The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск Samba 4.18.0

09.03.2023 09:37

Представлен релиз Samba 4.18.0, продолживший развитие ветки Samba 4 с полноценной реализацией контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2008 и способного обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 11. Samba 4 является многофункциональным серверным продуктом, предоставляющим также реализацию файлового сервера, сервиса печати и сервера идентификации (winbind).

Ключевые изменения в Samba 4.18:

  • Продолжена работа по устранению регрессий в производительности нагруженных SMB-серверов, появившихся в результате добавления защиты от уязвимостей, манипулирующих символическими ссылками. В дополнение к проведённой в прошлом выпуске работе по сокращению системных вызовов при проверке имени каталога и прекращению использования wakeup-событий при обработке конкурирующих операций, в версии 4.18 примерно в три раза снижены накладные расходы при обработке блокировок для конкурирующих операций с файловыми путями. В итоге производительность операций открытия и закрытия файлов доведена до уровня Samba 4.12.
  • В утилите samba-tool реализован вывод более лаконичных и точных сообщений об ошибках. Вместо вывода трассировки вызовов с указанием позиции в коде, в которой возникла проблема, что не всегда позволяло сразу понять в чём дело, в новой версии вывод ограничен описанием причины ошибки (например, некорректное имя пользователя или пароль, неверное имя файла с БД LDB, отсутствие имени в DNS, недоступность сети, неверные аргументы командной строки и т.п.). При выявлении нераспознанной проблемы продолжает выводиться полная трассировка Python-стека, которую также можно получить при указании опции '-d3'. Данная информация может потребоваться для поиска причины проблемы в Web или добавления в отправляемое уведомление об ошибке.
  • Во всех командах samba-tool обеспечена поддержка опции "--color=yes|no|auto" для управления подсветкой вывода. В режиме "--color=auto" выделение цветом используется только при выводе на терминал. Вместо 'yes' разрешено указание значений 'always' и 'force', вместо 'no' - 'never' и 'none', вместо 'auto' - 'tty' и 'if-tty'.
  • Добавлена поддержка переменной окружения NO_COLOR для отключения подсветки вывода, в ситуациях когда используются ANSI-коды цветов или действует режим "--color=auto".
  • В samba-tool добавлена новая команда "dsacl delete" для удаления записей в списках управления доступом (ACE, Access Сontrol Entry).
  • В команду wbinfo добавлена опция "--change-secret-at=<DOMAIN CONTROLLER>" для указания контроллера домена для которого необходимо выполнить операцию смены пароля.
  • В smb.conf добавлен новый параметр "acl_xattr:security_acl_name" для изменения имени расширенного атрибута (xattr), применяемого для хранения NT ACL. По умолчанию к файлам и каталогам прикрепляется атрибут security.NTACL, доступ к которому запрещён для обычных пользователей. При изменении имени атрибута хранения ACL, он не будет отдаваться через SMB, но станет локально доступен любым пользователям, что требует понимания возможного негативного влияния на безопасность.
  • Добавлена поддержка синхронизации хэшей паролей между доменом Active Directory на базе Samba и облаком Azure Active Directory (Office365).


  1. Главная ссылка к новости (https://lists.samba.org/archiv...)
  2. OpenNews: Выпуск Samba 4.17.0
  3. OpenNews: Уязвимости в Samba, приводящие к переполнению буфера и выходу за границу базового каталога
  4. OpenNews: Уязвимость в Samba и MIT/Heimdal Kerberos, приводящая к переполнению буфера
  5. OpenNews: Уязвимость в Samba, позволяющая поменять пароль любому пользователю
  6. OpenNews: Удалённая root-уязвимость в Samba
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/58764-samba
Ключевые слова: samba
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (55) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Tron is Whistling (?), 09:47, 09/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Вопрос прост: что ещё сломали в этом релизе?
     
     
  • 2.2, Tron is Whistling (?), 09:53, 09/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    (каждый долбаный релиз приходится что-то подкручивать, потому что опять отломалось. то маппинг юзеров в ад. то xattrs оказываются включенными по умолчанию и флаги летят в звезду вместе с работой tortoisesvn на виндах. то ещё чего)
     
     
  • 3.18, пох. (?), 11:53, 09/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А нафига ты их ставишь-то все более и более новые и улучшайканые? В твоем дистрибутиве нет стабильной версии (убунта, чтоль?)

    Если что - реально существенные и не обходящиеся настройками проблемы в самбе бывают в среднем раз в пару лет, и то не во всякой конфигурации это реально опасно (вот нету у меня на самбиных шарах пресловутых симлинков и понаделать их некому и нечем).

    Многие при этом решаются однострочным патчем который самому несложно сбэкпортировать.

     
     
  • 4.21, Tron is Whistling (?), 14:30, 09/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Последняя задница с маппингом юзеров не решалась вообще никак.
    Сейчас допилили.
     
     
  • 5.22, пох. (?), 17:07, 09/03/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    я ж говорю - самба это не тот софт который с годами становится лучше. Поскольку цели их проекта весьма далеки от твоих.
     
     
  • 6.23, Tron is Whistling (?), 17:52, 09/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не, там дело не в цыле. Там наспех заткнули уябзвимость, не подумав о последствиях.
     
     
  • 7.28, Аноним (28), 00:03, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Там by design протокол состоит из уязвимостей (майкрософт жи).
    Так что лучше просто отказаться от самбы и жизнь станет проще.
     

  • 1.3, Аноним (3), 10:03, 09/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Неплохая весчь. Я лично ей пользовался лет 10 назад, чтоб подключиться к расшаренному диску с кинцом, который кто-то раздавал в общаге. Тогда я открыл для себя сериал Доктор Хаус. Все благодаря Samba. Общага вообще много всего для меня открыла нового, но об этом я расскажу как-нибудь в следующий раз.
     
     
  • 2.69, Анониссимус (?), 15:36, 17/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ждём с нетерпением!
     

  • 1.6, Аноним (6), 10:13, 09/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > в версии 4.18 примерно в три раза снижены накладные расходы при обработке блокировок для конкурирующих операций с файловыми путями. В итоге производительность операций открытия и закрытия файлов доведена до уровня Samba 4.12.

    Вот это я понимаю, прогресс!

     
     
  • 2.16, пох. (?), 11:46, 09/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Зато ж безопастно теперь!

    (Хакер ждет-ждет, не дожидается, что-то грустит и уходит не солоно хлебавши.)

     
     
  • 3.19, Аноним (19), 12:12, 09/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Безопастно будет когда на Rust перепишут.
     
     
  • 4.20, Аноним (20), 13:51, 09/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не будет.
     

  • 1.15, Аноним (15), 11:31, 09/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Принтер Canon 2022 года самбовскую шару не видит, а шару на винде видит. Причем винда видит самбовскую шару. Чудеса.
     
     
  • 2.17, пох. (?), 11:48, 09/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это потому что у кэнона внутри тоже самба. Но немного не совсем совместимой версии, поскольку обновлялась давно.

    Попробуй понизить версию - почти наверняка поможет.
    (Потом можешь начать гадать на ченжлоге, какая из безопастных улучшаек тебе все поломала.)

     
  • 2.33, llolik (ok), 10:52, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Принтер Canon 2022 года самбовскую шару не видит, а шару на винде
    > видит. Причем винда видит самбовскую шару. Чудеса.

    Догадываюсь, потому что discovery от samba не зависит вообще никак. Как и от SMB, как протокола.

     
  • 2.59, Аноним (59), 15:03, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не понятно как принтер должен видить шару? Наоборот принтер может быть расшаренным для клиентов. МФУ должна видить общую папку для того чтобы бросать туда сканы документов.
     

  • 1.24, unspecified (?), 18:25, 09/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Гы-гы:
    $ LANG=C gpg --verify samba-4.18.0.tar.asc samba-4.18.0.tar
    gpg: Signature made Ср 08 мар 2023 15:26:44 MSK
    gpg:                using RSA key 81F5E2832BD2545A1897B713AA99442FB680B620
    gpg: Good signature from "Samba Distribution Verification Key <samba-bugs@samba.org>" [expired]
    gpg: Note: This key has expired!
    Primary key fingerprint: 81F5 E283 2BD2 545A 1897  B713 AA99 442F B680 B620

    Ключик-то истёк

     
     
  • 2.25, Аноним (25), 19:06, 09/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну истёк и истёк. Это как-то меняет тот факт, что подпись правильная?
     
     
  • 3.26, snmp agent (?), 19:07, 09/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Надо следить-с за своими ключами
     
  • 3.29, Аноним (28), 00:04, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, но намекает.
     
     
  • 4.31, пох. (?), 10:47, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    что на белок-истеричек всем пофиг.
     

  • 1.30, жявамэн (ok), 09:45, 10/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    я конечно все понимаю.
    но за 20 лет гнушники так и не придумали альтернативу smb протоколу?
    nfs не предлагать это некроподелие еще хуже смб
     
     
  • 2.32, пох. (?), 10:49, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А они вообще свое хоть что-нибудь придумали?

     
     
  • 3.35, жявамэн (ok), 11:57, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А они вообще свое хоть что-нибудь придумали?

    systemd от соляриса стырили.

    99% гну софта - клоны закрытого.

     
     
  • 4.36, пох. (?), 12:15, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    От винды. На солярисный больше даже упсpaт был похож чем это.
    Солярисный - просто (черезмерно хитровыделанный) механизм запуска демонов (причем - нормальных демонов, а не вот этого всего, которое неосиляторам control terminal detach создано)
    А тут именно какввенде - самостартующие "сервисы" (и это тоже виндовый термин) делающие хз что хз как без возможности контроля и управления, какие-то "сессии" (и еще один) и миллиард невменяемой неведомой х-ни лезущей во все уголки системы.

    Венда-то понятно зачем это делает - у нее типовой пользователь только плеваться в экран умеет. Кто такого к солярке-то подпустит и зачем ему, в общем-то?

     
     
  • 5.60, Аноним (59), 15:09, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Насчёт виндовой идеи это правильно. Насчёт неуправляемости юнитов это неправда.
     
  • 5.63, InuYasha (??), 21:38, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Что-то не то они тырят всё время. Вот, когда стырят от винды реестр - будт счастье. А пока - конфигов как мух.
     
  • 2.38, Ананий (?), 13:05, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    а шо не так с НФС? скорость работы на уровне скорости НЖМД, на кодировку и спецсиволы пофиг, в отличии от смб. Когда за 20 лет микрософт запилит нормальную реализацию протокола?
     
     
  • 3.39, жявамэн (ok), 13:54, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    это тралинг?
    ну скажи что да....
     
  • 3.40, YetAnotherOnanym (ok), 13:58, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, и при малейших затупах в сети намертво вешает машину. Про флаги монтирования можешь не расказывать - всё пробовано-перепробовано.
     
     
  • 4.42, анон (?), 15:24, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Недавно настроил себе нас, как только отваливается роутер при перегреве и из локалки исчезает самба сервер, то после этого монтированый cifs ставит раком пк в проводнике. Или, когда на торенте суперсид и до машины не достучаться даже через кос. C nfs пока не заморачивался, лень ldap настраивать. Т.к. у меня Эскобар.
     
  • 4.46, Ананий (?), 16:33, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Ага, и при малейших затупах в сети намертво вешает машину. Про флаги
    > монтирования можешь не расказывать - всё пробовано-перепробовано.

    Есть такое, увы. И по мне так это единственный недостаток. SMB при "затупах" хоть и не виснет, но вполне себе отваливается. Зато более быстрый отклик, особенно при работе с кучей мелких файлов, в отличие от смб.

     
  • 4.64, InuYasha (??), 21:39, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Подвешивает и то и другое, лол. Попробуй вырубить ноут с mount -cifs при отвале сети :D Скорее батарея сядет или добежишь провод переткнуть.
     
  • 3.44, Аноним (44), 15:52, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще-то NFSv4 2 вполне себе хорош и по функционалу не уступает SMBv3 Но тольк... большой текст свёрнут, показать
     
     
  • 4.45, Ананий (?), 16:23, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Какого? NFS? Боюсь, что не скоро.

    Ну вообще-то давно было, оказывается и сейчас есть
    https://learn.microsoft.com/ru-ru/windows-server/storage/nfs/nfs-overview
    только производительность оставляла желать лучшего

    >ACL,LDAP

    Но не всем нужна файлопомойка як на виндовс. Иногда аклы не имеют никакого значения, т.к. юзер 1, какой-нибудь сервис или БД внутри DMZ.


     
  • 4.51, пох. (?), 22:27, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вообще-то NFSv4.2 вполне себе хорош и по функционалу не уступает SMBv3.

    complete trust _хосту_ вместо user credentials уже сумели превозмочь? Ах, все еще нет? Ну лет через двадцать напомните о себе еще разок, посмотрим-послушаем.

    Ну и отдельно предлагается к изучению что такое nfs-ganesha и какие явления в современном ИТ вызвали к жизни этого монстра с оторванной головой.

    (обратите внимание, что у самбы нет такой проблемы - в том числе и для кластерных систем. Хотя это не помешало им повторить тот же подвиг с ломанием всех плагинов, но на восемь лет позже.)

     
  • 4.52, пох. (?), 22:35, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Когда за 20 лет микрософт запилит нормальную реализацию протокола?
    > Какого? NFS? Боюсь, что не скоро.

    да нормальная у них реализация. Для interoperability без хватания звезд с неба - хватает (да, используем).
    Правда четвертая версия протокола там только на бумаге. И...тадам, да, опять complete host trust.

    > Это чудовищный труд - писать и отлаживать драйверы такой сложности.

    ты не поверишь, справились аспиранты какого-то второразрядного универа, я уже начисто забыл и название и универ - но у них была работающая реализация именно 4 под винду. Гуглите и обрящете.
    Умерла за полной невостребованностью, а авторы, видать, в постдоки перешли и забили, как и первоначальные авторы postgres :-(

     
  • 2.47, ivan_erohin (?), 17:26, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    sshfs через fuse. медленно и безопастно.
    вот что надо было в ядро брать вместо smb/cifs.
     
  • 2.48, ivan_erohin (?), 17:36, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > альтернативу smb протоколу?

    читаем "альтернативные файлопомойки". пишем:
    1) ... см выше
    2) приватное облако. WebDAV. глючность чуть поменьше сосамбы. пролазит везде куда пролазит https.
    3) приватные git репозитории. безопастность поменее, тормоз, зато история версий.
    4) rsync туда-сюда-обратно и наоборот. ничего не скажу.

     
     
  • 3.53, Ананимаз (?), 03:55, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    лол, это вообще не альтернативы ибо шо вебдав, шо рсинк(который тут вообще не причем) требует сначала скачать файло целиком,к себе на локальный диск, а потом позволит его пользовать.

    проведи простой эксперимент. Закачай 10гб видеофайлик и попробуй его воспроизвести. Тогда и поймешь в чем отличие.

     
  • 3.54, Ананимаз (?), 03:59, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ну или еще интереснее экспериментик
    закачай на свой вебдав гугл/яндекс/мейлру диск 10гб файл
    поменяй в нем ровно один байт в hex редакторе в каком-нибудь far, или шо там модно сейчас, понаблюдай разницу.
     
     
  • 4.56, ivan_erohin (?), 04:59, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > свой вебдав гугл/яндекс/мейлру

    очень толсто. сало оно такое. дальше тролли себя сам.
    1) это не мой вебдав.
    2) яндекс и мэйлру делали все, чтобы вебдав испохабить и затормозить,
    чтобы юзера предпочли их фирменные клиенты. про гуглаг ничего не скажу.

     

  • 1.34, YetAnotherOnanym (ok), 11:25, 10/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > полная трассировка Python-стека

    Хммм... Давно с Самбой не соприкасался. Не знал, что её переписали на Питоне.

     
     
  • 2.37, пох. (?), 12:17, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Изрядненько - samba-tool лет пятнадцать уж точно есть. И да, он всегда был на пихоне.
    Чего бы управляшку не написать на быстроязычке... ой, правда уже три раза пришлось переписывать на чуть-чуть другую его версию, но зато быстро.
     
     
  • 3.41, YetAnotherOnanym (ok), 13:58, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Уффф... как хорошо, что мне с этим по работе не возиться.
     
     
  • 4.49, пох. (?), 21:39, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да, виндовый домен все же с винды попроще управляется.

    А для пошарить папочку с хомепроном этот тул необязателен, как и вся четвертая cocaмба в целом.

     
     
  • 5.65, InuYasha (??), 21:43, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Этот тул вообще не обязателен. Раз я как-то без него выжил и даже о нём не знал :D
    Но надо поглядеть. А то вдруг нейроно-часов сэкономит...
     
     
  • 6.66, пох. (?), 23:25, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это для управления AD. Тебе не нужно. (Раз ты о нем не знал - нет у тебя никакого AD.)

     

  • 1.43, Аноним (43), 15:30, 10/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Реализацию SMBv3 уже стабилизировали?
    https://docs.kernel.org/filesystems/cifs/ksmbd.html

    Пока видимо нет. Ну тогда ждем-с... потому что то что из себя представляет Samba Server с его простите за выражение Winbind - это оторвать и выкинуть просто.

    Интересно, что самба с собой сделает после того как SMBv3 стабилизируется в ядре? Выкинет свою реализацию или будет NIH...

     
     
  • 2.50, пох. (?), 21:46, 10/03/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Всю одессу удовлетворяет, одного его не удовлетворяет.

    samba server - работает, в отличие от сасуневской поделки в ведре. Которую еще и дописать-то толком не успели, а дыры затыкать уже пришлось.

    > Интересно, что самба с собой сделает после того как SMBv3 стабилизируется в ядре?

    ничего. Существование в л@п4ат0m ведре кривой куцей кастрированной подделки никак не повлияет на разработчиков самбы - они там пусть и странные, но по хорошему упор0тые, и в том числе не собираются стать еще одной лин00ps-only несуразицей.

    Да, сюрприз, самба используется не только в ненужном ненужно, это по-настоящему переносимый софт, в отличие от современных л@п4атоподелок.

     

  • 1.57, Аноним (59), 13:04, 11/03/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    С нуля можно поднять AD?
     
     
  • 2.61, пох. (?), 17:22, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Мущина, проснитесь, вы того...

    С 4.0 можно. Собственно, вся четвертая ветка изувечена ради этого.

    P.S. документацию придется прочитать


     
     
  • 3.62, Аноним (62), 18:46, 11/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я не сплю) Просто поинтересовался послучаю спустя 15 лет)
     
  • 3.68, maximnik0 (?), 12:55, 12/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >С 4.0 можно. Собственно, вся четвертая ветка изувечена ради этого.

    Вообще то можно было уже с поздней 3 версии.Но пришлось бы заморачиваться с интеграцией LDAP+падчи .

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру