samba文件共享以及用法(访问控制)- 精华

转载于:
https://blog.csdn.net/weixin_43275140/article/details/84577175

Samba

Samba是在Linux和UNIX系统上实现SMB协议的一个免费软件,有服务端和客户端程序构成。随着Linux的普及,如何共享Linux下的文件成为用户关心的问题。其实,几乎所有的Linux发行套件都提供了一个很好的工具Samba——通过它可以轻松实现文件共享。


一、SMB文件共享

通用lnternet文件系统(CIFS)也称为服务器信息块(SMB),是适用于MicrosoftWindows服务器和客户端的标准文件和打印机共享系统。
Samba服务可用于将Linux文件系统作为CIFS/SMB网络文件共享进行共享,并将Linux打印机作为CIFS/SMB打印机共享进行共享。

[root@shareserver ~]# ———————服务端     ip:172.25.254.227
[root@client ~]#       ——————客户端     ip:172.25.254.127
1、安装以及启动服务

在服务端:

[root@shareserver ~]# yum install samba samba-client samba-common -y
          #samba        —— 提供samba服务的主命令;
          #samba-client —— 提供测试服务
          #samba-common —— 提供管理命令;
[root@shareserver ~]# systemctl start smb       #启动smb服务
[root@shareserver ~]# systemctl enable smb.service   #开机启动smb服务
[root@shareserver ~]# systemctl stop firewalld       #关闭火墙
[root@shareserver ~]# systemctl disable firewalld    #关闭火墙并且开机不启动
[root@shareserver ~]# netstat -antlp | grep smb  # 查看samba的端口

在这里插入图片描述

客户端进行测试:
[root@client ~]# yum install samba-client -y     #安装

匿名登陆
因为在服务端未设置,所以不用输入密码,直接回车,登陆成功

[root@client ~]# smbclient -L //172.25.254.227    #匿名登陆服务端,并查看信息,-L表示查看共享列表

在这里插入图片描述

2、添加smb用户(在服务端)

smb用户必须是本地用户!!!
添加用户student、tom

[root@shareserver ~]# smbpasswd -a student # 把本机用户student添加到sam服务器上
New SMB password: # 设置samba用户的密码,此密码与本机用户的密码无关
Retype new SMB password: # 确认samba用户的密码
Added user student. # 成功
[root@shareserver ~]# smbpasswd -a tom
New SMB password:
Retype new SMB password:
Added user tom.
[root@shareserver ~]# pdbedit -L # 查看smb中的所有用户
student:1000:Student User
tom:1001:

在这里插入图片描述

smbpasswd 常用参数:
-a student: 添加用户student为samba用户
-d student:禁用samba用户student
-e student: 启用samba用户student
-x student: 删除samba用户student

可以用 smbpasswd 添加 smb 用户
还可以用 pdbedit 添加 smb 用户

pdbedit 常用参数
–a student:新建Samba用户。
–x student:删除Samba用户。
–L:列出Samba用户列表,读取passdb.tdb数据库文件。
–Lv:列出Samba用户列表的详细信息。
–c “[D]” –u student:暂停该Samba用户的账号。
–c “[]” –u student:恢复该Samba用户的账号。
1
2
3
4
5
6
7
客户端测试:
[root@client ~]# smbclient -L //172.25.254.227 -U tom # 指定tom用户登陆,-U表示指定用户
在这里插入图片描述

可能出现的错误:

输入密码导致的错误:
在这里插入图片描述

[root@client ~]# smbclient //172.25.254.227/tom -U tom # 登陆共享服务端,查看共享用户的家目录信息时发现被拒绝
1
服务端samba_enable_home_dirs布尔值的影响:
在这里插入图片描述

在服务端排错:
[root@shareserver ~]# getenforce
Enforcing # selinux与samba服务冲突
[root@shareserver ~]# getsebool -a | grep samba

在这里插入图片描述

[root@shareserver ~]# setsebool -P samba_enable_home_dirs on # 分享home目录即可。

在这里插入图片描述

在客户端测试:

成功:
在这里插入图片描述

[root@client ~]# mount -o username=tom,password=123 //172.25.254.227/tom /mnt # 把用户挂载到/mnt下,方便对共享用户进行管理
[root@client ~]# df

在这里插入图片描述

[root@client ~]# cd /mnt
[root@client mnt]# touch file{1…5}

在服务端tom用户家目录查看:
在这里插入图片描述

二、samba的访问控制
1、域名的修改
客户端:

[root@client mnt]# smbclient -L //172.25.254.227/tom -U tom # 查看到域名为MYGROUP
在这里插入图片描述

服务端:

[root@shareserver ~]# vim /etc/samba/smb.conf # 打开
89 workgroup = TOM #更改
[root@shareserver ~]# systemctl restart smb.service #重启smb服务

在这里插入图片描述

客户端:

[root@client mnt]# smbclient -L //172.25.254.227/tom -U tom # 再次查看,域名修改成功

在这里插入图片描述

2、黑白名单(Samba服务器默认对所有用户开放权限)
白名单:

[root@shareserver ~]# vim /etc/samba/smb.conf # 设定白名单,即改即生效
95 hosts allow = 172.25.254.227 # ip为172.25.254.227白名单
1
2
在主机client(IP=172.25.254.127)为上测试:
失败
在这里插入图片描述

在主机shareserver(IP=172.25.254.227)上访问:
成功
在这里插入图片描述

黑名单:
服务端:

[root@shareserver ~]# vim /etc/samba/smb.conf # 设定黑名单,即改即生效
96 hosts deny = 172.25.254.227 # ip为172.25.254.227黑名单
(如果黑白名单同时存在该ip,则该ip为白名单里)

在这里插入图片描述

在主机client(IP=172.25.254.127)为上测试:
成功
在这里插入图片描述

在主机shareserver(IP=172.25.254.227)上访问:
失败
在这里插入图片描述

恢复环境

[root@shareserver ~]# vim /etc/samba/smb.conf
删除或者注释的黑白名单
1
2
3、共享目录
(1)共享自己建立的目录
服务端:

[root@shareserver ~]# mkdir /smbfile
[root@shareserver ~]# touch /smbfile/hello{1…3}
[root@shareserver ~]# vim /etc/samba/smb.conf # 共享自己建立的目录
321 [smb] # 这是共享名,可以自己起名字
322 comment = hello # 共享文件的说明,这个也是自己自定义的
323 path = /smbfile # 共享文件的绝对路径

在这里插入图片描述

[root@shareserver ~]# systemctl restart smb.service #重启smb服务
1
客户端测试:
端测试

[root@client mnt]# smbclient -L //172.25.254.227/smb -U tom # 在共享信息里查看到共享目录,smb是自己设定的共享目录名称
在这里插入图片描述

[root@client mnt]# smbclient //172.25.254.227/file -U tom # 在客户端登录查看文件内容时被禁止

在这里插入图片描述

在服务端排查原因

[root@shareserver ~]# ls -Zd /smbfile/ # 发现共享目录的安全上下文不是samba共享
drwxr-xr-x. root root unconfined_u:object_r:default_t:s0 /linuxfile/

在这里插入图片描述

[root@shareserver ~]# semanage fcontext -a -t samba_share_t ‘/smbfile(/.*)?’ # 修改共享目录的安全上下文
[root@shareserver ~]# restorecon -RvvF /smbfile/ # 刷新
[root@shareserver ~]# ls -Zd /smbfile/ # 查看修改成功
drwxr-xr-x. root root system_u:object_r:samba_share_t:s0 /smbfile/

在这里插入图片描述

再次在客户端查看:
[root@client mnt]# smbclient //172.25.254.227/smb -U tom # 可以查看
在这里插入图片描述

(2)共享系统目录
服务端:

[root@shareserver ~]# vim /etc/samba/smb.conf
323 [mnt] # 共享系统目录的名称,这个名称也是任意的
324 comment = shiyan smb
325 path = /mnt # 共享系统目录的绝对路径
[root@shareserver ~]# systemctl restart smb.service #重启服务

在这里插入图片描述

客户端:
[root@client mnt]# smbclient -L //172.25.254.227/mnt -U tom
在这里插入图片描述

[root@client mnt]# smbclient //172.25.254.227/mnt -U tom # 但是登录上之后,也不能查看内容,这是因为安全上下文不一致

在这里插入图片描述

在服务端:
由于这是系统文件,如果更改安全上下文,会影响其他用户的访问,所以我们让samba服务对读写功能权限不做限制

[root@shareserver ~]# getsebool -a | grep samba

在这里插入图片描述

[root@shareserver ~]# setsebool -P samba_export_all_ro on # 打开只读访问权限
[root@shareserver ~]# setsebool -P samba_export_all_rw on # 打开读写访问权限
[root@shareserver ~]# getsebool -a | grep samba

在这里插入图片描述

查看权限并给该目录加r(是否可以查看目录中有什么子文件或者子目录)权限

chmod +r /mnt ##给mnt添加r权限
1
在客户端:

[root@client ~]# smbclient //172.25.254.227/mnt -U tom

在这里插入图片描述

4、samba服务的权限管理
(1)所有用户都可写
服务端:

[root@shareserver ~]# vim /etc/samba/smb.conf
324 writable = yes # 所有用户都可写

在这里插入图片描述

[root@shareserver ~]# systemctl restart smb #重启服务
1
给共享目录加可写权限

[root@shareserver ~]# chmod o+w /smbfile/ # 修改权限
在这里插入图片描述

客户端:
[root@client ~]# smbclient //172.25.254.227/smb -U tom
在这里插入图片描述

(2)指定用户可写
服务端:
[root@shareserver ~]# pdbedit -L # 查看samba服务上的用户
student:1000:Student User
tom:1001:
[root@shareserver ~]# vim /etc/samba/smb.conf
325 write list = tom # 限定只有tom用户可以写

在这里插入图片描述

[root@shareserver ~]# systemctl restart smb #重启服务
1
客户端:

[root@client ~]# smbclient //172.25.254.227/file -U linux # 用linux用户登录,可以删除

在这里插入图片描述

[root@client ~]# smbclient //172.25.254.227/file -U student # 用其他用户登录不能删除

在这里插入图片描述

(3)指定用户组可写
服务端:

[root@shareserver ~]# vim /etc/samba/smb.conf
325 write list = @tom

在这里插入图片描述

[root@shareserver ~]# systemctl restart smb.service
[root@shareserver ~]# id student
uid=1000(student) gid=1000(student) groups=1000(student),10(wheel)
[root@shareserver ~]# usermod -G tom student # 把student用户添加到tom组中
[root@shareserver ~]# id student
uid=1000(student) gid=1000(student) groups=1000(student),1001(tom)

在这里插入图片描述

客户端测试:

[root@client ~]# smbclient //172.25.254.227/smb -U student

在这里插入图片描述

(4)指定用户登录
[root@shareserver ~]# vim /etc/samba/smb.conf
326 valid users = tom # 指定只有tom用户可以登陆

在这里插入图片描述

[root@shareserver ~]# systemctl restart smb.service
1
客户端测试:

[root@client mnt]# smbclient //172.25.254.227/smb -U student # 用student用户登录

在这里插入图片描述

[root@client mnt]# smbclient //172.25.254.227/smb -U tom # 用其他用户登录

在这里插入图片描述

(5)指定用户组登录
服务端:

[root@shareserver ~]# vim /etc/samba/smb.conf
325 valid users = +student

在这里插入图片描述

[root@shareserver ~]# systemctl restart smb #重启
[root@shareserver ~]# id tom
uid=1001(tom) gid=1001(tom) groups=1001(tom)
[root@shareserver ~]# usermod -G student tom # 把tom用户加入到student组中
[root@shareserver ~]# id tom
uid=1001(tom) gid=1001(tom) groups=1001(tom),1000(student)

在这里插入图片描述

客户端测试:

[root@client ~]# smbclient //172.25.254.227/smb -U tom

在这里插入图片描述

(6)隐藏共享目录
在客户端查看共享目录:
[root@client ~]# smbclient -L //172.25.254./smb -U tom # 默认共享目录时可以看见的
在这里插入图片描述

在服务端:

[root@shareserver ~]# vim /etc/samba/smb.conf
327 browseable = no

在这里插入图片描述

[root@shareserver ~]# systemctl restart smb.service
1
在客户端查看共享目录:

[root@client ~]# smbclient -L //172.25.254.227/smb -U tom
1
与前面在客户端查看共享目录,该目录已被隐藏
在这里插入图片描述

(7)匿名用户登录
客户端:
[root@client ~]# smbclient //172.25.254.227/smb # 在客户端查看,匿名用户默认不能登录
在这里插入图片描述

服务端:

[root@shareserver ~]# vim /etc/samba/smb.conf
176 map to guest = bad user # 其他用户(也就是匿名用户)映射到guest
328 guest ok = yes # 允许其他用户(也就是匿名用户)登陆

在这里插入图片描述

在这里插入图片描述

[root@shareserver ~]# systemctl restart smb.service
1
客户端测试:

[root@client ~]# smbclient //172.25.254.227/sam # 匿名用户成功登录
Enter root’s password: # 匿名用户没有密码,直接按回车即可

在这里插入图片描述

在服务端查看:

[root@shareserver ~]# ll /smbfile/ # 查看到匿名用户上传的文件

在这里插入图片描述

(8)指定root用户
服务端:

[root@shareserver ~]# vim /etc/samba/smb.conf
330 admin users = tom # 指定tom用户为超级用户

在这里插入图片描述

[root@shareserver ~]# systemctl restart smb.service
1
客户端测试:

[root@client ~]# smbclient //172.25.254.227/smb -U tom

在这里插入图片描述

在服务端查看:

[root@shareserver ~]# ll /smbfile/

在这里插入图片描述

在服务端还原环境:

[root@shareserver ~]# vim /etc/samba/smb.conf

在这里插入图片描述

[root@shareserver ~]# systemctl restart smb.service

writable=no/yes //所有用户对目录是否可写
write list = @tom 或者 +tom //对指定用户组tom可写
write list = tom //对tom用户可写
valid users = student //指定用户登陆
valid users = +student //指定用户组登陆
browseable=no/yes //隐藏目录是否共享
guest ok = yes //允许其他用户(也就是匿名用户)登陆
admin users =tom //指定tom用户超级用户

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值