實驗二 Samba伺服器配置

實 驗 基 本 信 息

實驗名稱：Samba伺服器配置

實驗時間：    年 月 日

實驗地點： 

實驗目的：

1. 1. 瞭解Samba環境及協議
   2. 掌握Samba的工作原理
   3. 掌握主配置文件Samba.conf的主要配置
   4. 掌握Linux和Windows客戶端共用Samba伺服器資源的方法

實驗要求

1、簡單文字說明，關鍵位置截圖補充，Samba配置文件中的關鍵參數，使用註釋標明。

2、實驗過程中，出現任何錯誤，詳細描述排錯的過程。

3、實驗完成後，當場演示實驗結果。

實驗過程描述

任務1： 配置yum源，使用光碟鏡像安裝Samba服務包。

（1） 掛載光碟機：虛擬機→可移動設備→勾選CD/DVD；虛擬機→設置，如下圖所示，確保CentOS7放在“光碟機”中。

​

（2）連接xshell操作

如下所示：

​

（3） rpm -qa |grep samba //安裝完後查看軟體安裝情況 出現如下即為配置成功：

​

任務2：匿名訪問（不需要密碼的分享），物理主機匿名訪問Samba伺服器上的共用目錄/tmp和/public。

1. 輸入命令

​

1. 配置smb.conf文件

​

global] ；全局配置

workgroup = WORKGROUP ； 工作組名稱

server string = Samba Server Version %v ；主機簡單說明

netbios name = Host1 ；netbios名稱

interfaces = 192.168.40.0/24 ；允許哪個介面提供服務，監聽哪些網卡

hosts allow = 127.空格192.168.8. ；允許哪些地址的主機訪問

log file = /var/log/samba/log.%m ；日誌文件位置

max log size = 500 ；最大日誌文件大小

security = user ;Samba伺服器的安全模式

map to guest = Bad User ；匿名共用

[tmp] ；共用目錄名稱，也叫節名，每節定義一個共用項目

comment = Template Directories ;目錄說明

browseable = yes ;是否讓所有的用戶看到這個項目

writable = yes ;是否可寫

path=/tmp ;共用文件夾路徑

guest ok = yes ;單純分享時，讓用戶隨意登入的設定值

1. 查看配置文件語法是否正確

​

1. 啟動伺服器並查看埠是否打開

​

 ​

 • nmb：進行NetBIOS名稱解析，主要使用UDP埠137、138來解析名稱。

• smb：管理Samba伺服器上的共用目錄、印表機等，主要使用TCP埠、139、445來傳輸數據。

1. 在伺服器（本地）檢查共用情況

​

1. 關閉防火牆和selinux重啟伺服器

​

1. 在windos中訪問共用

​

​

​

任務3：使用用戶名訪問（需要密碼的分享），每用戶可以登陸訪問（可讀寫）共用目錄project，但Samba伺服器上自己的主目錄，只能用戶自己訪問（可讀寫），其他用戶無權訪問。

 1、Samba伺服器上創建共用目錄/home/project 並設置相應許可權

​

註意：2是擴展屬性，你的文件的許可權變為-rwxrws---表示其他用戶執行問件時具有所有者組的許可權，若是4770則許可權變為：-rwsrwx---，表示其他用戶執行文件時，具有與所有者相當的許可權

1. 修改配置文件/etc/samba/smb.conf

​

​

3、創建共用用戶，根據許可權訪問共用目錄（說明：Samba使用Linux系統的本地用戶賬戶，但需要為系統賬戶專門設置Samba密碼。客戶端訪問時，系統將提交的用戶信息與Samba伺服器端的信息進行比對地，如果相符，並且也符合Samba伺服器其他安全設置，客戶端與Samba伺服器才能成功建立連接。）

​

4、修改用戶密碼

​

5、創建和管理Samba的共用用戶，設置密碼為4321（可以使用pdbedit命令來創建和管理Samba用戶。）

​

​

​

​

6、 查看結果 pdbedit -L //讀取passdb.tdb資料庫文件，列出所有共用用戶

​

7、 可以使用smbpasswd命令，修改共用用戶的密碼

​

8、可以使用 pdbedit -x 用戶名 //刪除samba共用用戶

9、重啟服務

​

10、在本地查看結果

​

 。

回答問題

1. Samba伺服器有什麼安全風險？

實驗中為了搭建伺服器關掉了防火牆和SElinux不利於系統安全

　防火牆

　　Samba 有很多特性可以限制哪些人能訪問哪些共用文件 — 限制特定用戶名的訪問、強制要求密碼、檢查組成員或在網路層過濾。後面的參數，比如 allow hosts 和 smb ports，它們對 IP 地址和 User Datagram Protocol （UDP）/TCP 埠進行操作，提供了一種簡單的方法來控制哪些主機可連接到 Samba 伺服器上。

　　如果能識別哪些設備連接到伺服器，比如屬於內部網路，或者甚至是某個特定的子網或一組伺服器，那麼就實現了網路層控制。這是第一道防線：如果攻擊者無法連接到設備，那麼設備會更安全。

　　在 Samba 守護進程中控制網路網路訪問，這聽上去是完美的解決方案，但其實有更好的方法。為了確定遠程連接是否滿足要求，Samba 首先要接受連接，因為 Samba 只有在完成連接後才能獲取詳細信息。如果是想要防止不符合要求的用戶連接到 Samba，那麼防止 Samba 看到這些連接更有意義。Samba 中的所有配置都只會影響 Samba，因此必須為其他的守護進程（比如 web 伺服器和文件傳輸）找到類似的解決方案。

在典型環境中，網路安全不是由系統管理員而是由其他 IT 員工負責。在主機層（而不是應用程式層）控制訪問能夠實現業務分離，而且會減少由於更改 smb.conf 而導致的錯誤

使用防火牆保護 Samba

　　有多種不同的方法來設計 Samba 的防火牆策略，選擇時要考慮網路佈局以及誰或哪些主機需要訪問 Samba 伺服器等事項。從較高的層面來看，您可以選擇保護整個主機或只關註 Samba。

　　如果您想要保護整個主機，那麼您就不必擔心 Samba 使用哪個埠。以下代碼是一個簡單策略，只允許來自 10.0.0.0/8 專用網路的流量傳輸到本地伺服器：

　　第一個命令向 INPUT 鏈添加了一條規則，它將規則添加到當前的規則列表中。該規則設置了來自源網路（-s）10.0.0.0/8 的所有內容都跳到 ACCEPT 目標，它將會接受數據包。第二個命令允許來自現有會話的包，這是通過調用帶有 -m state 的狀態匹配器實現的。匹配器會追蹤哪些連接離開主機。傳出的連接的響應包被認為是 established 或 related，因此規則的其餘部分會接受這些包。

　　最後一個命令設置 INPUT 鏈丟棄數據包的預設策略。如果數據包不是來自 10.0.0.0/8 網路或者不是主機生成的連接的一部分，那麼它不會被接受。

實驗成績

教師簽名：