Следующая версия ядра Linux, 6.6, получила статус кандидата на выпуск. Как обычно, он содержит ряд новых функций, но мы думаем, что одна из них имеет больше потенциальных последствий, чем все остальные вместе взятые.
Вчера вечером Линус Торвальдс анонсировал ядро 6.6-rc1, которое включает в себя встроенный в ядро сервер KSMBD для сетевого протокола SMB, разработанный SamsungЭто Намджэ Чон. Мы несколько раз освещали его работу на Регв том числе в качестве возможного помощника по сопровождению NTFS3, а также поддержки формата дисков Microsoft exFAT.
Samsung является значительной силой на рынке систем хранения данных, и Рег дочерний сайт Blocks & Files часто рассказывает о том, что чеболь до. Samsung составляет около 17 процентов ВВП Южной Кореи.
КСМБД существует уже некоторое время. Непосредственно перед тем, как он был впервые объединен с ядром 5.15, LWN предложил хорошее объяснение того, как работает новый модуль. Само ядро 5.15 стало важным выпуском благодаря поддержке NTFS. Уже в следующем месяце, в канун Рождества 2022 года, системные администраторы Linux смогли насладиться первым эксплойтом безопасности KSMBD. Что изменилось сейчас, так это то, что он прошел серьезное тестирование безопасности и в результате больше не помечен как экспериментальный.
Он был разработан при содействии команды Samba, которая сама документирует, как его использовать. Он совместим с существующими файлами конфигурации Samba. Как говорит команда:
Однако одно существенное отличие, возникающее в результате включения этого в состав ядра, заключается в том, что это означает, что KSMBD, таким образом, подпадает под действие второй версии общественной лицензии GNU, или сокращенно GPL2. Сама Samba использует GPL версии 3, поклонником которой Торвальдс не является.
GPL 3 налагает более жесткие ограничения на использование кода в коммерческих продуктах. Когда Samba перешла на GPL 3, одним из результатов стало то, что Apple исключила Samba из Mac OS X и заменила ее собственным сервером под названием SMBX.
Это был значительный шаг, поскольку со временем Mac OS X (как Рег Служба FOSS до сих пор называет это) постепенно становится все более и более зависимой от SMB в своих сетевых соединениях. В версии, предшествующей OS X «Lion», Mac OS X 10.6 2009 года, Apple удалила сетевой протокол AppleTalk, хотя отдельный протокол AppleTalk Filing Protocol (AFP) через TCP/IP остался. В Mac OS X 10.9 Apple перешла на использование SMB по умолчанию.
Совсем недавно, в 2020 году, Apple удалила возможность совместного использования томов через AFP из macOS 11.
Таким образом, хотя macOS является Unix и включает поддержку собственного протокола обмена файлами Unix, NFS, сетевой файловой системы, вместо этого по умолчанию используется так называемая общая файловая система Интернета Microsoft. С КИФС SMB прямо внутри ядра Linux, вполне возможно, что со временем то же самое может произойти и в Linux.
KSMBD также важен тем, что размещение таких функций главного сервера прямо внутри ядра представляет собой значительную потенциальную поверхность атаки для взломщиков. Как сказано в одном комментарии на Hacker News «Если это не будет формально доказано или не переписано на более безопасный язык, вам придется заплатить мне чистым золотом за использование такой фабрики CVE, ожидающей своего часа».
Идеальный кандидат для переписывания его на Rust, чтобы использовать новую замечательную поддержку. Новая файловая система bcachefs будет нет собираюсь перейти на ядро 6.6, и его разработчик недоволен. Возможно, ему следует поторопиться и с переписыванием Rust.
Однако Linux — не первая Unix, имеющая встроенный в ядро SMB-сервер. OpenSolaris сделал то же самое еще в 2007 году, и сейчас он… Ой, подождите. В любом случае, не столь открытый Solaris все еще существует. ®
заметка
Текущие версии macOS по-прежнему могут соединять к общим ресурсам AFP на других компьютерах, и как раз в тот момент, когда этот стервятник писал абзац об удалении поддержки общего доступа к AFP, его блок TrueNAS начал тихо бормотать, когда Time Machine начала делать резервную копию на ZFS RAIDZ сервера, совместно используемого через AFP. Однако это тоже устарело и в какой-то момент исчезнет.
