Samba 4.17.0 带来安全改进、SMB1-less 编译等

Samba 是适用于 Linux 和 Unix 的标准 Windows 互操作性程序集。

Samba 是一个多功能服务器产品,它还提供了文件服务器、打印服务和身份服务器(winbind)的实现。

最近 Samba 4.17.0 新版本发布,它继续开发 Samba 4 分支,完全实现域控制器和 Active Directory 服务,该服务与 Windows 2008 实现兼容,可以服务于 Microsoft 支持的所有版本的 Windows 客户端,包括 Windows 11

这个新的 samba 版本 包括各种更改和修复 从以前的 4.16.x 分支的更正版本集成,其最显着的新特性是优化改进、编译过程中的一些变化等等

Samba 4.17.0的主要新功能

在新版本的Samba 4.17.0中, 已经完成了消除性能回归的工作 已加载的 SMB 服务器 由于添加了漏洞保护而出现的 操纵符号链接。 已进行的一些优化包括在检查目录名称时减少系统调用,以及在处理导致延迟的竞争操作时不使用触发事件。

另一个突出的变化是 无需 SMB1 协议支持即可编译 Samba 在要禁用 SMB1,请在配置构建脚本中实现“-without-smb1-server”选项(仅影响 smbd,SMB1 支持保留在客户端库中)。

除此之外, 实现'nt hash store=never'设置,禁止存储哈希 Active Directory 用户的密码。 在未来的版本中,“nt hash store”设置将默认为“auto”,如果存在“ntlm auth=disabled”设置,它将使用“never”模式。

在负责集群配置操作的 CTDB 组件中,降低了对 ctdb.tunables 文件语法的要求。 当使用“–with-cluster-support”和“–systemd-install-services”选项编译 Samba 时,会安装 CTDB 的 systemd 服务。 ctdbd_wrapper 脚本已停止:ctdbd 进程现在直接从 systemd 服务或启动脚本启动。

其他变化 集成在这个新版本的 Samba 中:

  • 提供了一个链接以从 Python 代码访问 smbconf 库 API。
  • 使用 MIT Kerberos 1.20,“Bronze Bit”攻击 (CVE-2020-17049) 是通过在 KDC 和 KDB 组件之间传递附加信息来实现的。 基于 Heimdal Kerberos 的默认 KDC 已在 2021 年修复。
  •  'add-principal' 和 'del-principal' 子命令已添加到 samba-tool 委托命令以管理 RBCDВ。
  • 默认的 Heimdal 基于 Kerberos 的 KDC 尚不支持 RBCD 模式。
  • 内置 DNS 服务提供了更改接收请求的网络端口的能力(例如,在同一系统上运行另一个 DNS 服务器,将某些请求重定向到 Samba)。
  • smbstatus 程序现在能够以 JSON 格式显示信息(使用“-json”选项启用)。
  • 域控制器实现了对 Windows Server 2012 R2 中引入的受保护用户安全组的支持,该安全组不允许使用弱加密类型(对于组用户,支持 NTLM 身份验证,基于 RC4 的 Kerberos TGT,有限和无限委派是禁用)。
  • 删除了对密码存储和基于 LanMan 的身份验证方法的支持(设置“lanman=yes 身份验证”现在无关紧要)。

最后,如果您有兴趣能够了解更多,可以在 以下链接。

下载并获取 Samba 4.17.0

好吧,对于那些有兴趣能够安装此新版本的Samba或想要将其先前版本更新为该新版本的人, 他们必须知道 samba 包含在 Ubuntu 存储库中,他们必须知道软件包不会在新版本发布时更新,所以在这种情况下,我们更愿意推荐从源代码编译新版本。

源代码可以从 以下链接。


本文内容遵循我们的原则 编辑伦理。 要报告错误,请单击 信息.

成为第一个发表评论

发表您的评论

您的电子邮件地址将不会被发表。

*

*

  1. 负责数据:MiguelÁngelGatón
  2. 数据用途:控制垃圾邮件,注释管理。
  3. 合法性:您的同意
  4. 数据通讯:除非有法律义务,否则不会将数据传达给第三方。
  5. 数据存储:Occentus Networks(EU)托管的数据库
  6. 权利:您可以随时限制,恢复和删除您的信息。