Samba服务安全配置

了解：

SMB协议 Server Message Block 服务消息块

CIFS协议 Common Internet File System 通用互联网文件系统

Samba项目：http://www.samba.org

1.Samba服务基础

• Smaba服务器的主要程序

smbd 提供对服务器中文件、打印资源的共享访问

nmbd 提供基于NetBIOS主机名称的解析

• Samba的服务脚本 /etc/init.d/smb
• Samba的配置目录及文件

/etc/samba/

/etc/samba/smb.conf

配置文件检查工具 testparm

2.smb.conf文件的配置内容

• [global] 全局设置
• [homes] 用户目录共享设置
• [printers] 打印机共享设置
• [myshare] 自定义名称的共享目录设置

3.辅助配置内容

• 注释行 以#号开头的行
• 配置样例行 以；号开头的行
• 结合grep命令可以提取有效配置行：grep -v “^#” smb.conf | grep -v “^;” | grep -v ^$

4.常见全局配置项的含义

• workgroup：所在工作组名称
• server string：服务器描述信息
• security：安全级别  可用值  share user server domain
• log file：日志文件位置  “%m”变量表示客户机地址
• max log size：日志文件的最大容量  单位为kb
• passwd backend：设置共享账户文件的类型

5.常见共享目录配置项的含义

• comment：对共享目录的注释、说明信息
• path：共享目录在服务器中对应的实际路径
• browseable：该共享目录在”网上邻居”中是否可见
• guest ok：是否允许所有人访问 等效于”public”
• writable：是否可写 与read only的作用相反

6.Samba配置

查找是否已下载samba

下载安装包

修改smb.conf配置文件

关掉nfs和rpcbind服务

启动smb服务

查看smb使用的端口

启动nmb服务

用同一网段的另一台机子查看

建立samba用户数据库文件 默认数据库文件位于/etc/samba/passdb.tdb

第一个密码123123 第二个123456

设置用户访问授权 修改smb.conf配置文件

添加名为tools的共享目录

共享账号映射(别名)

启用映射账号

验证登陆 使用zhangsan 123456和mike 123456都登陆成功

           

查看及登录使用共享 smbclient

7.访问地址限制

• 一般用在全局配置[global]部分
• hosts allow配置项：仅允许特定的客户机
• hosts deny配置项：仅拒绝特定的客户机
• 客户机地址表示形式：

以空格分隔多个地址

主机名或IP地址，例如： 192.168.168.11 或者 prtsvr

网络地址，例如：173.17. 或者 173.17.0.0/255.255.0.0