實驗二

實 驗 基 本 信 息

實驗名稱：Samba伺服器配置

實驗時間：    年 月 日

實驗地點： 

實驗目的：

1. 1. 了解Samba環境及協議
   2. 掌握Samba的工作原理
   3. 掌握主配置文件Samba.conf的主要配置
   4. 掌握Linux和Windows客戶端共享Samba伺服器資源的方法

實驗要求

1、簡單文字說明，關鍵位置截圖補充，Samba配置文件中的關鍵參數，使用注釋標明。

2、實驗過程中，出現任何錯誤，詳細描述排錯的過程。

3、實驗完成後，當場演示實驗結果。

實驗過程描述

任務1： 配置yum源，使用光碟鏡像安裝Samba服務包。

（1） 掛載光碟機：虛擬機→可移動設備→勾選CD/DVD；虛擬機→設置，如下圖所示，確保CentOS7放在“光碟機”中。

​

（2）連接xshell操作

如下所示：

​

（3） rpm -qa |grep samba //安裝完後查看軟體安裝情況 出現如下即為配置成功：

​

任務2：匿名訪問（不需要密碼的分享），物理主機匿名訪問Samba伺服器上的共享目錄/tmp和/public。

1. 輸入命令

​

1. 配置smb.conf文件

​

global] ；全局配置

workgroup = WORKGROUP ； 工作組名稱

server string = Samba Server Version %v ；主機簡單說明

netbios name = Host1 ；netbios名稱

interfaces = 192.168.40.0/24 ；允許哪個介面提供服務，監聽哪些網卡

hosts allow = 127.空格192.168.8. ；允許哪些地址的主機訪問

log file = /var/log/samba/log.%m ；日誌文件位置

max log size = 500 ；最大日誌文件大小

security = user ;Samba伺服器的安全模式

map to guest = Bad User ；匿名共享

[tmp] ；共享目錄名稱，也叫節名，每節定義一個共享項目

comment = Template Directories ;目錄說明

browseable = yes ;是否讓所有的用戶看到這個項目

writable = yes ;是否可寫

path=/tmp ;共享文件夾路徑

guest ok = yes ;單純分享時，讓用戶隨意登入的設定值

1. 查看配置文件語法是否正確

​

1. 啟動伺服器並查看埠是否打開

​

 ​

 • nmb：進行NetBIOS名稱解析，主要使用UDP埠137、138來解析名稱。

• smb：管理Samba伺服器上的共享目錄、印表機等，主要使用TCP埠、139、445來傳輸數據。

1. 在伺服器（本地）檢查共享情況

​

1. 關閉防火牆和selinux重啟伺服器

​

1. 在windos中訪問共享

​

​

​

任務3：使用用戶名訪問（需要密碼的分享），每用戶可以登陸訪問（可讀寫）共享目錄project，但Samba伺服器上自己的主目錄，只能用戶自己訪問（可讀寫），其他用戶無權訪問。

 1、Samba伺服器上創建共享目錄/home/project 並設置相應許可權

​

注意：2是擴展屬性，你的文件的許可權變為-rwxrws—表示其他用戶執行問件時具有所有者組的許可權，若是4770則許可權變為：-rwsrwx—，表示其他用戶執行文件時，具有與所有者相當的許可權

1. 修改配置文件/etc/samba/smb.conf

​

​

3、創建共享用戶，根據許可權訪問共享目錄（說明：Samba使用Linux系統的本地用戶賬戶，但需要為系統賬戶專門設置Samba密碼。客戶端訪問時，系統將提交的用戶資訊與Samba伺服器端的資訊進行比對地，如果相符，並且也符合Samba伺服器其他安全設置，客戶端與Samba伺服器才能成功建立連接。）

​

4、修改用戶密碼

​

5、創建和管理Samba的共享用戶，設置密碼為4321（可以使用pdbedit命令來創建和管理Samba用戶。）

​

​

​

​

6、 查看結果 pdbedit -L //讀取passdb.tdb資料庫文件，列出所有共享用戶

​

7、 可以使用smbpasswd命令，修改共享用戶的密碼

​

8、可以使用 pdbedit -x 用戶名 //刪除samba共享用戶

9、重啟服務

​

10、在本地查看結果

​

11、Windows 客戶端利用賬戶lisi 訪問

⚫ 在共享目錄中創建文件和目錄

12、在Linux客戶端中使用帳號zhangsan訪問共享

⚫ 利用賬戶zhangsan掛載目錄到本地

⚫ 訪問共享文件夾，並創建文件和文件夾。

⚫ zhangsan修改用戶“lisi“（Windows客戶端登陸）創建的文件”lisi.txt”,不可以修改。

文件夾消失，與需求不符合

13、進一步修改，滿足需求

1. 在Samba伺服器上，我們把共享的目錄/project設置 為2770，但是卻不能設置Windows共享用戶lisi在這個目錄下創建的文件的許可權。由此，引入兩個參數。

⚫ create mode – 定義用戶在此共享資源中創建的文件的許可權。Samba在新建文件時，會把dos文件的許可權映射成對應的unix許可權。如果不設置，create mode =0744 (默認)。

⚫ directory mode – 這個配置與create mode參數類似，只是它是應用在新創建的目錄上。如果不設置， directory mode =0755 (默認)

電腦配置差，不能同時運行兩台伺服器，只進行windos系統測試

14、繼續修改：每位用戶只能刪除自己的文件，不能刪除其他用戶建立的文件。命令如下圖所示

測試：Windows客戶端zhangsan刪除lisi的文件，如下圖所示。

測試2：Linux客戶端zhangsan刪除lisi的文件，不可以刪除，修改文件內容，成功。

回答問題

1. Samba伺服器有什麼安全風險？

實驗中為了搭建伺服器關掉了防火牆和SElinux不利於系統安全

　防火牆

　　Samba 有很多特性可以限制哪些人能訪問哪些共享文件 — 限制特定用戶名的訪問、強制要求密碼、檢查組成員或在網路層過濾。後面的參數，比如 allow hosts 和 smb ports，它們對 IP 地址和 User Datagram Protocol （UDP）/TCP 埠進行操作，提供了一種簡單的方法來控制哪些主機可連接到 Samba 伺服器上。

　　如果能識別哪些設備連接到伺服器，比如屬於內部網路，或者甚至是某個特定的子網或一組伺服器，那麼就實現了網路層控制。這是第一道防線：如果攻擊者無法連接到設備，那麼設備會更安全。

　　在 Samba 守護進程中控制網路網路訪問，這聽上去是完美的解決方案，但其實有更好的方法。為了確定遠程連接是否滿足要求，Samba 首先要接受連接，因為 Samba 只有在完成連接後才能獲取詳細資訊。如果是想要防止不符合要求的用戶連接到 Samba，那麼防止 Samba 看到這些連接更有意義。Samba 中的所有配置都只會影響 Samba，因此必須為其他的守護進程（比如 web 伺服器和文件傳輸）找到類似的解決方案。

在典型環境中，網路安全不是由系統管理員而是由其他 IT 員工負責。在主機層（而不是應用程式層）控制訪問能夠實現業務分離，而且會減少由於更改 smb.conf 而導致的錯誤

使用防火牆保護 Samba

　　有多種不同的方法來設計 Samba 的防火牆策略，選擇時要考慮網路布局以及誰或哪些主機需要訪問 Samba 伺服器等事項。從較高的層面來看，您可以選擇保護整個主機或只關注 Samba。

　　如果您想要保護整個主機，那麼您就不必擔心 Samba 使用哪個埠。以下程式碼是一個簡單策略，只允許來自 10.0.0.0/8 專用網路的流量傳輸到本地伺服器：

　　第一個命令向 INPUT 鏈添加了一條規則，它將規則添加到當前的規則列表中。該規則設置了來自源網路（-s）10.0.0.0/8 的所有內容都跳到 ACCEPT 目標，它將會接受數據包。第二個命令允許來自現有會話的包，這是通過調用帶有 -m state 的狀態匹配器實現的。匹配器會追蹤哪些連接離開主機。傳出的連接的響應包被認為是 established 或 related，因此規則的其餘部分會接受這些包。

　　最後一個命令設置 INPUT 鏈丟棄數據包的默認策略。如果數據包不是來自 10.0.0.0/8 網路或者不是主機生成的連接的一部分，那麼它不會被接受。

實驗成績

教師簽名：