實驗二 Samba伺服器配置
- 2020 年 3 月 14 日
- 筆記
實驗二
實 驗 基 本 信 息 |
實驗名稱:Samba伺服器配置 |
||
實驗時間: 年 月 日 |
實驗地點: |
||
實驗目的:
|
|||
實驗要求 |
1、簡單文字說明,關鍵位置截圖補充,Samba配置文件中的關鍵參數,使用注釋標明。 2、實驗過程中,出現任何錯誤,詳細描述排錯的過程。 3、實驗完成後,當場演示實驗結果。 |
||
實驗過程描述 |
任務1: 配置yum源,使用光碟鏡像安裝Samba服務包。 (1) 掛載光碟機:虛擬機→可移動設備→勾選CD/DVD;虛擬機→設置,如下圖所示,確保CentOS7放在“光碟機”中。
(2)連接xshell操作 如下所示:
(3) rpm -qa |grep samba //安裝完後查看軟體安裝情況 出現如下即為配置成功:
任務2:匿名訪問(不需要密碼的分享),物理主機匿名訪問Samba伺服器上的共享目錄/tmp和/public。
global] ;全局配置 workgroup = WORKGROUP ; 工作組名稱 server string = Samba Server Version %v ;主機簡單說明 netbios name = Host1 ;netbios名稱 interfaces = 192.168.40.0/24 ;允許哪個介面提供服務,監聽哪些網卡 hosts allow = 127.空格192.168.8. ;允許哪些地址的主機訪問 log file = /var/log/samba/log.%m ;日誌文件位置 max log size = 500 ;最大日誌文件大小 security = user ;Samba伺服器的安全模式 map to guest = Bad User ;匿名共享 [tmp] ;共享目錄名稱,也叫節名,每節定義一個共享項目 comment = Template Directories ;目錄說明 browseable = yes ;是否讓所有的用戶看到這個項目 writable = yes ;是否可寫 path=/tmp ;共享文件夾路徑 guest ok = yes ;單純分享時,讓用戶隨意登入的設定值
• nmb:進行NetBIOS名稱解析,主要使用UDP埠137、138來解析名稱。 • smb:管理Samba伺服器上的共享目錄、印表機等,主要使用TCP埠、139、445來傳輸數據。
任務3:使用用戶名訪問(需要密碼的分享),每用戶可以登陸訪問(可讀寫)共享目錄project,但Samba伺服器上自己的主目錄,只能用戶自己訪問(可讀寫),其他用戶無權訪問。 1、Samba伺服器上創建共享目錄/home/project 並設置相應許可權
注意:2是擴展屬性,你的文件的許可權變為-rwxrws—表示其他用戶執行問件時具有所有者組的許可權,若是4770則許可權變為:-rwsrwx—,表示其他用戶執行文件時,具有與所有者相當的許可權
3、創建共享用戶,根據許可權訪問共享目錄(說明:Samba使用Linux系統的本地用戶賬戶,但需要為系統賬戶專門設置Samba密碼。客戶端訪問時,系統將提交的用戶資訊與Samba伺服器端的資訊進行比對地,如果相符,並且也符合Samba伺服器其他安全設置,客戶端與Samba伺服器才能成功建立連接。)
4、修改用戶密碼
5、創建和管理Samba的共享用戶,設置密碼為4321(可以使用pdbedit命令來創建和管理Samba用戶。)
6、 查看結果 pdbedit -L //讀取passdb.tdb資料庫文件,列出所有共享用戶
7、 可以使用smbpasswd命令,修改共享用戶的密碼
8、可以使用 pdbedit -x 用戶名 //刪除samba共享用戶 9、重啟服務
10、在本地查看結果
11、Windows 客戶端利用賬戶lisi 訪問
⚫ 在共享目錄中創建文件和目錄
12、在Linux客戶端中使用帳號zhangsan訪問共享
⚫ 利用賬戶zhangsan掛載目錄到本地
⚫ 訪問共享文件夾,並創建文件和文件夾。
⚫ zhangsan修改用戶“lisi“(Windows客戶端登陸)創建的文件”lisi.txt”,不可以修改。
文件夾消失,與需求不符合 13、進一步修改,滿足需求
⚫ create mode – 定義用戶在此共享資源中創建的文件的許可權。Samba在新建文件時,會把dos文件的許可權映射成對應的unix許可權。如果不設置,create mode =0744 (默認)。 ⚫ directory mode – 這個配置與create mode參數類似,只是它是應用在新創建的目錄上。如果不設置, directory mode =0755 (默認) 電腦配置差,不能同時運行兩台伺服器,只進行windos系統測試 14、繼續修改:每位用戶只能刪除自己的文件,不能刪除其他用戶建立的文件。命令如下圖所示
測試:Windows客戶端zhangsan刪除lisi的文件,如下圖所示。
測試2:Linux客戶端zhangsan刪除lisi的文件,不可以刪除,修改文件內容,成功。
|
||
回答問題 |
實驗中為了搭建伺服器關掉了防火牆和SElinux不利於系統安全 防火牆 Samba 有很多特性可以限制哪些人能訪問哪些共享文件 — 限制特定用戶名的訪問、強制要求密碼、檢查組成員或在網路層過濾。後面的參數,比如 allow hosts 和 smb ports,它們對 IP 地址和 User Datagram Protocol (UDP)/TCP 埠進行操作,提供了一種簡單的方法來控制哪些主機可連接到 Samba 伺服器上。 如果能識別哪些設備連接到伺服器,比如屬於內部網路,或者甚至是某個特定的子網或一組伺服器,那麼就實現了網路層控制。這是第一道防線:如果攻擊者無法連接到設備,那麼設備會更安全。 在 Samba 守護進程中控制網路網路訪問,這聽上去是完美的解決方案,但其實有更好的方法。為了確定遠程連接是否滿足要求,Samba 首先要接受連接,因為 Samba 只有在完成連接後才能獲取詳細資訊。如果是想要防止不符合要求的用戶連接到 Samba,那麼防止 Samba 看到這些連接更有意義。Samba 中的所有配置都只會影響 Samba,因此必須為其他的守護進程(比如 web 伺服器和文件傳輸)找到類似的解決方案。 在典型環境中,網路安全不是由系統管理員而是由其他 IT 員工負責。在主機層(而不是應用程式層)控制訪問能夠實現業務分離,而且會減少由於更改 smb.conf 而導致的錯誤 使用防火牆保護 Samba 有多種不同的方法來設計 Samba 的防火牆策略,選擇時要考慮網路布局以及誰或哪些主機需要訪問 Samba 伺服器等事項。從較高的層面來看,您可以選擇保護整個主機或只關注 Samba。 如果您想要保護整個主機,那麼您就不必擔心 Samba 使用哪個埠。以下程式碼是一個簡單策略,只允許來自 10.0.0.0/8 專用網路的流量傳輸到本地伺服器:
第一個命令向 INPUT 鏈添加了一條規則,它將規則添加到當前的規則列表中。該規則設置了來自源網路(-s)10.0.0.0/8 的所有內容都跳到 ACCEPT 目標,它將會接受數據包。第二個命令允許來自現有會話的包,這是通過調用帶有 -m state 的狀態匹配器實現的。匹配器會追蹤哪些連接離開主機。傳出的連接的響應包被認為是 established 或 related,因此規則的其餘部分會接受這些包。 最後一個命令設置 INPUT 鏈丟棄數據包的默認策略。如果數據包不是來自 10.0.0.0/8 網路或者不是主機生成的連接的一部分,那麼它不會被接受。 |
||
實驗成績 |
教師簽名: |