linuxisnothardtolearn,butthedifficultydependsonyourbackgroundandgoals.ForthosewithOSexperience,especiallycommand-linefamiliarity,Linuxisaneasytransition.Beginnersmayfaceasteeperlearningcurvebutcanmanagewithproperresources.Linux'sopen-sourcenature,bas

Linux的5个基本组件是什么？Apr 06, 2025 am 12:05 AM

Linux的五个基本组件是：1.内核，管理硬件资源；2.系统库，提供函数和服务；3.Shell，用户与系统交互的接口；4.文件系统，存储和组织数据；5.应用程序，利用系统资源实现功能。

Ubuntu Home Automation：使用开源工具建立智能的居住空间Apr 05, 2025 am 09:19 AM

开启智能家居新篇章：基于Ubuntu的开源家庭自动化系统智能家居技术彻底改变了我们与生活空间的互动方式，为日常生活带来了便利、安全和能源效率。从远程控制灯光和电器，到监控安全摄像头和自动化气候控制，智能家居技术变得越来越普及。然而，许多商业智能家居系统存在局限性：高昂的成本、隐私问题以及有限的兼容性。幸运的是，开源软件解决方案结合Ubuntu的强大功能，提供了一种替代方案——允许用户创建可定制、经济高效且安全的智能家居生态系统。本指南将探讨如何使用Ubuntu和开源工具设置家庭自动化系统。

See all articles