系統城裝機大師 - 唯一官網:www.farandoo.com!

當前位置:首頁 > server > anz > 詳細頁面

Samba服務器配置,掌握Linux和Windows客戶端共享Samba服務器資源的方法

時間:2020-03-14來源:電腦系統城作者:電腦系統城

實驗目的:

    1. 了解Samba環境及協議
    2. 掌握Samba的工作原理
    3. 掌握主配置文件Samba.conf的主要配置
    4. 掌握Linux和Windows客戶端共享Samba服務器資源的方法

實驗要求

1、簡單文字說明,關鍵位置截圖補充,Samba配置文件中的關鍵參數,使用注釋標明。

2、實驗過程中,出現任何錯誤,詳細描述排錯的過程。

3、實驗完成后,當場演示實驗結果。

實驗過程描述

任務1: 配置yum源,使用光盤鏡像安裝Samba服務包。

(1) 掛載光驅:虛擬機→可移動設備→勾選CD/DVD;虛擬機→設置,如下圖所示,確保CentOS7放在“光驅”中。

?

2)連接xshell操作

如下所示:

?

(3)%20rpm%20-qa%20|grep%20samba%20//安裝完后查看軟件安裝情況%20出現如下即為配置成功:

?

任務2:匿名訪問(不需要密碼的分享),物理主機匿名訪問Samba服務器上的共享目錄/tmp和/public。
  1. 輸入命令

?

  1. 配置smb.conf文件

?

global]%20;全局配置

workgroup%20=%20WORKGROUP%20;%20工作組名稱

server%20string%20=%20Samba%20Server%20Version%20%v%20;主機簡單說明

netbios%20name%20=%20Host1%20;netbios名稱

interfaces%20=%20192.168.40.0/24%20;允許哪個接口提供服務,監聽哪些網卡

hosts%20allow%20=%20127.空格192.168.8.%20;允許哪些地址的主機訪問

log%20file%20=%20/var/log/samba/log.%m%20;日志文件位置

max%20log%20size%20=%20500%20;最大日志文件大小

security%20=%20user%20;Samba服務器的安全模式

map%20to%20guest%20=%20Bad%20User%20;匿名共享

[tmp]%20;共享目錄名稱,也叫節名,每節定義一個共享項目

comment%20=%20Template%20Directories%20;目錄說明

browseable%20=%20yes%20;是否讓所有的用戶看到這個項目

writable%20=%20yes%20;是否可寫

path=/tmp%20;共享文件夾路徑

guest%20ok%20=%20yes%20;單純分享時,讓用戶隨意登入的設定值

  1. 查看配置文件語法是否正確

?

  1. 啟動服務器并查看端口是否打開

?

 ?

 •%20nmb:進行NetBIOS名稱解析,主要使用UDP端口137、138來解析名稱。

•%20smb:管理Samba服務器上的共享目錄、打印機等,主要使用TCP端口、139、445來傳輸數據。

  1. 在服務器(本地)檢查共享情況

?

  1. 關閉防火墻和selinux重啟服務器

?

  1. 在windos中訪問共享

?

?

?

 

任務3:使用用戶名訪問(需要密碼的分享),每用戶可以登陸訪問(可讀寫)共享目錄project,但Samba服務器上自己的主目錄,只能用戶自己訪問(可讀寫),其他用戶無權訪問。  1、Samba服務器上創建共享目錄/home/project%20并設置相應權限

?

注意:2是擴展屬性,你的文件的權限變為-rwxrws---表示其他用戶執行問件時具有所有者組的權限,若是4770則權限變為:-rwsrwx---,表示其他用戶執行文件時,具有與所有者相當的權限

  1. 修改配置文件/etc/samba/smb.conf

?

?

3、創建共享用戶,根據權限訪問共享目錄(說明:Samba使用Linux系統的本地用戶賬戶,但需要為系統賬戶專門設置Samba密碼??蛻舳嗽L問時,系統將提交的用戶信息與Samba服務器端的信息進行比對地,如果相符,并且也符合Samba服務器其他安全設置,客戶端與Samba服務器才能成功建立連接。)

?

4、修改用戶密碼

?

5、創建和管理Samba的共享用戶,設置密碼為4321(可以使用pdbedit命令來創建和管理Samba用戶。)

?

?

?

?

6、%20查看結果%20pdbedit%20-L%20//讀取passdb.tdb數據庫文件,列出所有共享用戶

?

7、%20可以使用smbpasswd命令,修改共享用戶的密碼

?

8、可以使用%20pdbedit%20-x%20用戶名%20//刪除samba共享用戶 9、重啟服務

?

10、在本地查看結果

?

 

 。

 

回答問題

  1. Samba服務器有什么安全風險?

實驗中為了搭建服務器關掉了防火墻和SElinux不利于系統安全

 防火墻

  Samba 有很多特性可以限制哪些人能訪問哪些共享文件 — 限制特定用戶名的訪問、強制要求密碼、檢查組成員或在網絡層過濾。后面的參數,比如 allow hosts 和 smb ports,它們對 IP 地址和 User Datagram Protocol (UDP)/TCP 端口進行操作,提供了一種簡單的方法來控制哪些主機可連接到 Samba 服務器上。

  如果能識別哪些設備連接到服務器,比如屬于內部網絡,或者甚至是某個特定的子網或一組服務器,那么就實現了網絡層控制。這是第一道防線:如果攻擊者無法連接到設備,那么設備會更安全。

  在 Samba 守護進程中控制網絡網絡訪問,這聽上去是完美的解決方案,但其實有更好的方法。為了確定遠程連接是否滿足要求,Samba 首先要接受連接,因為 Samba 只有在完成連接后才能獲取詳細信息。如果是想要防止不符合要求的用戶連接到 Samba,那么防止 Samba 看到這些連接更有意義。Samba 中的所有配置都只會影響 Samba,因此必須為其他的守護進程(比如 web 服務器和文件傳輸)找到類似的解決方案。

在典型環境中,網絡安全不是由系統管理員而是由其他 IT 員工負責。在主機層(而不是應用程序層)控制訪問能夠實現業務分離,而且會減少由于更改 smb.conf 而導致的錯誤

使用防火墻保護 Samba

  有多種不同的方法來設計 Samba 的防火墻策略,選擇時要考慮網絡布局以及誰或哪些主機需要訪問 Samba 服務器等事項。從較高的層面來看,您可以選擇保護整個主機或只關注 Samba。

  如果您想要保護整個主機,那么您就不必擔心 Samba 使用哪個端口。以下代碼是一個簡單策略,只允許來自 10.0.0.0/8 專用網絡的流量傳輸到本地服務器:

iptables -A INPUT -s 10.0.0.0/8 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP

  第一個命令向 INPUT 鏈添加了一條規則,它將規則添加到當前的規則列表中。該規則設置了來自源網絡(-s)10.0.0.0/8 的所有內容都跳到 ACCEPT 目標,它將會接受數據包。第二個命令允許來自現有會話的包,這是通過調用帶有 -m state 的狀態匹配器實現的。匹配器會追蹤哪些連接離開主機。傳出的連接的響應包被認為是 established 或 related,因此規則的其余部分會接受這些包。

  最后一個命令設置 INPUT 鏈丟棄數據包的默認策略。如果數據包不是來自 10.0.0.0/8 網絡或者不是主機生成的連接的一部分,那么它不會被接受。

分享到:

相關信息

系統教程欄目

欄目熱門教程

人氣教程排行

站長推薦

熱門系統下載

jlzzjlzz亚洲乱熟在线播放