Samba 4.17.0 arrive avec des améliorations de sécurité, une compilation sans SMB1, et plus encore

Darkcrizt

Minutes 4

Samba est l'ensemble standard de programmes d'interopérabilité Windows pour Linux et Unix.

Samba est un produit serveur multifonctionnel, qui fournit également une implémentation du serveur de fichiers, du service d'impression et du serveur d'identité (winbind).

Récemment la sortie de la nouvelle version de Samba 4.17.0 a été annoncée, qui poursuit le développement de la branche Samba 4 avec une implémentation complète d'un contrôleur de domaine et d'un service Active Directory compatible avec l'implémentation de Windows 2008 et pouvant servir toutes les versions des clients Windows pris en charge par Microsoft, y compris Windows 11

Cette nouvelle version de samba comprend divers changements et correctifs intégré à partir des versions correctives précédentes de la branche 4.16.x et ses nouvelles fonctionnalités les plus notables sont des améliorations d'optimisation, quelques changements dans le processus de compilation et plus encore

Principales nouveautés de Samba 4.17.0

Dans cette nouvelle version de Samba 4.17.0, un travail a été fait pour supprimer les régressions de performance de serveurs SMB chargés qui sont apparus à la suite de l'ajout d'une protection contre les vulnérabilités qui manipulent les liens symboliques. Certaines des optimisations qui ont été apportées incluent la réduction des appels système lors de la vérification du nom du répertoire et l'absence d'événements déclencheurs lors du traitement d'opérations concurrentes qui entraînent des retards.

Un autre changement qui ressort est que le possibilité de compiler Samba sans prise en charge du protocole SMB1 dans smbd. Pour désactiver SMB1, l'option "-without-smb1-server" est implémentée dans le script de construction de configuration (affecte uniquement smbd, le support SMB1 est conservé dans les bibliothèques clientes).

Par ailleurs, implémentation du paramètre 'nt hash store=never', qui interdit le stockage des hachages mot de passe des utilisateurs d'Active Directory. Dans une future version, le paramètre 'nt hash store' sera par défaut sur 'auto', qui utilisera le mode 'jamais' si le paramètre 'ntlm auth=disabled' est présent.

Dans le composant CTDB responsable de l'opération de configuration du cluster, les exigences relatives à la syntaxe du fichier ctdb.tunables ont été réduites. Lorsque Samba est compilé avec les options « –with-cluster-support » et « –systemd-install-services », le service systemd pour CTDB est installé. Script ctdbd_wrapper interrompu : le processus ctdbd est désormais démarré directement à partir d'un service systemd ou d'un script de démarrage.

Des autres changements qui sont intégrés dans cette nouvelle version de Samba :

  • Un lien est fourni pour accéder à l'API de la bibliothèque smbconf à partir du code Python.
  • À l'aide de MIT Kerberos 1.20, l'attaque "Bronze Bit" (CVE-2020-17049) a été mise en œuvre en transmettant des informations supplémentaires entre les composants KDC et KDB. Le KDC par défaut basé sur Heimdal Kerberos a été corrigé en 2021.
  •  Les sous-commandes 'add-principal' et 'del-principal' ont été ajoutées à la commande de délégation samba-tool pour gérer RBCDÂ.
  • Le KDC basé sur Heimdal Kerberos par défaut ne prend pas encore en charge le mode RBCD.
  • Le service DNS intégré offre la possibilité de changer le port réseau qui reçoit les requêtes (par exemple, pour exécuter un autre serveur DNS sur le même système qui redirige certaines requêtes vers Samba).
  • Le programme smbstatus a maintenant la possibilité d'afficher des informations au format JSON (activé avec l'option « –json »).
  • Le contrôleur de domaine implémente la prise en charge du groupe de sécurité des utilisateurs protégés, introduit dans Windows Server 2012 R2, qui ne permet pas l'utilisation de types de chiffrement faibles (pour les utilisateurs du groupe, prise en charge de l'authentification NTLM, Kerberos TGT basé sur RC4 , la délégation limitée et illimitée est désactivé).
  • Suppression de la prise en charge du stockage des mots de passe et de la méthode d'authentification basée sur LanMan (le réglage "lanman=yes authentication" n'est plus pertinent).

Enfin, si vous souhaitez en savoir plus, vous pouvez consulter les détails dans la lien suivant

Téléchargez et obtenez Samba 4.17.0

Eh bien, pour ceux qui sont intéressés par l'installation de cette nouvelle version de Samba ou qui souhaitent mettre à jour leur version précédente vers cette nouvelle, ils doivent savoir que samba est inclus dans les dépôts Ubuntu, ils doivent savoir que les packages ne sont pas mis à jour lors de la sortie d'une nouvelle version, nous préférons donc dans ce cas recommander la compilation de la nouvelle version, à partir de son code source.

Le code source peut être obtenu à partir de le lien suivant.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.