Выпуск Samba 4.17.0

ΠŸΡ€Π΅Π΄ΡΡ‚Π°Π²Π»Π΅Π½ Ρ€Π΅Π»ΠΈΠ· Samba 4.17.0, ΠΏΡ€ΠΎΠ΄ΠΎΠ»ΠΆΠΈΠ²ΡˆΠΈΠΉ Ρ€Π°Π·Π²ΠΈΡ‚ΠΈΠ΅ Π²Π΅Ρ‚ΠΊΠΈ Samba 4 с ΠΏΠΎΠ»Π½ΠΎΡ†Π΅Π½Π½ΠΎΠΉ Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠ΅ΠΉ ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»Π»Π΅Ρ€Π° Π΄ΠΎΠΌΠ΅Π½Π° ΠΈ сСрвиса Active Directory, совмСстимого с Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΠ΅ΠΉ Windows 2008 ΠΈ способного ΠΎΠ±ΡΠ»ΡƒΠΆΠΈΠ²Π°Ρ‚ΡŒ всС ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°Π΅ΠΌΡ‹Π΅ Microsoft вСрсии Windows-ΠΊΠ»ΠΈΠ΅Π½Ρ‚ΠΎΠ², Π² Ρ‚ΠΎΠΌ числС Windows 11. Samba 4 являСтся ΠΌΠ½ΠΎΠ³ΠΎΡ„ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½Π°Π»ΡŒΠ½Ρ‹ΠΌ сСрвСрным ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚ΠΎΠΌ, ΠΏΡ€Π΅Π΄ΠΎΡΡ‚Π°Π²Π»ΡΡŽΡ‰ΠΈΠΌ Ρ‚Π°ΠΊΠΆΠ΅ Ρ€Π΅Π°Π»ΠΈΠ·Π°Ρ†ΠΈΡŽ Ρ„Π°ΠΉΠ»ΠΎΠ²ΠΎΠ³ΠΎ сСрвСра, сСрвиса ΠΏΠ΅Ρ‡Π°Ρ‚ΠΈ ΠΈ сСрвСра ΠΈΠ΄Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ (winbind).

ΠšΠ»ΡŽΡ‡Π΅Π²Ρ‹Π΅ измСнСния Π² Samba 4.17:

  • ΠŸΡ€ΠΎΠ²Π΅Π΄Π΅Π½Π° Ρ€Π°Π±ΠΎΡ‚Π° ΠΏΠΎ ΡƒΡΡ‚Ρ€Π°Π½Π΅Π½ΠΈΡŽ рСгрСссий Π² ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΡΡ‚ΠΈ Π½Π°Π³Ρ€ΡƒΠΆΠ΅Π½Π½Ρ‹Ρ… SMB-сСрвСров, ΠΏΠΎΡΠ²ΠΈΠ²ΡˆΠΈΡ…ΡΡ Π² Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚Π΅ добавлСния Π·Π°Ρ‰ΠΈΡ‚Ρ‹ ΠΎΡ‚ уязвимостСй, ΠΌΠ°Π½ΠΈΠΏΡƒΠ»ΠΈΡ€ΡƒΡŽΡ‰ΠΈΡ… символичСскими ссылками. Из ΠΏΡ€ΠΎΠ²Π΅Π΄Ρ‘Π½Π½Ρ‹Ρ… ΠΎΠΏΡ‚ΠΈΠΌΠΈΠ·Π°Ρ†ΠΈΠΉ упоминаСтся сокращСниС систСмных Π²Ρ‹Π·ΠΎΠ²ΠΎΠ² ΠΏΡ€ΠΈ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠ΅ ΠΈΠΌΠ΅Π½ΠΈ ΠΊΠ°Ρ‚Π°Π»ΠΎΠ³Π° ΠΈ Π½Π΅ использованиС wakeup-событий ΠΏΡ€ΠΈ ΠΎΠ±Ρ€Π°Π±ΠΎΡ‚ΠΊΠ΅ ΠΊΠΎΠ½ΠΊΡƒΡ€ΠΈΡ€ΡƒΡŽΡ‰ΠΈΡ… ΠΎΠΏΠ΅Ρ€Π°Ρ†ΠΈΠΉ, приводящих ΠΊ Π·Π°Π΄Π΅Ρ€ΠΆΠΊΠ°ΠΌ.
  • ΠŸΡ€Π΅Π΄ΠΎΡΡ‚Π°Π²Π»Π΅Π½Π° Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ сборки Samba Π±Π΅Π· ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠΈ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π° SMB1 Π² smbd. Для ΠΎΡ‚ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ SMB1 Π² сборочном скриптС configure Ρ€Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½Π° опция «—without-smb1-server» (влияСт Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Π½Π° smbd, Π² клиСнтских Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠ°Ρ… ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° SMB1 сохраняСтся).
  • ΠŸΡ€ΠΈ использовании MIT Kerberos 1.20 Ρ€Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½Π° Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ противодСйствия Π°Ρ‚Π°ΠΊΠ΅ «Bronze Bit» (CVE-2020-17049), благодаря ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡Π΅ Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠΉ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ ΠΌΠ΅ΠΆΠ΄Ρƒ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚Π°ΠΌΠΈ KDC ΠΈ KDB. Π’ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅ΠΌΠΎΠΌ ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ KDC Π½Π° Π±Π°Π·Π΅ Heimdal Kerberos ΠΏΡ€ΠΎΠ±Π»Π΅ΠΌΠ° Π±Ρ‹Π»Π° устранСна Π² 2021 Π³ΠΎΠ΄Ρƒ.
  • ΠŸΡ€ΠΈ сборкС с MIT Kerberos 1.20 Π² ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»Π»Π΅Ρ€Π΅ Π΄ΠΎΠΌΠ΅Π½Π° Π½Π° Π±Π°Π·Π΅ Samba Ρ€Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½Π° ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° Kerberos-Ρ€Π°ΡΡˆΠΈΡ€Π΅Π½ΠΈΠΉ S4U2Self ΠΈ S4U2Proxy, Π° Ρ‚Π°ΠΊΠΆΠ΅ Π΄ΠΎΠ±Π°Π²Π»Π΅Π½Π° Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½Π½ΠΎΠ³ΠΎ дСлСгирования, основанного Π½Π° рСсурсах (RBCD, Resource Based Constrained Delegation). Для управлСния RBCDΠ’ Π² ΠΊΠΎΠΌΠ°Π½Π΄Ρƒ «samba-tool delegation» Π΄ΠΎΠ±Π°Π²Π»Π΅Π½Ρ‹ ΠΏΠΎΠ΄ΠΊΠΎΠΌΠ°Π½Π΄Ρ‹ ‘add-principal’ ΠΈ ‘del-principal’. Π’ примСняСмом ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ KDC Π½Π° Π±Π°Π·Π΅ Heimdal Kerberos Ρ€Π΅ΠΆΠΈΠΌ RBCD ΠΏΠΎΠΊΠ° Π½Π΅ поддСрТиваСтся.
  • Π’ΠΎ встроСнном DNS-сСрвисС прСдоставлСна Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ измСнСния сСтСвого ΠΏΠΎΡ€Ρ‚Π°, ΠΏΡ€ΠΈΠ½ΠΈΠΌΠ°ΡŽΡ‰Π΅Π³ΠΎ запросы (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, для запуска Π½Π° Ρ‚ΠΎΠΉ ΠΆΠ΅ систСмС Π΄Ρ€ΡƒΠ³ΠΎΠ³ΠΎ DNS-сСрвСра, ΠΏΠ΅Ρ€Π΅Π½Π°ΠΏΡ€Π°Π²Π»ΡΡŽΡ‰Π΅Π³ΠΎ ΠΎΠΏΡ€Π΅Π΄Π΅Π»Ρ‘Π½Π½Ρ‹Π΅ запросы ΠΊ Samba).
  • Π’ ΠΊΠΎΠΌΠΏΠΎΠ½Π΅Π½Ρ‚Π΅ CTDB, ΠΎΡ‚Π²Π΅Ρ‡Π°ΡŽΡ‰Π΅ΠΌ Π·Π° Ρ€Π°Π±ΠΎΡ‚Ρƒ кластСрных ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΉ, сниТСны трСбования ΠΊ синтаксису Ρ„Π°ΠΉΠ»Π° ctdb.tunables. ΠŸΡ€ΠΈ сборкС Samba с опциями «—with-cluster-support» ΠΈ «—systemd-install-services» обСспСчСна установка сСрвиса systemd для CTDB. ΠŸΡ€Π΅ΠΊΡ€Π°Ρ‰Π΅Π½Π° поставка скрипта ctdbd_wrapper — процСсс ctdbd Ρ‚Π΅ΠΏΠ΅Ρ€ΡŒ запускаСтся Π½Π°ΠΏΡ€ΡΠΌΡƒΡŽ ΠΈΠ· сСрвиса systemd ΠΈΠ»ΠΈ ΠΈΠ· скрипта ΠΈΠ½ΠΈΡ†ΠΈΠ°Π»ΠΈΠ·Π°Ρ†ΠΈΠΈ.
  • Π Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½Π° настройка ‘nt hash store = never’ Π·Π°ΠΏΡ€Π΅Ρ‰Π°ΡŽΡ‰Π°Ρ Ρ…Ρ€Π°Π½Π΅Π½ΠΈΠ΅ «Π³ΠΎΠ»Ρ‹Ρ…» (Π±Π΅Π· соли) Ρ…ΡΡˆΠ΅ΠΉ ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ Active Directory. Π’ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰Π΅ΠΉ вСрсии настройка ‘nt hash store’ ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ Π±ΡƒΠ΄Π΅Ρ‚ выставлСна Π² Π·Π½Π°Ρ‡Π΅Π½ΠΈΠ΅ «auto», ΠΏΡ€ΠΈ ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΌ Ρ€Π΅ΠΆΠΈΠΌ «never» Π±ΡƒΠ΄Π΅Ρ‚ ΠΏΡ€ΠΈΠΌΠ΅Π½ΡΡ‚ΡŒΡΡ Π² случаС наличия настройки ‘ntlm auth = disabled’.
  • ΠŸΡ€Π΅Π΄Π»ΠΎΠΆΠ΅Π½Π° обвязка для обращСния ΠΊ API Π±ΠΈΠ±Π»ΠΈΠΎΡ‚Π΅ΠΊΠΈ smbconf ΠΈΠ· ΠΊΠΎΠ΄Π° Π½Π° языкС Python.
  • Π’ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ΅ smbstatus Ρ€Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½Π° Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ Π²Ρ‹Π²ΠΎΠ΄Π° ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ Π² Ρ„ΠΎΡ€ΠΌΠ°Ρ‚Π΅ JSON (Π²ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ ΠΎΠΏΡ†ΠΈΠ΅ΠΉ «—json»).
  • Π’ ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»Π»Π΅Ρ€Π΅ Π΄ΠΎΠΌΠ΅Π½Π° Ρ€Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½Π° ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° Π³Ρ€ΡƒΠΏΠΏΡ‹ бСзопасности «Π—Π°Ρ‰ΠΈΡ‰Π΅Π½Π½Ρ‹Π΅ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΠΈ», появившСйся Π² Windows Server 2012 R2 ΠΈ Π½Π΅ Π΄ΠΎΠΏΡƒΡΠΊΠ°ΡŽΡ‰Π΅ΠΉ использованиС Π½Π΅Π½Π°Π΄Ρ‘ΠΆΠ½Ρ‹Ρ… Ρ‚ΠΈΠΏΠΎΠ² ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΡ (для ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ Π² Π³Ρ€ΡƒΠΏΠΏΠ΅ ΠΎΡ‚ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ NTLM, Kerberos TGTs Π½Π° Π±Π°Π·Π΅ RC4, ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½Π½ΠΎΠ³ΠΎ ΠΈ Π½Π΅ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½Π½ΠΎΠ³ΠΎ дСлСгирования).
  • ΠŸΡ€Π΅ΠΊΡ€Π°Ρ‰Π΅Π½Π° ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΊΠ° Ρ…Ρ€Π°Π½ΠΈΠ»ΠΈΡ‰Π° ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ ΠΈ ΠΌΠ΅Ρ‚ΠΎΠ΄Π° Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΠΈ Π½Π° Π±Π°Π·Π΅ LanMan (настройка «lanman auth = yes» Ρ‚Π΅ΠΏΠ΅Ρ€ΡŒ Π½Π΅ ΠΈΠΌΠ΅Π΅Ρ‚ значСния).

    Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: opennet.ru