Samba 4.17.0 llega con mejoras de seguridad, compilación sin SMB1 y mas

septiembre 14, 2022 0 Comments

Samba es el conjunto estándar de programas de interoperabilidad de Windows para Linux y Unix.

Samba es un producto de servidor multifuncional, que también proporciona una implementación del servidor de archivos, el servicio de impresión y el servidor de identidad (winbind).

Hace poco se dio a conocer el lanzamiento de la nueva versión de Samba 4.17.0, que continúa el desarrollo de la rama Samba 4 con una implementación completa de un controlador de dominio y un servicio de Active Directory que es compatible con la implementación de Windows 2008 y puede servir a todas las versiones de Clientes de Windows compatibles con Microsoft, incluido Windows 11.

Este nuevo lanzamiento de samba incluye diversos cambios y correcciones integrados desde versiones anteriores correctivas de la rama 4.16.x y de sus novedades más destacables están las mejoras de optimización, algunos cambios en el proceso de compilación y más

Principales novedades de Samba 4.17.0

En esta nueva versión de Samba 4.17.0, se ha trabajado para eliminar las regresiones en el rendimiento de los servidores SMB cargados que aparecían como resultado de agregar protección contra vulnerabilidades que manipulan enlaces simbólicos. Algunas de las optimizaciones que se han realizado incluyen la reducción de las llamadas al sistema cuando se verifica el nombre del directorio y él no uso de eventos de activación cuando se procesan operaciones competidoras que causan demoras.

Otro de los cambios que se destaca, es que se proporcionó la capacidad de compilar Samba sin compatibilidad con el protocolo SMB1 en smbd. Para deshabilitar SMB1, la opción «-sin-smb1-servidor» se implementa en el script de compilación de configuración (solo afecta a smbd, la compatibilidad con SMB1 se conserva en las bibliotecas de clientes).

Ademas de ello, se implementó la configuración ‘nt hash store=never’, que prohíbe el almacenamiento de hashes de contraseña de los usuarios de Active Directory. En una versión futura, la configuración ‘nt hash store’ estará predeterminada en ‘auto’, que utilizará el modo ‘nunca’ si la configuración ‘ntlm auth=disabled’ está presente.

En el componente CTDB responsable de la operación de configuraciones de clúster, se han reducido los requisitos para la sintaxis del archivo ctdb.tunables. Cuando Samba se compila con las opciones «–with-cluster-support» y «–systemd-install-services», se instala el servicio systemd para CTDB. El script ctdbd_wrapper se suspendió: el proceso ctdbd ahora se inicia directamente desde un servicio systemd o desde un script de inicio.

De los demás cambios que se integran en esta nueva versión de Samba:

  • Se propone un enlace para acceder a la API de la biblioteca smbconf desde el código de Python.
  • Al usar MIT Kerberos 1.20, el ataque «Bronze Bit» (CVE-2020-17049) se implementó pasando información adicional entre los componentes KDC y KDB. El KDC predeterminado basado en Heimdal Kerberos se ha corregido en 2021.
  •  Los subcomandos ‘add-principal’ y ‘del-principal’ se agregaron al comando de delegación de samba-tool para administrar RBCDВ.
  • El KDC predeterminado basado en Heimdal Kerberos aún no es compatible con el modo RBCD.
  • El servicio DNS integrado ofrece la posibilidad de cambiar el puerto de red que recibe las solicitudes (por ejemplo, para ejecutar otro servidor DNS en el mismo sistema que redirige ciertas solicitudes a Samba).
  • El programa smbstatus ahora tiene la capacidad de mostrar información en formato JSON (habilitado con la opción «–json»).
  • El controlador de dominio implementa soporte para el grupo de seguridad de Usuarios Protegidos, introducido en Windows Server 2012 R2, que no permite el uso de tipos de cifrado débiles (para usuarios del grupo, soporte para autenticación NTLM, Kerberos TGT basados ​​en RC4, limitado e ilimitado la delegación está deshabilitada).
  • Se eliminó la compatibilidad con el almacenamiento de contraseñas y el método de autenticación basado en LanMan (la configuración de «autenticación de lanman=yes» ahora es irrelevante).

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

Descargar y obtener Samba 4.17.0

Bien, para quienes estén interesados en poder instalar esta nueva versión de Samba o quieren actualizar su versión anterior a esta nueva, deben saber qué samba está incluido dentro de los repositorios de Ubuntu, deben saber que los paquetes no son actualizados al momento de que se libera una nueva versión, por lo que preferimos en este caso recomendar la compilación de la nueva versión, desde su código fuente.

El código fuente lo puedes obtener desde el siguiente enlace.


Some say he’s half man half fish, others say he’s more of a seventy/thirty split. Either way he’s a fishy bastard.