Samba是種用來(lái)讓UNIX系列的操作系統(tǒng)與微軟Windows操作系統(tǒng)的SMB/CIFSServer Message Block/Common Internet File System網(wǎng)絡(luò)協(xié)定做連結(jié)的自由軟件。簡(jiǎn)而言之此軟件在Windows與UNIX系列OS之間搭起一座橋梁讓兩者的資源可互通有無(wú)。

　　SMB協(xié)議是C/S模式客戶(hù)機(jī)通過(guò)該協(xié)議可以訪(fǎng)問(wèn)服務(wù)器上的共享文件系統(tǒng)、打印機(jī)及其他資源。配置samba服務(wù)可以使同一網(wǎng)絡(luò)中的linux和windows主機(jī)之間互相訪(fǎng)問(wèn)對(duì)方共享資源。

　　samba提供的端口 137,138,139,445

　　Samba的兩個(gè)進(jìn)程

　　smbd --- 監(jiān)聽(tīng)tcp的139445端口,處理接口收到的smb數(shù)據(jù)包

　　nmbd --- 監(jiān)聽(tīng)udp的137 138端口,使其他主機(jī)能瀏覽服務(wù)器上的資源

　　Samba五種認(rèn)證方式

　　1.share所有人都可以訪(fǎng)問(wèn)這臺(tái)samba服務(wù)器不需要輸入用戶(hù)名和密碼。

　　2.user需要輸入有效的用戶(hù)名和密碼才能訪(fǎng)問(wèn)samba服務(wù)器身份驗(yàn)證由samba服務(wù)器負(fù)責(zé)。

　　3.server與user相同只是將身份驗(yàn)證交由指定的另一臺(tái)samba服務(wù)器負(fù)責(zé)。

　　4.domain將身份驗(yàn)證交由域控制器負(fù)責(zé)

　　5.ads將身份驗(yàn)證交由域控制器負(fù)責(zé)比domain更為安全一點(diǎn)

　　yum –y install samba 安裝samba軟件包

　　service smb restart samba的共享服務(wù)以后修改只要啟動(dòng)這個(gè)服務(wù)就行下面這個(gè)只要第一次啟動(dòng)

　　service nmb restart 提供的是upd的協(xié)議第一次需要啟動(dòng)

　　chkconfig smb on

　　chkconfig nmb on

　　實(shí)驗(yàn)之前將防火墻關(guān)掉

　　/etc/samba samba的主配置目錄

　　/etc/samba/lmhosts 和本地解析文件/etc/hosts原理一樣這樣共享不安全。

　　/etc/samba/smb.conf 主配置文件

　　/etc/samba/smbusers samba的別名

　　workgroup = MYGROUP samba服務(wù)器所在的工作組的名稱(chēng)

　　server string = samba服務(wù)器的描述此服務(wù)器的samba版本是3.5目前最新的samba版本是4.0黑客通過(guò)在官網(wǎng)查詢(xún)4.0修改了3.0的哪些漏洞就可以攻擊此samba服務(wù)器但是如果將這里的描述修改一下可以迷惑黑客提高安全。

　　smbclient是Samba服務(wù)器的命令行方式的登錄客戶(hù)端顯示指定Samba服務(wù)器中的共享資源列表

　　smbclient -L //192.168.1.210 -U user1

　　共享/linux目錄共享名為share

　　user需要輸入有效的用戶(hù)名和密碼才能訪(fǎng)問(wèn)samba服務(wù)器身份驗(yàn)證由samba服務(wù)器負(fù)責(zé)。

　　將安全級(jí)別改為share所有人都可以訪(fǎng)問(wèn)這臺(tái)samba服務(wù)器不需要輸入用戶(hù)名和密碼。

　　不安全

　　Windows訪(fǎng)問(wèn)linux共享在運(yùn)行里面輸入192.168.1.210

　　只能看到共享的東西但是進(jìn)不去那是因?yàn)閟amba權(quán)限沒(méi)有寫(xiě)的權(quán)限還不夠這里主要是理解user和share兩個(gè)認(rèn)證方式的區(qū)別

　　Samba用戶(hù)前提是samba用戶(hù)必須是本地用戶(hù)并且轉(zhuǎn)換成為samba用戶(hù)

　　smbpasswd命令用于維護(hù)Samba服務(wù)器的用戶(hù)帳號(hào)

　　n 添加Samba用戶(hù)帳號(hào)

　　# smbpasswd –a user1

　　n 刪除Samba用戶(hù)帳號(hào)

　　# smbpasswd -x user1

　　n 禁用Samba用戶(hù)帳號(hào)

　　# smbpasswd –d user1

　　n 啟用Samba用戶(hù)帳號(hào)

　　# smbpasswd -e user1

　　允許user1對(duì)/linux目錄有寫(xiě)權(quán)限其他用戶(hù)均為只讀

　　comment = all linux 注釋掉了是對(duì)該目錄的描述

　　path = /linux 共享路徑

　　writeable = no 是否允許寫(xiě)操作no代表只讀如果是yes代表所有人都可以寫(xiě)

　　write list = user1 只允許user1對(duì)該目錄有寫(xiě)入的權(quán)限 前提該目錄a+W

　　客戶(hù)端連接

　　mount -t cifs //192.168.1.210/share /opt -o username=user1 填的是/linux下面的/share

　　僅允許用戶(hù)在192.168.1.0/24域可以訪(fǎng)問(wèn)允許所有人瀏覽不允許匿名訪(fǎng)問(wèn)但是加了valid users 就成了只有user1可以訪(fǎng)問(wèn)

　　browseable = yes 允許所有人瀏覽

　　valid users = user1 只能誰(shuí)才能讀(設(shè)置允許訪(fǎng)問(wèn)共享資源的用戶(hù)和組 組要加@)

　　public = yes 允許匿名訪(fǎng)問(wèn)no不允許匿名訪(fǎng)問(wèn)

　　hosts deny = 192.168.1.210

　　hosts allow = 192.168.1.210 兩個(gè)同時(shí)存在允許優(yōu)先

　　賬號(hào)映射(別名)目的是避免利用samba 帳號(hào)來(lái)猜測(cè)系統(tǒng)帳號(hào)

　　方法:

　　1在全局啟用映射表

　　username map=/etc/samba/smbusers

　　2添加映射帳戶(hù)

　　vim /etc/samba/smbusers

　　3重啟服務(wù)