Το Samba 4.17.0 φτάνει με βελτιώσεις ασφαλείας, συλλογή χωρίς SMB1 και πολλά άλλα

Darkcrizt

4 λεπτά

Το Samba είναι το τυπικό σύνολο προγραμμάτων διαλειτουργικότητας των Windows για Linux και Unix.

Το Samba είναι ένα πολυλειτουργικό προϊόν διακομιστή, το οποίο παρέχει επίσης μια υλοποίηση του διακομιστή αρχείων, της υπηρεσίας εκτύπωσης και του διακομιστή ταυτότητας (winbind).

Πρόσφατα ανακοινώθηκε η κυκλοφορία της νέας έκδοσης του Samba 4.17.0, το οποίο συνεχίζει την ανάπτυξη του κλάδου Samba 4 με πλήρη υλοποίηση ενός ελεγκτή τομέα και υπηρεσίας Active Directory που είναι συμβατή με την υλοποίηση των Windows 2008 και μπορεί να εξυπηρετήσει όλες τις εκδόσεις των Windows Clients που υποστηρίζονται από τη Microsoft, συμπεριλαμβανομένων των Windows 11

Αυτή η νέα κυκλοφορία samba περιλαμβάνει διάφορες αλλαγές και διορθώσεις ενσωματωμένη από προηγούμενες διορθωτικές εκδόσεις του κλάδου 4.16.x και τα πιο αξιοσημείωτα νέα χαρακτηριστικά του είναι οι βελτιώσεις βελτιστοποίησης, ορισμένες αλλαγές στη διαδικασία μεταγλώττισης και άλλα

Κύρια νέα χαρακτηριστικά του Samba 4.17.0

Σε αυτή τη νέα έκδοση του Samba 4.17.0, έχει γίνει δουλειά για την άρση των παλινδρομήσεων απόδοσης φορτωμένων διακομιστών SMB που εμφανίστηκε ως αποτέλεσμα της προσθήκης προστασίας ευπάθειας που χειραγωγούν συμβολικούς δεσμούς. Ορισμένες από τις βελτιστοποιήσεις που έχουν πραγματοποιηθεί περιλαμβάνουν τη μείωση των κλήσεων συστήματος κατά τον έλεγχο του ονόματος του καταλόγου και τη μη χρήση συμβάντων ενεργοποίησης κατά την επεξεργασία ανταγωνιστικών λειτουργιών που προκαλούν καθυστερήσεις.

Μια άλλη αλλαγή που ξεχωρίζει είναι ότι το δυνατότητα μεταγλώττισης Samba χωρίς υποστήριξη πρωτοκόλλου SMB1 σε smbd. Για να απενεργοποιήσετε το SMB1, η επιλογή "-without-smb1-server" εφαρμόζεται στη δέσμη ενεργειών δημιουργίας διαμόρφωσης (επηρεάζει μόνο το smbd, η υποστήριξη SMB1 διατηρείται στις βιβλιοθήκες πελατών).

Εκτός αυτού, εφάρμοσε τη ρύθμιση 'nt hash store=never', η οποία απαγορεύει την αποθήκευση hashes κωδικό πρόσβασης των χρηστών Active Directory. Σε μελλοντική έκδοση, η ρύθμιση "nt hash store" θα είναι προεπιλεγμένη σε "auto", η οποία θα χρησιμοποιεί τη λειτουργία "never" εάν υπάρχει η ρύθμιση "ntlm auth=disabled".

Στο στοιχείο CTDB που είναι υπεύθυνο για τη λειτουργία διαμορφώσεων συμπλέγματος, οι απαιτήσεις για τη σύνταξη του αρχείου ctdb.tunables έχουν μειωθεί. Όταν το Samba έχει μεταγλωττιστεί με τις επιλογές «–με-συστάδα-υποστήριξη» και «–υπηρεσίες συστήματος εγκατάστασης», εγκαθίσταται η υπηρεσία systemd για το CTDB. Το σενάριο ctdbd_wrapper διακόπηκε: Η διαδικασία ctdbd ξεκινά τώρα απευθείας από μια υπηρεσία systemd ή από ένα σενάριο εκκίνησης.

Από τις άλλες αλλαγές που είναι ενσωματωμένα σε αυτή τη νέα έκδοση του Samba:

  • Παρέχεται ένας σύνδεσμος για πρόσβαση στο API της βιβλιοθήκης smbconf από τον κώδικα Python.
  • Χρησιμοποιώντας το MIT Kerberos 1.20, η επίθεση "Bronze Bit" (CVE-2020-17049) υλοποιήθηκε με τη μετάδοση πρόσθετων πληροφοριών μεταξύ των στοιχείων KDC και KDB. Το προεπιλεγμένο KDC που βασίζεται στο Heimdal Kerberos έχει διορθωθεί το 2021.
  •  Οι υποεντολές "add-principal" και "del-principal" έχουν προστεθεί στην εντολή εκχώρησης εργαλείου samba για τη διαχείριση του RBCDВ.
  • Το προεπιλεγμένο KDC που βασίζεται στο Heimdal Kerberos δεν υποστηρίζει ακόμη τη λειτουργία RBCD.
  • Η ενσωματωμένη υπηρεσία DNS παρέχει τη δυνατότητα αλλαγής της θύρας δικτύου που λαμβάνει αιτήματα (για παράδειγμα, για την εκτέλεση άλλου διακομιστή DNS στο ίδιο σύστημα που ανακατευθύνει ορισμένα αιτήματα στο Samba).
  • Το πρόγραμμα smbstatus έχει πλέον τη δυνατότητα να εμφανίζει πληροφορίες σε μορφή JSON (ενεργοποιημένη με την επιλογή “–json”).
  • Ο ελεγκτής τομέα υλοποιεί υποστήριξη για την ομάδα ασφαλείας Protected Users, που εισήχθη στον Windows Server 2012 R2, η οποία δεν επιτρέπει τη χρήση αδύναμων τύπων κρυπτογράφησης (για χρήστες ομάδας, υποστήριξη για έλεγχο ταυτότητας NTLM, Kerberos TGT βάσει RC4 , περιορισμένη και απεριόριστη ανάθεση άτομα με ειδικές ανάγκες).
  • Καταργήθηκε η υποστήριξη για αποθήκευση κωδικού πρόσβασης και μέθοδος ελέγχου ταυτότητας που βασίζεται στο LanMan (η ρύθμιση "lanman=yes authentication" είναι πλέον άσχετη).

Τέλος, εάν ενδιαφέρεστε να μάθετε περισσότερα για αυτό, μπορείτε να συμβουλευτείτε τις λεπτομέρειες στο παρακάτω σύνδεσμο.

Κατεβάστε και αποκτήστε το Samba 4.17.0

Λοιπόν, για όσους ενδιαφέρονται να μπορέσουν να εγκαταστήσουν αυτήν τη νέα έκδοση του Samba ή θέλουν να ενημερώσουν την προηγούμενη έκδοση σε αυτήν τη νέα, πρέπει να γνωρίζουν ότι η samba περιλαμβάνεται στα αποθετήρια του Ubuntu, πρέπει να γνωρίζουν ότι τα πακέτα δεν ενημερώνονται όταν κυκλοφορεί μια νέα έκδοση, επομένως προτιμάμε σε αυτήν την περίπτωση να προτείνουμε τη συλλογή της νέας έκδοσης, από τον πηγαίο κώδικα.

Ο πηγαίος κώδικας μπορεί να ληφθεί από τον ακόλουθο σύνδεσμο.


Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: Miguel Ángel Gatón
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.