本文將學(xué)習(xí)一下幾個方面的內(nèi)容,將會結(jié)合具體的實驗來一步步實現(xiàn)

1、本文將學(xué)習(xí)一下幾個方面的內(nèi)容，將會結(jié)合具體的實驗來一步步實現(xiàn)。1、 用戶賬號的映射2、 使用IP對客戶端進(jìn)行訪問控制3、 使用域名對客戶端進(jìn)行訪問控制4、 使用通配符對客戶端進(jìn)行訪問控制5、 設(shè)置samba的權(quán)限6、 設(shè)置samba的隱藏共享7、 Samba客戶端的配置8、 Samba的排錯Samba服務(wù)器的常規(guī)配置很容易就可以實現(xiàn)，但是并不能夠滿足企業(yè)的實際需求，所以需要做更加詳細(xì)的配置。（一）、用戶賬號的映射因為samba服務(wù)器的賬號必須對應(yīng)一個同名的系統(tǒng)賬號，所以就造成了這樣的安全缺陷：只要知道samba服務(wù)器的samba賬號，就等于知道了服務(wù)器的系統(tǒng)賬號，只要破解其密碼，從而加以利用，

2、就可以來攻擊samba服務(wù)器。對于這個問題可以用賬號的映射功能來加以解決。方式：建立一個賬號映射關(guān)系表，里面記錄著samba賬號和虛擬賬號的對應(yīng)關(guān)系，客戶端訪問時使用虛擬賬號登錄。這樣告訴客戶端用戶的samba賬號就不是和系統(tǒng)賬號相對應(yīng)的那個賬號，而又可以訪問samba服務(wù)器。下面是具體實現(xiàn)的步驟1、 開啟用戶賬號映射功能，在全局設(shè)置中添加一行   2、 編輯smbusers，smbusers保存賬號映射關(guān)系，添加一行用戶的賬號映射關(guān)系   把sale1映射為sky apple3、重啟samba服務(wù) 4、驗證，在windows客戶端用sky 或

3、者apple登錄 見下圖，登錄成功 備注：建議不要把本地系統(tǒng)用戶的密碼和samba用戶的密碼設(shè)置成為一樣。（二）、使用IP對客戶端進(jìn)行訪問控制需要用到host allow和host deny字段Host allow定義可以訪問的客戶端Host deny 定義禁止訪問的客戶端案例：公司內(nèi)部samba服務(wù)器上共享了一個目錄sales，該目錄文件為銷售部的共享目錄，公司規(guī)定/16這個網(wǎng)段的IP地址都不能訪問該目錄，但是/24這個地址可以訪問，對于該需求，我們可做如下配置編輯samba的主配置文件vi /etc/samba/smb.con

4、f首先把安全級別改為share模式 在sales共享目錄下添加hosts字段，如圖 Hosts deny = 表示拒絕所有來自該網(wǎng)段的IP地址的訪問Hosts allow = 表示允許該IP地址訪問注意：當(dāng)hosts deny 和hosts allow字段同時出現(xiàn)的時候，hosts allow優(yōu)先。我們在客戶端驗證一下，用00訪問，錯誤信息如下這樣就達(dá)到了IP限制客戶端訪問的目的 （三）、使用域名對客戶端進(jìn)行限制示例：公司samba服務(wù)器上共享了一個目錄public，公司規(guī)定域和.net域的客戶端不

5、能訪問，同時，主機(jī)名為free的客戶端也不能訪問分析：這個案例很明顯不適合用IP限制來做，因為一個域中可能會有很多臺客戶端，所以可以使用域名限制，如圖： 注意：域名和域名之間或域名和主機(jī)名之間要用“空格”符號隔開（四）、使用通配符進(jìn)行訪問控制示例：samba服務(wù)器共享了一個目錄sales，規(guī)定所有人不允許訪問，只有主機(jī)名為cli-3e723d915cf.的客戶端可以訪問 把安全級別改回user 將上面設(shè)置的主機(jī)名加入到samba服務(wù)器的本地hosts文件中，讓samba可以解析該地址  別忘了重啟samba服務(wù)然后到客戶端驗證一下吧，我們先用b

6、oss帳戶，可以正常訪問   看到上面的共享文件界面后，下面是sales文件夾的內(nèi)容，訪問成功 備注：常用的通配符還有：“*”、“？”、“LOCAL”等案例：規(guī)定所以人不能訪問sales目錄，只允許網(wǎng)段的IP地址訪問，但是00除外下面我們看看具體的實現(xiàn)步驟修改配置文件，使用EXCEPT進(jìn)行設(shè)置 用00客戶端驗證一下 最后說一下hosts deny 和hosts allow的作用范圍它們的作用范圍是不同的，設(shè)置在global里表示對samba服務(wù)器生效，如果設(shè)置在目錄下，則表示對單

7、一的目錄生效如圖：表示只有客戶端00能訪問samba服務(wù)器 如圖：表示只有客戶端00可以訪問public目錄 （五）、設(shè)置samba的權(quán)限案例：公司samba服務(wù)器上有個共享目錄sales，公司規(guī)定只有boss賬號和sales組的賬號可以完全控制，其他人只有讀取的權(quán)限分析：前面我們學(xué)習(xí)的writable字段已經(jīng)不能夠滿足要求了，因為：當(dāng)writable = yes時，表示所有人都可以寫入，當(dāng)writable = no時則表死所有人都不可以寫入，這時候就要用到write list字段了實現(xiàn)的步驟如下（省略的步驟可參照前一篇文章）：1

8、、 建立sales組，在組中建立兩個賬號sale1和sale2，建立賬號boss，2、 將賬號映射到smbpasswd賬號，使用smbpasswd a 賬號名3、 編輯smb配置文件 4、 重載smb服務(wù)service smb reload5、 在客戶端驗證一下（省略）（六）、samba的隱藏共享的設(shè)置處于安全的考慮，該功能往往用在較為私密的目錄，或是比較重要的目錄上。從而保證只有管理員或者一些重要人員才知道samba服務(wù)器上有這個目錄，而其他的員工則不知道。Browseable字段可以實現(xiàn)該功能下面通過一個案例來說明案例：samba服務(wù)器有一個共享目錄sales，只有boss用戶可

9、以瀏覽并訪問該目錄，其他人都不可以瀏覽和訪問該目錄分析：通過為boss單獨建立一個配置文件，并且讓boss訪問的時候能夠讀取這個單獨的配置文件即可。具體實現(xiàn)的步驟如下：為boss建立獨立的配置文件 編輯smb.conf主配置文件，添加一行 在主配置文件中設(shè)置隱藏該目錄browseable = no編輯獨立配置文件在boss的獨立配置文件中刪除browseable = no  重新啟動一下samba服務(wù)在客戶端驗證一下用boss訪問，可以看到sales目錄 用其他用戶訪問則看不到該目錄，比如用sale1登錄，如下，沒有sales目錄（七）、samba客戶端

10、的配置linux客戶端訪問samba共享有兩種方式1、 使用smbclient命令首先確保客戶端已經(jīng)安裝了samba-client軟件包查看目標(biāo)主機(jī)共享目錄列表的方式：smbclient L 目標(biāo)IP地址或主機(jī)名 U 登錄用戶名%密碼 下面是匿名登錄的情況，不用輸入密碼，直接回車即可，匿名登錄看不到sales共享目錄，因為這是一個隱藏的共享目錄，只有boss帳戶可以訪問 備注：不同用戶使用smbclient瀏覽的結(jié)果可能不同，根據(jù)服務(wù)器設(shè)置而定，比如權(quán)限的設(shè)置2、 smbclient支持命令行的共享訪問方式格式：smbclient /目標(biāo)IP地址或主機(jī)名/共享目錄名 U 用

11、戶名%密碼例：用sale1訪問public目錄 成功登錄后，支持命令可以用help得到 3、 使用mount命令在客戶端掛載共享目錄格式：mount t cifs /目標(biāo)IP地址或主機(jī)名/共享目錄名 掛載點 o username=用戶名實例：使用sale2賬號掛載IP地址為的samba服務(wù)器的共享目錄public到客戶機(jī)的/mnt 備注：cifs表示samba所使用的文件系統(tǒng)（八）、samba的排錯思路1、看錯誤信息2、看配置文件，使用配置文件檢查工具3、看日志文件的記錄，切換到另一個終端對日志文件進(jìn)行監(jiān)控使用：tail F /var/log/messages4、 使用testparm命令檢測5、 使用smbclient命令進(jìn)行測試，如果客戶端不能和服務(wù)器連接，會出現(xiàn)不同種類的出錯信息，可根據(jù)不同的出錯信息進(jìn)行判斷錯誤的原因u tree connect failed(可能是hosts deny字段的設(shè)置有問題)u Connection refu