ProHoster > Blog > ειδήσεις στο διαδίκτυο > Έκδοση Samba 4.24.0

Έκδοση Samba 4.24.0

Μετά από 6 μήνες ανάπτυξης, κυκλοφόρησε η έκδοση 4.24.0 του Samba, συνεχίζοντας την ανάπτυξη του κλάδου 4 του Samba με μια πλήρη υλοποίηση ενός ελεγκτή τομέα και μιας υπηρεσίας Active Directory συμβατής με την υλοποίηση. Windows Server και ικανό να υποστηρίξει όλες τις εκδόσεις που υποστηρίζονται από τη Microsoft Windows-πελάτες, συμπεριλαμβανομένων Windows Το Samba 4 είναι ένα πολυλειτουργικό προϊόν διακομιστή που παρέχει επίσης διακομιστή αρχείων, υπηρεσία εκτύπωσης και διακομιστή ελέγχου ταυτότητας (winbind). Ο κώδικας του έργου είναι γραμμένος σε C και διανέμεται με την άδεια GPLv3.

Βασικές αλλαγές στο Samba 4.24:

  • Μια νέα ενότητα VFS, η vfs_aio_ratelimit, έχει προστεθεί για τον περιορισμό του ρυθμού των ασύγχρονων λειτουργιών εισόδου/εξόδου (AIO). Τα όρια μπορούν να καθοριστούν σε bytes ανά δευτερόλεπτο ή σε λειτουργίες ανά δευτερόλεπτο. Όταν ξεπεραστεί το καθορισμένο όριο, η ενότητα αρχίζει να εισάγει τεχνητές καθυστερήσεις στις ασύγχρονες λειτουργίες για να διατηρήσει το καθορισμένο ανώτατο όριο.
  • Η ενότητα vfs_ceph_new VFS υποστηρίζει πλέον το πρωτόκολλο Keybridge RPC και τη λειτουργία FSCrypt για την κρυπτογράφηση δεδομένων και ονομάτων αρχείων στο σύστημα αρχείων CephFS. Η κρυπτογράφηση μπορεί να ενεργοποιηθεί ανά κατάλογο.
  • Στην ενότητα VFS vfs_streams_xattr, η οποία σας επιτρέπει να αποθηκεύετε εναλλακτικές ροές δεδομένων NTFS σε εκτεταμένα χαρακτηριστικά αρχείου (xattr) σε Linux, έχει προστεθεί η ρύθμιση "streams_xattr:max xattrs ανά ροή", η οποία καθορίζει τον επιτρεπόμενο αριθμό xattrs που χρησιμοποιούνται για την αποθήκευση δεδομένων. Linux Το μέγεθος του xattr περιορίζεται στα 65536 bytes, αλλά το XFS επιτρέπει τη συσχέτιση περισσότερων από ενός xattr με ένα μόνο αρχείο, επιτρέποντας τη χρήση πολλαπλών xattrs για την αποθήκευση έως και 1 MB εναλλακτικών δεδομένων.
  • Έχει υλοποιηθεί υποστήριξη για τον έλεγχο πληροφοριών που σχετίζονται με τον έλεγχο ταυτότητας. Οι κλάσεις εντοπισμού σφαλμάτων "dsdb_password_audit" και "dsdb_password_json_audit" έχουν προστεθεί για να αντικατοπτρίζουν τις αλλαγές στα χαρακτηριστικά altSecurityIdentities, dNSHostName, msDS-AdditionalDnsHostName, msDS-KeyCredentialLink και servicePrincipalName της Active Directory στο αρχείο καταγραφής.
  • Προστέθηκε υποστήριξη για εξωτερικά συστήματα διαχείρισης κωδικών πρόσβασης Microsoft Entra ID και Keycloak, τα οποία χρησιμοποιούν τη λειτουργία επαναφοράς κωδικού πρόσβασης (SSPR, επαναφορά κωδικού πρόσβασης) κατά την αλλαγή ενός κωδικού πρόσβασης χωρίς τη μετάδοση του παλιού κωδικού πρόσβασης στον ελεγκτή. τομέαΓια την επιβολή πολιτικών που ελέγχουν τη λήξη των κωδικών πρόσβασης, κατά την επαναφορά των κωδικών πρόσβασης, διαβιβάζονται πρόσθετες παράμετροι ("υποδείξεις πολιτικής κωδικού πρόσβασης"), επιτρέποντας στην λειτουργία να αντιμετωπίζεται ως κανονική αλλαγή κωδικού πρόσβασης. Το Samba λαμβάνει πλέον υπόψη αυτές τις παραμέτρους κατά την εφαρμογή τοπικών πολιτικών που σχετίζονται με κωδικούς πρόσβασης.
  • Προστέθηκε υποστήριξη για τον μηχανισμό ελέγχου ταυτότητας Kerberos PKINIT KeyTrust, ο οποίος επιτρέπει τη χρήση της μεθόδου "σε ελεγκτές τομέα που βασίζονται σε Samba και Heimdal KDC.Windows "Γεια σας για επιχειρηματικές συνδέσεις Key-Trust" για να χρησιμοποιήσετε τον μηχανισμό ελέγχου ταυτότητας PKINIT με αυτο-υπογεγραμμένα κλειδιά. Η εντολή "user|computer keytrust" έχει προστεθεί στο βοηθητικό πρόγραμμα samba-tool για την προσθήκη και προβολή του δημόσιου κλειδιού. Οι πληροφορίες δημόσιου κλειδιού αποθηκεύονται στον λογαριασμό χρησιμοποιώντας το χαρακτηριστικό msDS-KeyCredentialLink.
  • Έχει προστεθεί υποστήριξη για την επέκταση πρωτοκόλλου Kerberos PKINIT για αντιστοίχιση κλειδιών σε ελεγκτές τομέα KDC που βασίζονται σε Samba και Heimdal.Windows Ισχυρές και Ευέλικτες Αντιστοιχίσεις Κλειδιών, που χρησιμοποιούνται για τον έλεγχο ταυτότητας δημόσιου κλειδιού. Από προεπιλογή, επιτρέπεται μόνο η ακριβής αντιστοίχιση πιστοποιητικών ("ισχυρή επιβολή σύνδεσης πιστοποιητικών = πλήρης"), αλλά είναι επίσης δυνατή η ευέλικτη αντιστοίχιση ("ισχυρή επιβολή σύνδεσης πιστοποιητικών = συμβατότητα"), επιτρέποντας πιστοποιητικά νεότερα από τον λογαριασμό χρήστη. Τα δεδομένα αντιστοίχισης πιστοποιητικών για έναν λογαριασμό αποθηκεύονται στο χαρακτηριστικό altSecurityIdentities.
  • Προστέθηκε υποστήριξη για την επέκταση πρωτοκόλλου "Kerberos PKINIT SID", η οποία επιτρέπει τη χρήση πιστοποιητικών με SID αντικειμένου για έλεγχο ταυτότητας. Η εντολή "user|computer generate-csr" έχει προστεθεί στο βοηθητικό πρόγραμμα samba-tool για την υπογραφή πιστοποιητικών.
  • Η προεπιλεγμένη υλοποίηση KDC (Κέντρο Διανομής Κλειδιών) επιστρέφει μια δομή PAC (Πιστοποιητικό Χαρακτηριστικού Προνομίων) που περιέχει δεδομένα δικαιωμάτων χρήστη, ανεξάρτητα από το εάν το πεδίο PA-PAC-REQUEST καθορίζεται στο αίτημα του προγράμματος-πελάτη. Για να επιστρέψετε στην προηγούμενη συμπεριφορά, είναι διαθέσιμη η ρύθμιση "kdc always generate pac = no".
  • Το KDC έχει μια νέα ρύθμιση που ονομάζεται "kdc require canonicalization", η οποία όταν οριστεί σε "yes" απαιτεί από τον υπολογιστή-πελάτη να ζητήσει κανονικοποίηση του ονόματος χρήστη κατά την πρόσβαση στο υπηρέτης έλεγχος ταυτότητας (AS_REQ). Εάν δεν ζητηθεί κανονικοποίηση, ο διακομιστής θα επιστρέψει το σφάλμα "άγνωστος χρήστης". Σε δίκτυα με χρήστες που χρησιμοποιούν λειτουργικό σύστημα Windows, η ενεργοποίηση της νέας ρύθμισης δεν θα πρέπει να προκαλέσει προβλήματα, καθώς Windows-οι πελάτες ζητούν πάντα κανονικοποίηση από προεπιλογή.

    Η υποχρεωτική κανονικοποίηση βοηθά στην προστασία από επιθέσεις "δολαρίου εισιτηρίου", οι οποίες εκμεταλλεύονται το γεγονός ότι τα ονόματα χρήστη μπορούν να καθοριστούν διαφορετικά ("χρήστης" και "user$") και να υποστούν επεξεργασία διαφορετικά σε κανονικοποιημένες και μη κανονικοποιημένες αναπαραστάσεις. Η ουσία της επίθεσης είναι ότι ένας εισβολέας θα μπορούσε, για παράδειγμα, να δημιουργήσει έναν λογαριασμό υπολογιστή με το όνομα "root$" στο AD και να τον χρησιμοποιήσει για να λάβει ένα εισιτήριο από το KDC στέλνοντας το όνομα χρήστη "root" αντί για "root$" στο αίτημα. Το KDC, μη βρίσκοντας τον χρήστη "root", θα επεξεργαζόταν το αίτημα στο πλαίσιο του χρήστη "root$" και θα εξέδιδε ένα εισιτήριο που θα μπορούσε να χρησιμοποιηθεί για σύνδεση ως χρήστης root μέσω SSH ή NFS σε Linux-διακομιστής με SSSD.

  • Μια λύση για τις επιθέσεις "dollar ticket" έχει προστεθεί στο KDC για διαμορφώσεις με απενεργοποιημένα τα υποχρεωτικά αιτήματα κανονικοποίησης ονόματος (το "kdc require canonicalization = no" είναι ενεργοποιημένο από προεπιλογή). Από προεπιλογή, εάν ο υπολογιστής-πελάτης δεν έχει ζητήσει κανονικοποίηση και το όνομα που ελέγχεται δεν βρεθεί, ο διακομιστής εκτελεί έναν επιπλέον έλεγχο προσθέτοντας τον χαρακτήρα "$" στο όνομα. Η νέα ρύθμιση "kdc name match implicit dollar without canonicalization = no" σάς επιτρέπει να απενεργοποιήσετε αυτήν τη συμπεριφορά και να εκτελείτε μόνο σαφείς ελέγχους (στο πλαίσιο της προαναφερθείσας επίθεσης, ο διακομιστής δεν θα ελέγξει το όνομα "root$" όταν ζητά "root").
  • Από προεπιλογή, το Heimdal KDC αποστέλλει μόνο κανονικοποιημένα ονόματα (sAMAccountName από το PAC) στις υπηρεσίες Kerberos αντί για την αρχική τιμή cname. Για να επαναφέρετε την παλιά συμπεριφορά, χρησιμοποιήστε τη ρύθμιση "krb5 acceptor report canonical client name = no".
  • Για πλήρη προστασία από επιθέσεις με δελτία τύπου dollar, συνιστούμε να ορίσετε τις ακόλουθες ρυθμίσεις: ισχυρή επιβολή σύνδεσης πιστοποιητικών, πλήρες kdc, να συμπεριλαμβάνεται πάντα το pac, ναι, kdc, να απαιτείται κανονικοποίηση, ναι.
  • Για τον αποκλεισμό της ευπάθειας CVE-2026-20833, η μέθοδος κρυπτογράφησης τομέα στις προεπιλεγμένες ρυθμίσεις KDC έχει αλλάξει σε AES (η ρύθμιση "kdc default domain supported enctypes" έχει οριστεί σε "aes128-cts-hmac-sha1-96 aes256-cts-hmac-sha1-96").

Πηγή: opennet.ru

Αγοράστε αξιόπιστη φιλοξενία για ιστότοπους με προστασία DDoS, διακομιστές VPS VDS 🔥 Αγοράστε αξιόπιστη φιλοξενία ιστοσελίδων με προστασία DDoS, διακομιστές VPS VDS | ProHoster