samba

Samba

1.Samba概述

Samba最先在Linux和Windows两个平台之间架起了一座桥梁，正是由于Samba的出现，我们可以在Linux系统和Windows系统之间互相通信，比如拷贝文件，实现不同操作系统之间的资源共享等等，我们可以将其架设成一个功能非常强大的文件服务器，也可以将其架设成打印服务器提供本地和远程联机打印。

2.Samba应用环境

文件和打印机共享：文件和打印机共享是Samba的主要功能，SMB进程实现资源共享，将文件和打印机发布到网络之中，以供用户可以访问。

身份验证和权限设置：smbd 服务支持user mode和domain mode等身份验证和权限设置模式，通过加密方式可以保护共享的文件和打印机。

名称解析：Samba通过nmbd服务可以搭建NBNS（netBIOS Name Service）服务器，提供名称解析，将计算机的NetBIOS名解析为IP地址。

浏览服务：局域网中，Samba服务器可以成为本地主浏览服务器（LMB），保存可用资源列表，当使用客户端访问Windows网上邻居是，会提供浏览列表，并显示共享目录，打印机等资源。

**端口号：**139和445

在早期，SMB 运行在NBT协议（NetBIOS over TCP/IP）上，使用UDP协议的137、138及TCP协议的139端口

NETBIOS协议

NetBIOS是Network Basic Input/Output System的建成，网络基本输入/输出系统协议一般只用于局域网通信的一套API，是由IBM公司开发的。与要勇于：通过NETBIOS协议获得计算机名称然后把计算机名解析成对应的IP地址。

模式：C/S模式（客户端/服务器）

安装Samba：

[root@localhost ~]# yum install samba

启动Samba服务：

[root@localhost ~]# service smb start

查看是否启动成功：

[root@localhost ~]# service smb status

3.Samba配置文件详解

修改配置文件，举例：

配置文件位置：

/etc/samba/smb.conf.example 或 /etc/samba/smb.conf

Samba常规服务器配置

基本 Samba服务器的搭建流程主要分为四个步骤：

• 编辑主配置文件smb.conf，指定需要共享的目录，并为共享目录设置共享权限。
• 在smb.conf文件中指定日志文件名称和存放路径。
• 设置共享目录的本地系统权限及samba共享权限。
• 从新加载配置文件或从新启动smb服务，使配置生效

smb.conf大致分为三个部分

1.samba配置简介

smb.conf文件的开头部分为samba配置简介，告诉我们smb.conf文件的作用及相关信息。

smb.comf中还有以分号";"开头，这些都是samba配置的格式范例，默认是不生效的

去掉前面的";"并加以修改来设置其参数。

注："#"也是表示注释

2.Global Settings

Global Settings设置为全局变量区域。全局变量就是说我们只要在global中进行设置，那么该设置项就是针对所有共享资源生效。

格式：字段=设定值

[global]常用字段及设置方法：

1）设置samba服务器所在工作组或域名

workgroup = test #工作组

2）服务器描述，服务器描述实际上类似于备注信息

server string = test Samba Server

3）设置samba服务器安全模式。常见模式有两种：share安全级别模式和user安全级别模式

（1）share安全级别模式

客户端登录samba服务器，不需要输入用户名和密码就可以浏览samba服务器的资源，适用于公共的共享资源，安全性差，需要配合其他权限设置，保证samba服务器的安全性

（2）user安全级别模式

客户端登录samba服务器，需要提交合法账号和密码，经过服务器验证才可以访问共享组员，服务器默认为此级别模式

3.Share Definitions共享服务的定义

[homes]为特殊共享目录，表示用户主目录。

[printers]表示共享打印机

配置一个共享资源：

[share] #设置共享名 其中“share”可以替换为自己的名称

​ comment = Home Directories #描述

​ browseable = yes #是否允许查看共享内容。若为否，后期通过绝对路径可查看到。

​ path = /share #共享路径，写绝对路径

​ public = yes #允许匿名查看

1）设置共享名

共享资源发布后，必须为每个共享目录或打印机设置不同的共享名，给网络用户访问时使用，并且共享名可以与原目录名不同。

2）共享资源描述

格式：comment = 备注信息

举个例子：samba 服务器上有个/sales 目录存放恭喜销售部的数据，为了对公司部门员工进行区分，可以添加备注信息

3）共享路径

共享资源的原始完整路径

格式：path = 绝对地址路径

samba服务器上/share/tools目录存放常用工具软件，需要发布该目录为共享。

4）设置匿名访问

共享资源如果对匿名访问进行设置，可以更改public字段

格式：

public = yes #允许匿名访问

public = no #禁止匿名访问

5）设置访问用户

如果共享资源存在重要数据的话，需要对访问用户审核，我们可以使用valid users字段进行设置。

格式：

valid users = 用户名

valid users = @组名

6）设置目录只读

共享目录如果限制用户的读写操作，我们可以通过readonly实现

格式：

readonly = yes #只读

readonly = no #读写

7）设置目录可写

如果共享目录允许用户写操作，可以使用writable 或 write list两个字段进行设置

writable 格式：

writable = yes #读写

wirtable = no #只读

write list 格式：

write list = 用户名

write list = @组名

Samba 服务日志文件

在/etc/samba/smb.conf.example文件中，log file为设置samba日志的字段。

4.Samba案例

例1：匿名共享

1.创建共享目录

[root@localhost ~]# mkdir /share

[root@localhost ~]# cp /etc/passwd /share

2.修改配置文件

vim /etc/samba/smb.conf.example

[global]

​ workgroup = test

​ server string = test Samba Server

​ security = share(匿名共享)

在配置文件的最后面设置

[public] #设置共享名
comment = test Data #描述信息
path = /share #设置共享路径，要写绝对路径
public = yes #允许匿名查看

重启smb服务

[root@localhost ~]# server smb restart

测试：

在电脑文件夹的地址栏中输入linux的 “\\+IP” 地址并回车

同理，在浏览器中输入 “\\+IP” 地址并回车，也可以访问到smb服务器

可以访问smb服务器的文件，但是没有权限进行创建文件。

例2：用户名密码共享

通过用户名和密码共享文件，只有知道用户名与密码的用户可以查看此共享文件夹。我们需要在全局设置中将security设置为user 安全级别，这样就启用了samba服务器的身份验证机制，然后再共享目录下设置valid user字段，配置只允许某些人可以访问这个共享目录。

注意：一定要先制定存放密码的文件位置：

1）修改samba主配置文件 smb.conf.example

改： passdb backend = tbdsam

为： passdb backend = smbpasswd

​ smb passwd file = /etc/samba/smbpasswd

重启samba服务

[root@localhost ~]# server smb restart

2）添加用户和组并添加相应samba账号

使用groupadd命令添加组，然后执行useradd命令和passwd命令添加用户和密码

[root@localhost ~]# groupadd testgroup

[root@localhost ~]# useradd -g testgroup test01

[root@localhost ~]# useradd -g testgroup test02

接下来为组成员添加相应的samba账号

[root@localhost ~]# smbpasswd -a test01

New SMB password:123456

Retype new SMB passowrd:123456

[root@localhost ~]# smbpasswd -a test02

New SMB password:123456

Retype new SMB passowrd:123456

查看组成员是否添加成功：

[root@localhost ~]# cat /etc/samba/smbpasswd

test01:500:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:32ED87BDB5FDC5E9CBA88547376818D4:[U ]:LCT-56FBDA3D:

test02:501:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:32ED87BDB5FDC5E9CBA88547376818D4:[U ]:LCT-56FBDA4F:

创建共享目录：

[root@localhost ~]# mkdir /test

[root@localhost ~]# cp/etc/hosts /test/

修改配置文件，指定共享目录，设置访问权限

[test] #设置共享目录的共享名为test
comment = test Data
path = /test #设置共享目录的绝对路径为/test
valid users = @test #设置允许访问的用户为test组内的用户

重启服务

[root@localhost ~]# server smb restart

访问samba服务器：

打开文件夹在地址栏中输入"\\+ip地址"并且回车，此时会弹出一个输入用户名与密码的窗口。

输入用户名与密码，点击“确定”按钮即可访问smb服务器。

注意：当想要通过另一个用户名访问samba服务器时，可以再cmd窗口中使用net use查看，已连接的用户，使用net use* /delete命令删除当前已连接的用户

5.扩展内容

1.隐藏共享目录

browseable = no

这用用户访问共享目录后看不到对应目录，需要写入目录的绝对URL进行访问。

2.控制访问源

hosts allow 和 hosts deny字段的使用

hosts allow 字段定义允许访问的客户端

hosts deny 字段定义禁止访问的客户端

举例：

如果公司现在要求共享目录test 只允许192.168.1.0/24 网段的主机访问，同时禁止192.168.1.3 IP地址的访问

hosts allow = 192.168.1. #允许192.168.1.0/24网段访问

hosts deny = 192.168.1.3 #进制192.168.1.3主机访问

注：

当hosts allow 和hosts deny同时设置是，hosts allow 生效，如果这样的话，上面的这两项设置192.168.1.3就是不生效的，对于这种情况，可以使用EXCEPT进行排除

hosts allow = 192.168.1. EXPECT 192.168.1.3

3.控制写入权限

writeable = yes #允许授权用户写入

write list = test01#允许单个用户写入

4.用户账号映射

前面说，samba的账号是保存在smbpasswd文件中，并且可以访问samba服务气的账号也必须对用一个同名的系统账号，基于这一点，对于某些黑客来说，只要知道samba服务器的账号，就等于知道了Linux系统账号，只要破解samba账号加以利用就可以共计samba服务器。所以我们要是用用户账号映射这个功能来解决这个问题

用户账号映射这个功能需要建立一个账号映射关系表，里面记录了samba账号和虚拟账号的对应关系，客户端访问samba服务器时就是用虚拟账户来登录

1）编辑主配置文件/etc/samba/smb.conf.example

在[global]下添加一行字段username map = /etc/samba/smbusers开启账号映射功能

创建samba用户

[root@localhost ~]# useradd rm

[root@localhost ~]# smbpasswd -a rm

2）编辑/etc/samba/smbusers

smbusers文件保存账号映射关系，具有固定格式：

samba 账号 = 虚拟账号（映射账号）

[root@localhost ~]# vim /etc/samba/smbusers

#Linux_name = SMB_name1 SMB_name2…

root = adminstrator admin

nobody = guest pcguest smbguest

rm = zxj jingyu

~

账号rm就是我们创建的samba账号(同时也是linux系统账号)，zxj及jingyu就是映射的账号名（虚拟账号），账号rm在我们访问共享目录是只要输入zxj或jinyu就可以成功访问了，但是实际上访问samba服务器的还是我们的rm账号，这样一来就解决了安全问题。

3）重启samba服务：service smb restart

4）测试一下

输入我们自定义的映射账号zxj，不需要输入rm，映射账号zxj密码和rm账号一样，访问成功后显示的也是rm目录的共享内容。

现在就可以通过映射账号浏览共享目录了

注意：强烈建议不要将samba用户的密码和本地系统用户的密码设置成一样，可以避免非法用户使用samba账号登录系统非法破坏。

笔记原视频：https://www.bilibili.com/video/BV1GW411j7TG