KSMBD es un servidor del kernel de Linux que implementa el protocolo SMB3 en el espacio del kernel para compartir archivos a través de la red. Un atacante remoto no autenticado puede ejecutar código arbitrario en instalaciones vulnerables del kernel de Linux.
|
etiquetas: kernel , linux , vulnerabilidad , samba , ksmbd
Por lo que veo se solventa actualizando el kernel a versiones "modernas", la mayoría de distros que conozco van por delante hace ya bastante tiempo.
"ksmbd" is a new Linux kernel module which implements an SMB server. It's aimed at being low overhead, low footprint, performant fileserver covering many basic usecases, running on smaller devices with limited resources being the most apparent one: OpenWRT, the Linux distribution for embedded devices, adopted ksmbd already 18 months ago while ksmbd was still being developed."
Las negritas son mias.
de hipervisores y gestionar correctamente los bloqueos de forma similar a NFS.
Yo también veo que meter esto en el kernel es un pelin peligroso pero en contrapartida el rendimiento debe ser espectacular.
Que tengan un kernel con el modulo, si, que el modulo este cargado y listo para ser usado como tal es otra cosa.
Y las versiones del kernel desde agosto estarán mas que parcheadas.
Así que menos montón.
Supongo que toda la Infraestructura de Internet, todas las grandes empresas incluyendo bancos, telecos, energéticas, ciencia, etc, van con Linux por casualidad.
Espero que la proxima vez hablen contigo para que les des tu una idea buena, buena.
(disculpen mi ignorancia)
Cuando veas un sistema del que no se anuncia ningún error, es que no stá siendo mantenido y los errores se mantienen ahí indefinidamente.
Si no sale a cuenta que salga la información de un problema de seguridad, se entierra y punto.
Con open source pueden haber cagadas pero estas están a la vista. Inherentemente es más seguro y confiable.
Del sistema propietario te tienes que fiar, es un acto más de fe. En el OpenSource és facil saber si algo lo es o no lo es.
En un sistema propietario tienes a gente contratada auditando, o por lo menos debería ser así
Seguro que tienen a gente auditando código, pero tú como usuario no puedes ver lo que hace ese código, así que te toca fiarte...
No la tienen expuesta a Internet al menos, pero vamos...
Luego un tio hizo una implementación libre de smb y lo llamo samba.
Siempre habia asociado la k a proyecto kde (Aunque en este caso no tiene nada que ver)
Te garantizo que se puede hacer incluso con sistemas realmente críticos de cientos de millones.
Salvo que los Windows están muy limitados, y si tienes sistemas Windows en la.red...
Vaya, que avance....
... en un clúster
Para microsoft si es un avance teniendo en cuenta que SMB era (y en parte sigue siendo) una verdadera basura.
Smb3 ha supuesto que microsoft no necesite tecnologías de terceros.¿Tiene lógica verdad?
Pero ya. Nada más.
Un saludo
Azure es un nombre que se le da a una estructura de virtualización como tantas otras.
Kpdrsnchzd sería un buen nombre.
NFS hace bien su cometido en la gestión de bloqueos pero es malísimo para paralelizar en múltiples canales hacia un solo origen. Casi es mejor hacerlo a nivel "IP" haciendo agregación de puertos.
SMB3 a parte de proveer de un nuevo servicio SaaS para gente que quiera un servidor seguro SMB en azure sin VPNs, es un repositorio que supera en rendimiento a NFS gracias a su nueva paralelización de conexiones y la gestión del bloqueo del nodo del cluster que tenga activo uno de los recursos del share. És útil en hyper-v, en azure y muy rápido... Realmente microsoft ha matado dos pájaros de un tiro. No me gusta nada microsoft pero ahí ha acertado. Por cierto SMB lo inventó IBM un año antes que NFS.
No seamos talibanes... Microsoft hoy es uno de los mayores donantes de proyectos open source y casi seguro que windows va a ser un GNU-linux más más pronto de lo que nos imaginamos (lo del linux subkernel system no es por azar, es para converger)
Qué quieres decir con "un hiperescalar" ?
Ceph es un sistema de almacenamiento en cluster con balanceo de carga y alta disponibilidad. Cuando Smb de la mitad de características esenciales para un sistema de clustering de virtualización avisa.
Recuerda que sobre CEPH puedes montar FiberChannel o iSCSI entre otras cosas.
iSCSI es para servir dispositivos de almacenamiento en red. ¿ Para qué quieres compartir archivos en un sistema de virtualización?.... entre sistemas virtualizados, aún. Pero para un sistema de de virtualización como hyper-v.....
es mucho más lento, inseguro y problemático que por ejemplo Fiber Channel.
Claro. Pero mucho más barato.
En los CPD potentes se usa FiberChannel.... ¿ Pero SMB3 para qué exactamente ?
NFS hace bien su cometido en la gestión de bloqueos pero es malísimo para paralelizar en múltiples canales hacia un solo origen. Casi es mejor hacerlo a nivel "IP" haciendo agregación de puertos.
Es infinitamente más eficiente en su trabajo que SMB. Por eso lleva décadas usándose en sistemas de virtualización, mientras que SMB solo parece que va a ser "usable" ahora.
Y no veo el problema de utilizar port-trunking/LACP para lo que está pensado el port-trunking/LACP. Por cierto, LACP no funciona a nivel de IP.
SMB3 a parte de proveer de un nuevo servicio SaaS para gente que quiera un servidor seguro SMB en azure sin VPNs...
Parece un copia-pega del departamento de márketing.
¿ Quieres decir "a parte de permitir compartir carpetas sin VPN" ?
es un repositorio que supera en rendimiento a NFS...
Je. Ardo en ver los benchmark. Por supuesto con una correcta configuración de ambos. LACP incluido.
gracias a su nueva paralelización de conexiones y la gestión del bloqueo del nodo del cluster que tenga activo uno de los recursos del share
Benchmark son amores. Los copia-pega de la página de venta del producto, no.
És útil en hyper-v...
Para hacer qué exactamente. Es un simple sistema de compartición de archivos. No es más útil que NFS.
Útil es iSCSI, Fiber Channel o Ceph.
Realmente microsoft ha matado dos pájaros de un tiro.
Qué dos pájaros?
Qué puede hacer aparte de compartir archivos ?
Por cierto SMB lo inventó IBM un año antes que NFS.
Ni, idea. ¿ importa ?. Por cierto, NFS nació en el año 1984.
No seamos talibanes... Microsoft hoy es uno de los mayores donantes de proyectos open source y casi seguro que windows va a ser un GNU-linux más más pronto de lo que nos imaginamos (lo del linux subkernel system no es por azar, es para converger)
Ciertamente, me importa un huevo.
En serio: ¿ Para qué sirve smb3 aparte de para compartir archivos ?. Si puede ser en palabras comprensibles, que los corta-pegas de márketing se me hacen difíciles.
Encuentra de donde he cortado y pegado anda... Menudo Ad-hominem te has marcado.
"LACP no funciona a nivel de IP"
Pues claro que no, yo no he dicho eso, pero si tu repositorio NFS está en una IP, una de las variables del balanceo puede ser esa (ip, hash, mac...). El que seguro que no usa "ip" para nada es fiber channel
Es simple, NFS necesita de switchs para paralelizar,SMB3 no
Sobre Ceph pues es un SDS de tantos (muy popular, eso es todo)... Para mi gusto mejor en fichero y objeto y lento y malo para bloque. Y es hiperescalar debido a su arquitectura (pst, eso es bueno, no te enfades con me importa un huevo y cosas por el estilo)
"""En serio, para que sirve smb3 aparte de para compartir archivos?"""
Pues te lo he dicho es un muy buen repositorio para almacenar discos de máquinas virtuales vhdx y vhd onprem y en azure stack (y que los nodos del cluster lean y escriban coordinadamente sin romper nada) y pst... Integrado con storage spaces direct que es el SDS también hiperescalar de microsoft.
Precisamente por ser microsoft el peor player han ido dando pasos muy interesantes y económicos. Antes comentabas que iscsi es una solución coste efectiva... Pues SMB3 también y tiene algunas ventajas sobre iscsi (aunque para algunos escenarios siempre va a ser mejor un protocolo bloque nativo).
Ei, que no soy tu enemigo...
No. Usas LACP. O bonding simple. Nada que ver con IP.
Es simple, NFS necesita de switchs para paralelizar,SMB3 no
Es simple. NFS tampoco. Para eso está el bonding
<I>Pues te lo he dicho es un muy buen repositorio para almacenar discos de máquinas virtuales vhdx y vhd
Eso es compartir archivos. Así de simple. No lo hace mejor que NFS y es una mierda pinchada en un palo para una infraestructura de virtualización.
Sobre Ceph pues es un SDS de tantos
Cita 3 con características similares. Y si obviamos VMWARE...
(y que los nodos del cluster lean y escriban coordinadamente sin romper nada)
Eso lo lleva haciendo décadas NFS
No has dicho aún que hace smb3 aparte de compartir archivos
Espera me voy a empezar a poner con el mismo tonito que tu
"Y si obviamos VMWARE..."
Primero, lo obviamos por tus huevos morenos
Dos, vmware no tiene nada ni medio parecido a ceph... VSAN (by vmware) es un SDS bloque, ni objeto ni fichero (para eso ya tiene VMFS_X)
Sobre lacp, en serio, tienes que leer un poco sobre los algoritmos de balanceo... Mucha gente cree que se agregan los puertos físicos y lacp obra la magia... Pues no, se necesita un hash para la secuencia y una ip o mac para establecer origenes y destinos... Puedes leer ieee 802.3ad que buena falta te hace...
Y sobre el resto no voy a perder el tiempo tu soberbia es infinita... Vamos, un tio que nos explica a todos, incluidos todos los ingenieros de microsoft que se metan smb3 por donde les quepa que para entornos de azure o azure stack ya hay cosas mejores y que smb3 en storafmge spaces direct es una putísima mierda.
En serio, los talibanes tecnológicos sois tóxicos... ni te molestes en responder que no he sido yo el que ha ido increpando...
thelinuxcluster.com/2010/01/08/linux-bonding-modes/
NO se hace a nivel IP. Se usa la Mac. Son capas OSI distintas.
Qué aporta smb3 más allá de la compartición de ficheros? Que hace que no haga NFS más allá de la autenticación y autorización? ( Que se puede lograr con kerberos)
Yo no he dicho que se metan smb3 por ningún lado. He dicho que no es nada "importante".
Otra cosa es que Azure esté organizado de modo que smb sea "algo importante".
Respecto al tono, lamento que no te guste. Solo he expresado y fundamentado mi opinión. Y el explicar cosas como si fuera un panfleto de Marketing no ayuda.