Lanzamiento de Samba 4.21: Mejoras Significativas en Seguridad, Autenticación y Rendimiento.

Después de más de seis meses de desarrollo, la nueva versión de Samba 4.21 ha sido liberada, marcando un hito como la primera versión estable de esta serie. Este lanzamiento introduce mejoras significativas en áreas clave como seguridad, autenticación y rendimiento, posicionándose como una actualización crucial para los administradores de sistemas y usuarios que dependen de este software.

¿Qué es Samba?

Para aquellos que no están familiarizados con Samba, es un servidor multifuncional que proporciona servicios esenciales en redes mixtas de Windows y Unix/Linux. Ofrece implementaciones de:

• Servidor de archivos: Permite compartir archivos entre sistemas Windows y Unix/Linux.
• Servicio de impresión: Facilita la gestión y uso compartido de impresoras en la red.
• Servidor de autenticación (winbind): Proporciona servicios de autenticación y autorización.

Además, Samba implementa un Controlador de Dominio y Active Directory compatibles con todas las versiones recientes de Microsoft Windows, incluido Windows 11. Esto lo convierte en una herramienta indispensable para la integración de sistemas y la gestión de redes heterogéneas.

Principales Novedades de Samba 4.21

Mejoras en las Listas de Control de Acceso

Samba 4.21 introduce mejoras de seguridad en las Listas de Control de Acceso (ACL). Ahora, si no es posible determinar el SID (Security Identifier) por nombre de usuario o grupo debido a un error en la transferencia de datos, el sistema generará un error en lugar de ignorar la entrada problemática. Esto garantiza que las configuraciones erróneas no pasen desapercibidas, fortaleciendo la seguridad general del sistema. Además:

• Usuarios y grupos inexistentes son ignorados: Esto evita conflictos y posibles brechas de seguridad derivadas de cuentas obsoletas o mal configuradas.

Autenticación Mejorada con SASL

Se ha añadido soporte para la autenticación a través de SASL (Simple Authentication and Security Layer) utilizando Kerberos o NTLMSSP en conexiones TLS (como ldaps o starttls). Por defecto, la configuración ahora requiere autenticación mediante SASL sobre TLS, proporcionando una capa adicional de seguridad en las comunicaciones y protegiendo contra ataques de intermediarios.

Protección de Información Sensible en Procesos

Samba 4.21 protege la información de los procesos que manejan datos confidenciales especificados en las utilidades de Samba. Esto significa que detalles sensibles ya no serán visibles en herramientas de monitoreo de procesos como ps o top. Esta mejora es crucial para prevenir la exposición inadvertida de información que podría ser explotada por actores malintencionados.

Soporte para Tarjetas Inteligentes y Rotación de Contraseñas

Para las cuentas que utilizan tarjetas inteligentes para iniciar sesión, ahora es posible rotar contraseñas caducadas. La contraseña puede utilizarse como respaldo o para cifrar un perfil local, ofreciendo flexibilidad y seguridad adicionales en la gestión de credenciales.

Validación Rigurosa en Listas de Control de Acceso

Se ha mejorado la seguridad en el manejo de las listas como:

• usuarios válidos
• usuarios no válidos
• lista de lectura
• lista de escritura

Estos cambios endurecen la validación de usuarios y grupos configurados, evitando comportamientos inesperados o inseguros. La configuración ahora es más robusta, asegurando que solo los usuarios autorizados tengan acceso a los recursos compartidos.

Compilaciones Reproducibles

Se ha trabajado para garantizar que los binarios generados sean reproducibles a partir de los mismos archivos fuente. Al eliminar dependencias de la configuración o del directorio de compilación, se garantiza una mayor confiabilidad en los binarios generados, facilitando la verificación y auditoría de las compilaciones.

Otros Cambios Destacados

• Nuevo Módulo VFS para Ceph: Se ha implementado un nuevo módulo VFS (Virtual File System) para sistemas de archivos Ceph, mejorando el rendimiento en comparación con versiones anteriores. Para utilizarlo, se debe especificar el nombre 'ceph_new' en la configuración de smb.conf.

• Soporte para Cuentas gMSA: Samba ahora soporta cuentas gMSA (Group Managed Service Accounts), equivalentes al nivel funcional de Active Directory 2012. Las utilidades de samba-tool incluyen nuevos comandos para trabajar con claves raíz gMSA, facilitando la gestión de servicios y aplicaciones que requieren autenticación de servicio.

• Nivel Funcional de Active Directory 2012R2: Se implementa soporte para el nivel funcional de Active Directory Domain Services 2012R2, permitiendo a las organizaciones aprovechar características avanzadas y mejorar la compatibilidad con entornos Windows más recientes.

• Cambios en LDB: LDB, la base de datos local similar a LDAP de Samba y el motor detrás de Samba AD DC, ya no está disponible para compilarse como un archivo tar independiente. En su lugar, se ofrece como una biblioteca pública opcional, simplificando su implementación y mantenimiento.

• Bibliotecas Públicas Privadas por Defecto: Algunas bibliotecas públicas de Samba se han hecho privadas de forma predeterminada, reduciendo la superficie de ataque y mejorando la seguridad general del software.

• Nueva Estructura de Comandos en samba-tool: Se ha introducido una nueva estructura de comandos para la gestión de políticas de autenticación, mejorando la usabilidad y facilitando la administración de políticas de seguridad.

¿Cómo Instalar o Actualizar a Samba 4.21 en Ubuntu y Derivados?

Si estás interesado en aprovechar las nuevas características y mejoras de Samba 4.21, puedes instalar o actualizar Samba en sistemas Ubuntu y sus derivados siguiendo estos pasos:

1. Abrir la Terminal

Puedes abrir una terminal buscando "Terminal" en el menú de aplicaciones o utilizando el atajo Ctrl + Alt + T.

2. Añadir el Repositorio PPA

Dado que los paquetes oficiales pueden no estar actualizados inmediatamente, utilizaremos un repositorio PPA que contiene la versión más reciente de Samba: