Samba 4.17.0 kommer med sikkerhedsforbedringer, SMB1-løs kompilering og mere

nylig udgivelsen af ​​den nye version af Samba 4.17.0 blev annonceret, som fortsætter udviklingen af ​​Samba 4-grenen med en fuld implementering af en domænecontroller og Active Directory-tjeneste, der er kompatibel med Windows 2008-implementeringen og kan betjene alle versioner af Windows-klienter understøttet af Microsoft, inklusive Windows 11

Denne nye samba-udgivelse omfatter forskellige ændringer og rettelser integreret fra tidligere korrigerende versioner af 4.16.x-grenen, og dens mest bemærkelsesværdige nye funktioner er optimeringsforbedringer, nogle ændringer i kompileringsprocessen og mere

Vigtigste nye funktioner i Samba 4.17.0

I denne nye version af Samba 4.17.0, der er arbejdet på at fjerne præstationsregressioner af indlæste SMB-servere der dukkede op som et resultat af tilføjelse af sårbarhedsbeskyttelse der manipulerer symbolske links. Nogle af de optimeringer, der er blevet foretaget, omfatter reduktion af systemkald ved kontrol af biblioteksnavnet og ikke brug af triggerhændelser ved behandling af konkurrerende operationer, der forårsager forsinkelser.

En anden ændring, der skiller sig ud, er, at mulighed for at kompilere Samba uden SMB1 protokol support i smbd. For at deaktivere SMB1 implementeres "-without-smb1-server"-indstillingen i konfigurations-buildscriptet (påvirker kun smbd, SMB1-understøttelse er bevaret i klientbiblioteker).

Udover det, implementeret 'nt hash store=never' indstilling, som forbyder lagring af hashes adgangskode for Active Directory-brugere. I en fremtidig udgivelse vil indstillingen 'nt hash store' som standard være 'auto', som vil bruge 'aldrig'-tilstand, hvis indstillingen 'ntlm auth=disabled' er til stede.

I CTDB-komponenten, der er ansvarlig for klyngekonfigurationsoperationen, er kravene til syntaksen for filen ctdb.tunables blevet reduceret. Når Samba er kompileret med “–with-cluster-support” og “–systemd-install-services” mulighederne, er systemd servicen til CTDB installeret. ctdbd_wrapper script afbrudt: ctdbd processen startes nu direkte fra en systemd service eller fra et startscript.

Af de andre ændringer der er integreret i denne nye version af Samba:

• Et link er tilvejebragt for at få adgang til smbconf-bibliotekets API fra Python-kode.
• Ved at bruge MIT Kerberos 1.20 blev "Bronze Bit"-angrebet (CVE-2020-17049) implementeret ved at sende yderligere information mellem KDC- og KDB-komponenterne. Standard KDC baseret på Heimdal Kerberos er blevet rettet i 2021.
•  'add-principal' og 'del-principal' underkommandoerne er blevet tilføjet til samba-tool delegationskommandoen til at styre RBCDВ.
• Den standard Heimdal Kerberos-baserede KDC understøtter endnu ikke RBCD-tilstand.
• Den indbyggede DNS-tjeneste giver mulighed for at ændre netværksporten, der modtager anmodninger (for eksempel at køre en anden DNS-server på det samme system, der omdirigerer bestemte anmodninger til Samba).
• smbstatus-programmet har nu mulighed for at vise information i JSON-format (aktiveret med "–json"-indstillingen).
• Domænecontrolleren implementerer understøttelse af sikkerhedsgruppen Protected Users, introduceret i Windows Server 2012 R2, som ikke tillader brug af svage krypteringstyper (for gruppebrugere, understøttelse af NTLM-godkendelse, Kerberos TGT baseret på RC4, begrænset og ubegrænset delegering er handicappet).
• Fjernet understøttelse af adgangskodelagring og LanMan-baseret godkendelsesmetode (indstillingen "lanman=yes authentication" er nu irrelevant).

Endelig, hvis du er interesseret i at kunne vide mere om det, kan du konsultere detaljerne i følgende link.

Download og få Samba 4.17.0

Nå, for dem der er interesserede i at kunne installere denne nye version af Samba eller ønsker at opdatere deres tidligere version til denne nye, de skal vide, at samba er inkluderet i Ubuntu-lagrene, de skal vide, at pakkerne ikke opdateres, når en ny version udgives, så vi foretrækker i dette tilfælde at anbefale kompileringen af ​​den nye version, fra dens kildekode.

Kildekoden kan hentes fra følgende link.