Через месяц, с 9-го по 11-ое мая 2011 года, в университетском городке Гёттинген (Göttingen) будет проходить юбилейная 10-ая Международная конференция The Samba eXPerience 2011.

На очередной встрече разработчиков и пользователей проекта Samba — открытой и свободной реализации протоколов SMB/CIFS/SMB2 и совместимого с Windows файлового, принт-сервера и сервера Active Directory — будут присутствовать главные мейнтейнеры Samba Team — Эндрю Триджел, Джереми Аллисон, Волкер Лендек, Эндрю Бартлет и другие, а также представители компаний, поддерживающих разработку проекта, в том числе IBM, Google, Intel, Microsoft, Likewise, Novell, SerNet, представители организации SFC (Software Freedom Conservancy) и т. д.

В программе конференции планируются выступления на темы:

• Samba4 — настройка и решение проблем
• Samba на кластере
• Samba, Kerberos и Active Directory
• Samba, GPL Enforcement и GPLv3
• Документация на протокол SMB, открытая Microsoft
• Реализация протокола SMB2 в Samba
• Samba и сети IPv6 Windows
• Samba4 и решения DNS
• Samba4 и OpenLDAP

С полной программой конференции можно ознакомится на сайте sambaxp.org.

Как отметил в анонсе конференции Джон Терпстра, председатель конференции и один из основателей проекта Samba, 2011 год станет очень важным для Samba и в первую очередь в связи с выходом Samba4 на этап готовности к релизу.

К сожалению, размеры взносов для участия в конференции достаточны велики (от 250 до 500 евро), несмотря на то, что включают в себя получение всех материалов конференции, участие в вечеринке, значок и футболку с символикой проекта.

Тем не менее, с материалами конференции можно будет ознакомиться на сайте.

>>> Подробности

Вечером 27 января в 19:09 по UTC-07 в списке рассылки samba-technical Эндрю Бартлет (Andrew Bartlett), активный член Samba Team, разработчик Samba4, высказался с предложением удаления и отметки как «устаревшие» в релизе Samba 3.6.0 следующих параметров:

security=share (per the discussion)
username (only part of security=share username guessing)
security=server
encrypt passwords = no
password level
update encrypted
use spnego = no
server schannel = no
auth methods
enable privileges = no
domain master = yes (when domain logons = no, ie not a DC)
null passwords = yes

Как отметил Эндрю, это предложение внесено в связи со стремлением к большей унификации кода авторизации Samba3 и Samba4.

Удаление этих конфигурационных параметров, естественно после тестирования в ветке 3.6 с возможным возвратом необходимых, должно содействовать скорейшему окончательному слиянию кодовых баз 3-й и 4-й веток, что сделает безболезненным переход с 3-й версии Samba на 4-ю и избавит от проблемы комбинирования функций Samba4 (AD) и Samba3 (файловый/принт-сервер), существующей на данном этапе их разработки.

Как стало понятно из чтения рассылки, на 10-й международной конференции The Samba eXPerience 2011 in Göttingen, Germany 9-го мая 2011 года планируется уделить максимум внимания предстоящему в 2011 году релизу Samba Directory Server, то есть Samba4 с реализацией Active Directory, совместимого с версиями Windows Server 2003/2008.
Другие разработчики и подписчики высказали полярные мнения по поводу предложения Эндрю, однако в основном сошлись в том, что многие из указанных параметров не нужны или не используются как небезопасные, а Jeremy Allison по поводу релиза Samba4 отметил: «We're paddling as fast as we can in this canoe :-). (Мы гребём так быстро, как только можем в этом каноэ)».

Планировавшийся на 13 января 2011 года релиз Samba 3.6.0 задерживается. Напомню, что в версии 3.6.0 планировалось в числе прочего довести до продакшн готовности свободную реализацию протокола SMB2.

>>> О конференции

1-го марта вышла новая версия сетевой файловой системы Samba, знаменующая собой новый этап разработки одного из крупнейших OpenSource проектов.
Это Samba 3.5.0, в которую включена экспериментальная поддержка протокола SMB2.

Основные улучшения и изменения в Samba 3.5.0 :

• Добавлена полная поддержка работы с временными метками Windows;
• Из дистрибутива удалена книга «Пользуемся Samba»;
• Утилиты net, smbclient и libsmbclient теперь могут использовать закешированные Winbind'ом данные для доступа;
• Значение по умолчанию для параметра «wide links» изменено на «no».

Улучшения поддержки протокола:

• Экспериментальная реализация протокола SMB2.

Изменения в подсистеме печати:

• Добавлена поддержка защищённых соединений с CUPS.

Изменения в подсистеме Winbind:

• Серьёзно изменена архитектура;
• Winbind стал преимущественно асинхронным.

Модули VFS:

• Добавлен новый vfs_scannedonly модуль.

>>> Подробности

В серверной части популярной реализации SMB/CIFS для *nix-систем Samba обнаружена уязвимость, позволяющая удаленному пользователю выйти за пределы каталога ресурса (share) и получить доступ к корневому каталогу системы.

Для успешной эксплуатации данной уязвимости злоумышленнику необходим доступ на запись в какой-либо ресурс на атакуемой системе. Используя специально модифицированный smbclient (см. ниже), он может создать символьную ссылку на каталог, находящийся одним или нескольким уровнями выше (../../.. и т.п.), после чего перейти по этой ссылке. Полученный им доступ будет ограничиваться полномочиями того пользователя, из-под которого осуществляется доступ к ресурсу (например, при анонимном доступе этот пользователь определяется параметром guest account).

Таким образом, на большинстве конфигураций злоумышленник сможет, к примеру, залить свои файлы в /tmp или стянуть /etc/passwd, но у него не получится утащить /etc/shadow.

В качестве workaround рекомендуется запрещать следование по символьным ссылкам (follow symlinks = no), разрешенное по умолчанию.

Ниже представлен патч, превращающий обычный smbclient3 в орудие для атаки:

--- samba-3.4.5/source3/client/client.c 2010-01-18 14:38:09.000000000 +0300
+++ samba-3.4.5/source3/client/client.c 2010-01-18 14:38:09.000000000 +0300
@@ -2754,15 +2754,13 @@
                return 1;
        }
        oldname = talloc_asprintf(ctx,
-                       "%s%s",
-                       client_get_cur_dir(),
+                       "%s",
                        buf);
        if (!oldname) {
                return 1;
        }
        newname = talloc_asprintf(ctx,
-                       "%s%s",
-                       client_get_cur_dir(),
+                       "%s",
                        buf2);
        if (!newname) {
                return 1;

Также доступно видео с подробной демонстрацией атаки.

>>> Подробности

Джереми Эллисон (Jeremy Allison) — один из ведущих разработчиков проекта Samba и член Free Software Foundation — откликнулся на недавний призыв FSF и выступил перед камерой с речью о свободном ПО. Он рассказал о широких возможностях операционной системы GNU/Linux и преимуществах свободного ПО над проприетарным.

Ролик Джереми используется на главной странице веб-сайта FSF для привлечения в организацию новых членов. Членские взносы и разовые пожертвования будут использованы для поддержки приоритетных разработок, а также ряда кампаний, среди которых — борьба с патентами на ПО, продвижение свободных форматов (OGG, ODF) и даже борьба с RIAA.

>>> Подробности

Появилась на свет новая версия самбы, которая является по большей части bugfix-релизом. Основные с моей точки зрения исправления коснулись работы с Windows Vista, Windows Server 2008 (R2), корректного отображения мультибайтных символов в smbclient, а также многочисленных падений winbind. Также уделено внимание корректности компиляции на BSD и HP-UX.

Скачать

>>> Список изменений

После длительного затишья вышел релиз лучшего из smb клиентов, использующих fuse.

Что нового:

• Переписан почти весь код
• Поддержка samba >= 3.2
• Код libsmbclient отделен от остального кода SMBNetFS (в целях улучшения стабильности)
• Оптимизация алгоритмов хранения дерева каталогов и авторизации (теперь работает быстрее)
• Добавлена возможность установки пароля для всех хостов из одной рабочей группы
• Поддержка безопасного truncate() (нужна samba >= 3.2.0)

>>> Подробности

Calculate Directory Server (CDS) - это свободный дистрибутив на базе Gentoo, представляющий собой LDAP-сервер для централизованного хранения настроек приложений, профилей и настроек пользователей, прав доступа в едином сетевом хранилище.

Основные изменения:
1. Добавлена поддержка настройки DNS утилитами Calculate 2. Используется Bind c поддержкой LDAP sdb (simplified database interface). Добавлены новые утилиты: cl-dns-recadd, cl-dns-recdel, cl-dns-recmod, cl-dns-zoneadd, cl-dns-zonedel, cl-dns-zonemod.
2. Добавлена поддержка настройки DHCP утилитами Calculate 2. DHCP сохраняет полные доменные имена подключенных компьютеров в LDAP-директории DNS. Добавлены новые утилиты: cl-dhcp-hostadd, cl-dhcp-hostdel, cl-dhcp-hostmod, cl-dhcp-netadd, cl-dhcp-netdel, cl-dhcp-netmod.
3. Добавлена поддержка интерактивной сборки системы с внесением изменений в состав livecd образа либо squashfs файл на флешке.

Загрузить:
http://www.calculate-linux.ru/Download
CDS 9.9: i686 - 577 MB, x86_64 - 614 MB

>>> Анонс

Основные изменения:

• Для passdb бэкенд по умолчанию теперь 'tdbsam'.
• Более плотная интеграция ветки 3.x в ветку 4.x: Samba 3 и Samba 4 теперь используют общие библиотеки, создана сборка в которую включены как исходники от третьей так и от четвёртой самбы.
• В smb.conf добавлены такие опции как: access based, dedicated keytab file, kerberos method, map untrusted to domain.
• Добавлены новые команды: net eventlog, net rpc service create и net rpc service delete.
• Множество опций в настройки Samba. Некоторые из них:

  --enable-external-libtalloc

  --enable-merged-build

• Добавлено асинхронное API.
• Множество багфиксов.

>>> Подробности

В серии из 4 статей Мика Бауэра (Mick Bauer, перевод: А.Тарасов) "Безопасность Samba" рассматривается вопрос, как установить и настроить безопасный файловый сервер на Samba для локального (не-интернет) использования.

В статьях сделан обзор целей построения такого сервера, объяснено, почему Samba наилучшим образом подходит для настройки "сетевых дисков" для клиентов в локальной сети, определены понятия и концепции Samba, и рассказано, как установить демоны сервера Samba, клиентские утилиты и веб-интерфейс для конфигурирования Samba - SWAT.

В двух последних частях рассказано о том, как настроить файловый ресурс, доступный лишь для всех и для одного пользователя, а также как монтировать файловые ресурсы.

>>> Первая часть

В этом разделе представлена информация о типах серверов, которые могут быть указаны в настройках Samba. Часто задается вопрос: «Зачем проводить миграцию на Samba?». Большая часть глав содержит разделы, подчеркивающие преимущества и выгоды, связанные с использованием Samba. Мы надеемся, что представленная информация поможет ответить на поставленный выше вопрос. Однако мы стараемся честно указать все особенности миграции, даже если они не являются достоинствами Samba. В таких случаях преимущества могут заключаться в поддержке конкуренции.

>>> Подробности

Основные изменения:

• Значение по умолчанию "ldap ssl" изменено на "start tls".
• Новые бэкэнды для winbind: "adex" и "hash".
• Добавлены новые команды, такие как "net rpc vampire keytab" и "net rpc vampire ldif".
• Добавлены новые параметры, такие как "winbind reconnect delay".
• Экспериментальные VFS-модули для хранения NTFS ACL.

>>> Подробности

Как сообщили участники проекта Samba, разработчики Active Directory из Microsoft начали работу по улучшению Samba в плане совместимости с Active Directory и протоколом CIFS. В качестве первого шага они передали необходимую документацию и спецификации на протоколы.

Первые шаги в данном направлении были сделаны Microsoft на конференции Samba eXPerience 2008. Где были представлены доклады: "Model-Based Quality Assurance of the SMB2 Protocol Document" и "SMB Version 2: Scaling From Kilobits to Gigabits".
Прим. Dimez: Вот более подходящий текст новости.

>>> Подробности

Вышла новая версия программы для просмотра сетей Microsoft.

Список изменений:

• Программа полностью портирована на KDE4.
• Система сборки заменена на cmake.
• Множество мелких оптимизаций.
• Исправлены множественные предупреждения при компиляции GCC 4.3.
• Удалена поддержка IRIX и Solaris.
• Фрэнк Бабин удален из списка авторов, потому что Smb4k больше не содержит его кода.
• Полностью переписаны функции, относящиеся к KProcess, потому что класс KProcess изменен.
• Проведен рефакторинг множества классов, некоторые классы переписаны с нуля.
• Новый класс Smb4KIPAddressScanner, который, используя глобальный список машин, ищет IP-адрес для каждого хоста.
• Добавлен класс Smb4KSearch, который позволяет пользователю через диалог поиска искать ресурсы в сети.
• Изменены программы-утилиты.
• Обновлено руководство.

>>> Подробности

Опубликованы программа и тезисы Пятой Международной конференции разработчиков свободных программ, которая состоится 21-23 июля 2008 года в городе Обнинске Калужской области. В работе конференции примут участие участники таких проектов как Samba, Mozilla, ALT Linux, OpenInkpot, RackTables и других. Также продолжается прием заявок от слушателей конференции.

>>> Подробности

Samba — свободная реализация протокола SMB/CIFS, распространяемая под GNU GPL. С помощью samba можно организовать службы файлов и печати для клиентов Windows. Samba может быть интегрирована с Windows Server и как основной контроллер домена, и как участник домена.

Начиная с версии 3.2.0, Samba распространяется по лицензии GNU GPLv3. Изменения:

• Использование сгенерированных IDL'ем уровней обслуживания для различных DCE/RPC-интерфейсов.
• Убран 1024-байтный лимит на имена директорий и 256-байтный лимит на имена файлов, ограничение осуществляется опцией MAX_PATH гостевой ОС.
• Введение конфигурации на основе реестра.
• Улучшена поддержка CIFS Unix расширений.
• Экспериментальная поддержка кластеризации файловых серверов.
• Поддержка IPv6 сервером и клиентскими утилитами и библиотеками.
• Поддержка шифрования SMB-трафика.
• Поддержка Kerberos-аутентификации Windows Vista.
• Поддержка работы в домене Windows 2008.
• Новая LGPL клиентская библиотека Winbind (libwbclient.so).

>>> Подробнее

>>> Исходный код

>>> Источник

Обнаружена критическая уязвимость в Samba, которая может позволить удаленному пользователю выполнить произвольный код на целевой системе. Уязвимости подвержены версии 3.0.28a, 3.0.29 и более ранние.

>>> Подробности

Баг, которому без малого 25 лет, был недавно замечен в исходниках BSD и исправлен. Он был найден при расследовании краша samba при попытке доступа к директориям на smb-хосте. Это происходило из-за ошибки в механизме доступа к директориям в BSD, которая тянется еще с 4.2BSD. Баг до сегодняшнего времени оставался незаметным из-за workaround, который ранее добавили в samba, а в последних портах OpenBSD и FreeBSD убрали, из-за чего баг и вылез. Исправление оказалось до смешного простым - _readdir_unlocked() не должно было пропускать директории с inode, выставленным в 0, если его вызывает __seekdir().

Поздравляем BSD'шников с этой замечательной новостью!

>>> Подробности

Это руководство Samba-HOWTO-Collection содержит общую информацию по установке и конфигурированию тех частей Samba, которые - наиболее вероятно - потребуются. Бинарные пакеты Samba включены практически в любой дистрибутив Linux или UNIX.

>>> Подробности

В недавно опубликованной программе Samba eXPerience 2008, основной конференции по свободным решениям в области файловых серверов и служб каталогов, упоминается Microsoft. Представители этой корпорации представят два доклада: "Model-Based Quality Assurance of the SMB2 Protocol Document" и "SMB Version 2: Scaling From Kilobits to Gigabits". Это первый официальный визит Microsoft на эту конференцию (а она проводилась ежегодно с 2002 года). Конференция пройдёт в немецком городе Гёттинген.

>>> Программа