Samba 4.17.0 pojawia się z ulepszeniami zabezpieczeń, kompilacją bez SMB1 i nie tylko

Ostatnio ogłoszono wydanie nowej wersji Samby 4.17.0, który kontynuuje rozwój gałęzi Samba 4 z pełną implementacją kontrolera domeny i usługą Active Directory, która jest zgodna z implementacją Windows 2008 i może obsługiwać wszystkie wersje klientów Windows obsługiwanych przez Microsoft, w tym Windows 11

To nowe wydanie samby zawiera różne zmiany i poprawki zintegrowane z poprzednimi wersjami korygującymi gałęzi 4.16.x, a jego najważniejszymi nowymi funkcjami są ulepszenia optymalizacji, pewne zmiany w procesie kompilacji i nie tylko

Główne nowe funkcje Samby 4.17.0

W nowej wersji Samby 4.17.0, wykonano pracę w celu usunięcia regresji wydajności załadowanych serwerów SMB które pojawiły się w wyniku dodania ochrony podatności które manipulują dowiązaniami symbolicznymi. Niektóre z wprowadzonych optymalizacji obejmują ograniczenie wywołań systemowych podczas sprawdzania nazwy katalogu i nieużywanie zdarzeń wyzwalających podczas przetwarzania konkurencyjnych operacji powodujących opóźnienia.

Kolejną wyróżniającą się zmianą jest to, że możliwość kompilacji Samby bez obsługi protokołu SMB1 w czyimś Aby wyłączyć SMB1, opcja "-without-smb1-server" jest zaimplementowana w skrypcie budowania konfiguracji (dotyczy tylko smbd, obsługa SMB1 jest zachowana w bibliotekach klienta).

Poza tym, zaimplementowane ustawienie 'nt hash store=never', które zabrania przechowywania hash hasło użytkowników Active Directory. W przyszłej wersji ustawienie „nt hash store” będzie domyślnie ustawione na „auto”, co spowoduje użycie trybu „nigdy”, jeśli obecne jest ustawienie „ntlm auth=disabled”.

W komponencie CTDB odpowiedzialnym za działanie konfiguracji klastrowych zmniejszono wymagania dotyczące składni pliku ctdb.tunables. Gdy Samba jest kompilowana z opcjami „–with-cluster-support” i „–systemd-install-services”, instalowana jest usługa systemd dla CTDB. Wycofanie skryptu ctdbd_wrapper: proces ctdbd jest teraz uruchamiany bezpośrednio z usługi systemd lub ze skryptu startowego.

Z innych zmian które są zintegrowane w nowej wersji Samby:

• Dostępny jest link, aby uzyskać dostęp do API biblioteki smbconf z kodu Pythona.
• Przy użyciu MIT Kerberos 1.20 atak „Bronze Bit” (CVE-2020-17049) został zaimplementowany poprzez przekazanie dodatkowych informacji między komponentami KDC i KDB. Domyślny KDC oparty na Heimdal Kerberos został naprawiony w 2021 roku.
•  Podkomendy „add-principal” i „del-principal” zostały dodane do polecenia delegowania narzędzia samba w celu zarządzania RBCDВ.
• Domyślne centrum KDC oparte na protokole Heimdal Kerberos nie obsługuje jeszcze trybu RBCD.
• Wbudowana usługa DNS zapewnia możliwość zmiany portu sieciowego, który odbiera żądania (na przykład, aby uruchomić inny serwer DNS w tym samym systemie, który przekierowuje określone żądania do Samby).
• Program smbstatus ma teraz możliwość wyświetlania informacji w formacie JSON (włączona opcja „–json”).
• Kontroler domeny zaimplementował obsługę grupy zabezpieczeń Protected Users, wprowadzoną w systemie Windows Server 2012 R2, która nie pozwala na stosowanie słabych typów szyfrowania (dla użytkowników grupowych obsługa uwierzytelniania NTLM, Kerberos TGT w oparciu o RC4, ograniczona i nieograniczona delegacja jest wyłączone).
• Usunięto obsługę przechowywania haseł i metody uwierzytelniania opartej na LanMan (ustawienie „lanman=yes authentication” jest teraz nieistotne).

Wreszcie, jeśli chcesz dowiedzieć się więcej na ten temat, możesz zapoznać się ze szczegółami w następujący link.

Pobierz i pobierz Sambę 4.17.0

Cóż, dla tych, którzy są zainteresowani możliwością zainstalowania tej nowej wersji Samby lub chcą zaktualizować swoją poprzednią wersję do nowej, muszą wiedzieć, że samba jest zawarta w repozytoriach Ubuntu, muszą wiedzieć, że pakiety nie są aktualizowane po wydaniu nowej wersji, więc wolimy w tym przypadku zalecić kompilację nowej wersji z jej kodu źródłowego.

Kod źródłowy można uzyskać z poniższy link.