<div dir="ltr">We really don't have a way to have the packages installed but the service stopped/unavailable until the user needs it?<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">2014/1/5 Steve Langasek <span dir="ltr"><<a href="mailto:steve.langasek@ubuntu.com" target="_blank">steve.langasek@ubuntu.com</a>></span><br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On Sun, Jan 05, 2014 at 12:47:47PM -0500, Stéphane Graber wrote:<br>
> Ubuntu has a no open port by default policy at least for the Desktop<br>
> installation. If you look at a default Ubuntu Desktop system the only<br>
> exceptions you should see to that rule are the DHCP client (which needs<br>
> to listen on udp/68) and avahi-daemon (which needs to listen on<br>
> udp/5353).<br>
<br>
> So having samba installed and running by default isn't an option and<br>
> would be a potential security risk for millions of systems which do not<br>
> need the service at all anyway.<br>
<br>
> I think having nautilus prompt the user for those packages to be<br>
> installed is perfectly reasonable, having to restart the session however<br>
> seems a bit odd to me and shouldn't be a requirement.<br>
<br>
</div>The requirement follows from the fact that CIFS shares require a different<br>
password hash to be available on the server system for authentication than<br>
the one used by default in /etc/shadow, and while the permissions on the<br>
file managed by libpam-smbpasswd are secure, the NTLM hashes are strictly<br>
weaker than the hashes used for /etc/shadow, which exposes users to greater<br>
risk of password cracking if the database is stolen.  So since these hashes<br>
are not generated until the user opts in to CIFS sharing through nautilus<br>
(changing their PAM config), the session logout/login is unavoidable.<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Steve Langasek                   Give me a lever long enough and a Free OS<br>
Debian Developer                   to set it on, and I can move the world.<br>
Ubuntu Developer                                    <a href="http://www.debian.org/" target="_blank">http://www.debian.org/</a><br>
<a href="mailto:slangasek@ubuntu.com">slangasek@ubuntu.com</a>                                     <a href="mailto:vorlon@debian.org">vorlon@debian.org</a><br>
</font></span></blockquote></div><br><br clear="all"><br>-- <br>Pablo Almeida<br><a href="http://www.google.com/profiles/pabloalmeidaff9">http://www.google.com/profiles/pabloalmeidaff9</a>
</div>