Samba 4.17.0 выходит с улучшениями безопасности, компиляцией без SMB1 и многим другим

Недавно анонсирован выпуск новой версии Samba 4.17.0, которая продолжает развитие ветки Samba 4 с полной реализацией контроллера домена и службы Active Directory, совместимой с реализацией Windows 2008 и способной обслуживать все версии клиентов Windows, поддерживаемые Microsoft, включая Windows 11.

Этот новый релиз самбы включает в себя различные изменения и исправления интегрировано из предыдущих исправительных версий ветки 4.16.x, и его наиболее заметными новыми функциями являются улучшения оптимизации, некоторые изменения в процессе компиляции и многое другое.

Основные новые возможности Samba 4.17.0

В этой новой версии Samba 4.17.0 проделана работа по устранению регрессии производительности загруженных SMB-серверов что появилось в результате добавления защиты от уязвимостей которые манипулируют символическими ссылками. Некоторые из сделанных оптимизаций включают сокращение системных вызовов при проверке имени каталога и отказ от использования триггерных событий при обработке конкурирующих операций, вызывающих задержки.

Еще одно заметное изменение заключается в том, что возможность компилировать Samba без поддержки протокола SMB1 в чем-л. Для отключения SMB1 в скрипте сборки конфигурации реализована опция "-without-smb1-server" (влияет только на smbd, поддержка SMB1 сохранена в клиентских библиотеках).

Кроме того, реализована настройка 'nt hash store=never', запрещающая сохранение хэшей пароль пользователей Active Directory. В будущем выпуске для параметра «nt hash store» по умолчанию будет установлено значение «auto», которое будет использовать режим «никогда», если присутствует параметр «ntlm auth=disabled».

В компоненте CTDB, отвечающем за работу конфигураций кластера, снижены требования к синтаксису файла ctdb.tunables. Когда Samba компилируется с параметрами «–with-cluster-support» и «–systemd-install-services», устанавливается служба systemd для CTDB. Сценарий ctdbd_wrapper больше не поддерживается: процесс ctdbd теперь запускается непосредственно из службы systemd или из сценария запуска.

Из других изменений которые интегрированы в эту новую версию Samba:

• Предоставляется ссылка для доступа к API библиотеки smbconf из кода Python.
• С помощью MIT Kerberos 1.20 была реализована атака «Бронзовый бит» (CVE-2020-17049) путем передачи дополнительной информации между компонентами KDC и KDB. KDC по умолчанию на основе Heimdal Kerberos был исправлен в 2021 году.
•  Подкоманды add-principal и del-principal были добавлены в команду делегирования samba-tool для управления RBCD.
• KDC Heimdal на основе Kerberos по умолчанию еще не поддерживает режим RBCD.
• Встроенная служба DNS предоставляет возможность изменить сетевой порт, на который принимаются запросы (например, запустить в той же системе другой DNS-сервер, который перенаправляет определенные запросы на Samba).
• Программа smbstatus теперь имеет возможность отображать информацию в формате JSON (включается опцией «–json»).
• В контроллере домена реализована поддержка группы безопасности «Защищенные пользователи», введенная в Windows Server 2012 R2, которая не позволяет использовать слабые типы шифрования (для групповых пользователей предусмотрена поддержка NTLM-аутентификации, Kerberos TGT на базе RC4, ограниченное и неограниченное делегирование). инвалид).
• Удалена поддержка хранения паролей и метода аутентификации на основе LanMan (настройка "lanman=yes authentication" теперь неактуальна).

Наконец, если вы заинтересованы в том, чтобы узнать больше об этом, вы можете ознакомиться с подробностями в по следующей ссылке.

Загрузите и получите Samba 4.17.0

Что ж, для тех, кто заинтересован в возможности установить эту новую версию Samba или хочет обновить свою предыдущую версию до этой новой., они должны знать, что samba включена в репозитории Ubuntu, они должны знать, что пакеты не обновляются при выпуске новой версии, поэтому мы предпочитаем в этом случае рекомендовать компиляцию новой версии из ее исходного кода.

Исходный код можно получить на по следующей ссылке.