A Samba 4.17.0 biztonsági fejlesztésekkel, SMB1 nélküli fordítással és még sok mással érkezik

nemrég bejelentették a Samba 4.17.0 új verziójának megjelenését, amely folytatja a Samba 4 ág fejlesztését egy tartományvezérlő és Active Directory szolgáltatás teljes megvalósításával, amely kompatibilis a Windows 2008 implementációval, és képes kiszolgálni a Microsoft által támogatott Windows Client összes verzióját, beleértve a Windows 11-et is.

Ez az új samba kiadás különféle változtatásokat és javításokat tartalmaz integrálva a 4.16.x ág korábbi korrekciós verzióiból, és legfigyelemreméltóbb új funkciói az optimalizálás fejlesztései, a fordítási folyamat néhány változtatása és egyebek

A Samba 4.17.0 fő újdonságai

A Samba 4.17.0 új verziójában munkát végeztek a teljesítményregressziók eltávolítására betöltött SMB-kiszolgálók közül amely a sebezhetőségi védelem hozzáadásának eredményeként jelent meg amelyek szimbolikus linkeket manipulálnak. Az elvégzett optimalizálások némelyike ​​magában foglalja a rendszerhívások csökkentését a címtárnév ellenőrzésekor, és nem használ trigger eseményeket a késést okozó versengő műveletek feldolgozásakor.

Egy másik kiemelkedő változás, hogy a Lehetőség van a Samba fordítására az SMB1 protokoll támogatása nélkül smbd-ben Az SMB1 letiltásához a "-without-smb1-server" opciót a konfigurációs összeállítási parancsfájlban implementálják (csak az smbd-t érinti, az SMB1 támogatás megmarad az ügyfélkönyvtárakban).

Amellett, hogy, implementálta az 'nt hash store=never' beállítást, amely tiltja a hashek tárolását az Active Directory felhasználói jelszava. Egy jövőbeli kiadásban az „nt hash store” beállítás alapértelmezés szerint „auto” lesz, amely „soha” módot használ, ha az „ntlm auth=disabled” beállítás megvan.

A fürtkonfigurációk működéséért felelős CTDB komponensben a ctdb.tunables fájl szintaxisára vonatkozó követelmények csökkentek. Amikor a Samba a „–with-cluster-support” és „–systemd-install-services” opciókkal van lefordítva, a CTDB rendszerszolgáltatása telepítve van. ctdbd_wrapper szkript megszűnt: A ctdbd folyamat most közvetlenül egy systemd szolgáltatásból vagy egy indítási parancsfájlból indul el.

A többi változás közül amelyek a Samba új verziójába integrálva:

• Egy hivatkozás található az smbconf könyvtár API Python kódból való eléréséhez.
• Az MIT Kerberos 1.20 használatával a "Bronze Bit" támadást (CVE-2020-17049) úgy valósították meg, hogy további információkat továbbítottak a KDC és a KDB összetevői között. A Heimdal Kerberos alapú alapértelmezett KDC-t 2021-ben javították.
•  Az "add-principal" és a "del-principal" alparancsok hozzáadásra kerültek a samba-tool delegation parancshoz az RBCDВ kezelésére.
• Az alapértelmezett Heimdal Kerberos-alapú KDC még nem támogatja az RBCD módot.
• A beépített DNS-szolgáltatás lehetővé teszi a kéréseket fogadó hálózati port megváltoztatását (például egy másik DNS-kiszolgáló futtatását ugyanazon a rendszeren, amely bizonyos kéréseket átirányít a Sambára).
• Az smbstatus program immár képes JSON formátumban megjeleníteni az információkat (a „–json” opcióval engedélyezve).
• A tartományvezérlő támogatja a Windows Server 2012 R2-ben bevezetett Protected Users biztonsági csoportot, amely nem teszi lehetővé gyenge titkosítási típusok használatát (csoportos felhasználók számára NTLM hitelesítés támogatása, RC4 alapú Kerberos TGT, korlátozott és korlátlan delegálás) Tiltva).
• Eltávolítottuk a jelszótárolás és a LanMan-alapú hitelesítési módszer támogatását (a "lanman=yes hitelesítés" beállítása most nem releváns).

Végül, ha többet szeretne megtudni róla, tájékozódhat a részletekről a következő link.

Töltse le és szerezze be a Samba 4.17.0-t

Nos, azok számára, akik szeretnének telepíteni a Samba új verzióját, vagy frissíteni szeretnék korábbi verziójukat erre az újra, tudniuk kell, hogy a samba benne van az Ubuntu tárolókban, tudniuk kell, hogy a csomagok nem frissülnek az új verzió megjelenésekor, ezért ebben az esetben inkább az új verzió fordítását javasoljuk annak forráskódjából.

A forráskód beszerezhető innen a következő link.