當前位置：首頁 > server > anz > 詳細頁面

Samba服務器配置,掌握Linux和Windows客戶端共享Samba服務器資源的方法

時間：2020-03-14來源：電腦系統城作者：電腦系統城

實驗目的：

1. 了解Samba環境及協議
2. 掌握Samba的工作原理
3. 掌握主配置文件Samba.conf的主要配置
4. 掌握Linux和Windows客戶端共享Samba服務器資源的方法

實驗要求

1、簡單文字說明，關鍵位置截圖補充，Samba配置文件中的關鍵參數，使用注釋標明。

2、實驗過程中，出現任何錯誤，詳細描述排錯的過程。

3、實驗完成后，當場演示實驗結果。

實驗過程描述

任務1：配置yum源，使用光盤鏡像安裝Samba服務包。

（1）掛載光驅：虛擬機→可移動設備→勾選CD/DVD；虛擬機→設置，如下圖所示，確保CentOS7放在“光驅”中。

（2）連接xshell操作

如下所示：

（3）%20rpm%20-qa%20|grep%20samba%20//安裝完后查看軟件安裝情況%20出現如下即為配置成功：

任務2：匿名訪問（不需要密碼的分享），物理主機匿名訪問Samba服務器上的共享目錄/tmp和/public。

輸入命令

配置smb.conf文件

global]%20；全局配置

workgroup%20=%20WORKGROUP%20；%20工作組名稱

server%20string%20=%20Samba%20Server%20Version%20%v%20；主機簡單說明

netbios%20name%20=%20Host1%20；netbios名稱

interfaces%20=%20192.168.40.0/24%20；允許哪個接口提供服務，監聽哪些網卡

hosts%20allow%20=%20127.空格192.168.8.%20；允許哪些地址的主機訪問

log%20file%20=%20/var/log/samba/log.%m%20；日志文件位置

max%20log%20size%20=%20500%20；最大日志文件大小

security%20=%20user%20;Samba服務器的安全模式

map%20to%20guest%20=%20Bad%20User%20；匿名共享

[tmp]%20；共享目錄名稱，也叫節名，每節定義一個共享項目

comment%20=%20Template%20Directories%20;目錄說明

browseable%20=%20yes%20;是否讓所有的用戶看到這個項目

writable%20=%20yes%20;是否可寫

path=/tmp%20;共享文件夾路徑

guest%20ok%20=%20yes%20;單純分享時，讓用戶隨意登入的設定值

查看配置文件語法是否正確

啟動服務器并查看端口是否打開

•%20nmb：進行NetBIOS名稱解析，主要使用UDP端口137、138來解析名稱。

•%20smb：管理Samba服務器上的共享目錄、打印機等，主要使用TCP端口、139、445來傳輸數據。

在服務器（本地）檢查共享情況

關閉防火墻和selinux重啟服務器

在windos中訪問共享

任務3：使用用戶名訪問（需要密碼的分享），每用戶可以登陸訪問（可讀寫）共享目錄project，但Samba服務器上自己的主目錄，只能用戶自己訪問（可讀寫），其他用戶無權訪問。 1、Samba服務器上創建共享目錄/home/project%20并設置相應權限

注意：2是擴展屬性，你的文件的權限變為-rwxrws---表示其他用戶執行問件時具有所有者組的權限，若是4770則權限變為：-rwsrwx---，表示其他用戶執行文件時，具有與所有者相當的權限

修改配置文件/etc/samba/smb.conf

3、創建共享用戶，根據權限訪問共享目錄（說明：Samba使用Linux系統的本地用戶賬戶，但需要為系統賬戶專門設置Samba密碼?？蛻舳嗽L問時，系統將提交的用戶信息與Samba服務器端的信息進行比對地，如果相符，并且也符合Samba服務器其他安全設置，客戶端與Samba服務器才能成功建立連接。）

4、修改用戶密碼

5、創建和管理Samba的共享用戶，設置密碼為4321（可以使用pdbedit命令來創建和管理Samba用戶。）

6、%20查看結果%20pdbedit%20-L%20//讀取passdb.tdb數據庫文件，列出所有共享用戶

7、%20可以使用smbpasswd命令，修改共享用戶的密碼

8、可以使用%20pdbedit%20-x%20用戶名%20//刪除samba共享用戶 9、重啟服務

10、在本地查看結果

。

回答問題

Samba服務器有什么安全風險？

實驗中為了搭建服務器關掉了防火墻和SElinux不利于系統安全

　防火墻

　　Samba 有很多特性可以限制哪些人能訪問哪些共享文件 — 限制特定用戶名的訪問、強制要求密碼、檢查組成員或在網絡層過濾。后面的參數，比如 allow hosts 和 smb ports，它們對 IP 地址和 User Datagram Protocol （UDP）/TCP 端口進行操作，提供了一種簡單的方法來控制哪些主機可連接到 Samba 服務器上。

　　如果能識別哪些設備連接到服務器，比如屬于內部網絡，或者甚至是某個特定的子網或一組服務器，那么就實現了網絡層控制。這是第一道防線：如果攻擊者無法連接到設備，那么設備會更安全。

　　在 Samba 守護進程中控制網絡網絡訪問，這聽上去是完美的解決方案，但其實有更好的方法。為了確定遠程連接是否滿足要求，Samba 首先要接受連接，因為 Samba 只有在完成連接后才能獲取詳細信息。如果是想要防止不符合要求的用戶連接到 Samba，那么防止 Samba 看到這些連接更有意義。Samba 中的所有配置都只會影響 Samba，因此必須為其他的守護進程（比如 web 服務器和文件傳輸）找到類似的解決方案。

在典型環境中，網絡安全不是由系統管理員而是由其他 IT 員工負責。在主機層（而不是應用程序層）控制訪問能夠實現業務分離，而且會減少由于更改 smb.conf 而導致的錯誤

使用防火墻保護 Samba

　　有多種不同的方法來設計 Samba 的防火墻策略，選擇時要考慮網絡布局以及誰或哪些主機需要訪問 Samba 服務器等事項。從較高的層面來看，您可以選擇保護整個主機或只關注 Samba。

　　如果您想要保護整個主機，那么您就不必擔心 Samba 使用哪個端口。以下代碼是一個簡單策略，只允許來自 10.0.0.0/8 專用網絡的流量傳輸到本地服務器：

iptables -A INPUT -s 10.0.0.0/8 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP

　　第一個命令向 INPUT 鏈添加了一條規則，它將規則添加到當前的規則列表中。該規則設置了來自源網絡（-s）10.0.0.0/8 的所有內容都跳到 ACCEPT 目標，它將會接受數據包。第二個命令允許來自現有會話的包，這是通過調用帶有 -m state 的狀態匹配器實現的。匹配器會追蹤哪些連接離開主機。傳出的連接的響應包被認為是 established 或 related，因此規則的其余部分會接受這些包。

　　最后一個命令設置 INPUT 鏈丟棄數據包的默認策略。如果數據包不是來自 10.0.0.0/8 網絡或者不是主機生成的連接的一部分，那么它不會被接受。