Linux操作系統(tǒng)安全配置 課件 項目5　文件共享安全配置

單擊此處編輯母版標題樣式

Samba工作原理學(xué)習(xí)內(nèi)容企業(yè)需求0102Samba概述03Samba工作原理學(xué)習(xí)內(nèi)容Samba工作流程0405Samba相關(guān)進程06總結(jié)企業(yè)需求1Linux系統(tǒng)上存放了企業(yè)的部分資料，員工需要在Windows平臺上使用這些資料。

Samba概述2Samba在Linux和Windows兩個平臺之間架起了一座橋梁，使Linux系統(tǒng)和Windows系統(tǒng)之間可以互相通信，實現(xiàn)不同操作系統(tǒng)之間的資源共享。

Samba工作原理3Samba是在Linux和UNIX系統(tǒng)上實現(xiàn)SMB協(xié)議的一個免費軟件，以實現(xiàn)文件共享和打印機服務(wù)共享，它的工作原理與Windows網(wǎng)上鄰居類似。而SMB是ServerMessageBlock的縮寫，即為服務(wù)器消息塊，SMB主要是作為Microsoft的網(wǎng)絡(luò)通訊協(xié)議，后來Samba將SMB通信協(xié)議應(yīng)用到了Linux系統(tǒng)上，就形成了現(xiàn)在的Samba軟件。SMB是基于客戶機/服務(wù)器型的協(xié)議，因而一臺Samba服務(wù)器既可以充當文件共享服務(wù)器，也可以充當一個Samba的客戶端

Samba工作原理3服務(wù)器運行Samba服務(wù)器軟件，其操作系統(tǒng)是Linux。該服務(wù)器通過Samba可以向局域網(wǎng)中的其它Windows主機提供文件共享的服務(wù)。同時，在Linux服務(wù)器上還連接了一個共享打印機，打印機也通過Samba向局域網(wǎng)的其它Windows用戶提供打印服務(wù)。

Samba工作流程4步驟1：協(xié)議協(xié)商客戶端在訪問Samba服務(wù)器時，發(fā)送negprot指令數(shù)據(jù)包，告知目標計算機其支持的SMB類型。Samba服務(wù)器根據(jù)客戶端的情況，選擇最優(yōu)的SMB類型，并做出回應(yīng)。步驟2：建立連接當SMB類型確認后，客戶端會發(fā)送sessionsetup指令數(shù)據(jù)包，提交帳號和密碼，請求與Samba服務(wù)器建立連接，如果客戶端通過身份驗證，Samba服務(wù)器會對sessionsetup報文作出回應(yīng)，并為用戶分配唯一的UID，在客戶端與其通信時使用。

Samba工作流程4步驟3：訪問共享資源客戶端訪問Samba共享資源時，發(fā)送treeconnect指令數(shù)據(jù)包，通知服務(wù)器需要訪問的共享資源名，如果設(shè)置允許，Samba服務(wù)器會為每個客戶端與共享資源連接分配TID,客戶端即可訪問需要的共享資源哈。步驟4：斷開連接共享使用完畢，客戶端向服務(wù)器發(fā)送treedisconnect報文關(guān)閉共享，與服務(wù)器斷開連接。

Samba相關(guān)進程5Samba服務(wù)主要由兩個進程組成，分別是nmbd和smbdnmbd：而NMB服務(wù)是負責解析用的，NMB可以把Linux系統(tǒng)共享的工作組名稱與其IP對應(yīng)起來。如果NMB服務(wù)沒有啟動，就只能通過IP來訪問共享文件，監(jiān)聽137和138UDP端口smbd：SMB服務(wù)是Samba的核心啟動服務(wù)，主要負責建立LinuxSamba服務(wù)器與Samba客戶機之間的對話，驗證用戶身份并提供對文件和打印系統(tǒng)的訪問，只有SMB服務(wù)啟動，才能實現(xiàn)文件的共享，監(jiān)聽139TCP端口總結(jié)6Samba概述Samba工作原理Samba工作流程Samba相關(guān)進程單擊此處編輯母版標題樣式

Samba訪問配置學(xué)習(xí)內(nèi)容企業(yè)需求0102創(chuàng)建賬戶與組03共享目錄、權(quán)限學(xué)習(xí)內(nèi)容修改配置文件0405重啟服務(wù)06測試07總結(jié)企業(yè)需求1某公司Linux服務(wù)器上的目錄/var/public已設(shè)置成共享，現(xiàn)要求除samba賬戶外，guest也可以讀取/var/public目錄里的文件。公司Linux服務(wù)器有一個/var/economic的目錄，現(xiàn)要求只有economic組和leader組的人能看到，但只有economic組的成員finance01有寫入文件的權(quán)限。公司Linux服務(wù)器有目錄/var/exchange，公司員工可以對該目錄進行讀寫。但每個人都不能刪除、移動別人的文件。企業(yè)需求1需求分析：1.共享規(guī)劃：/var/publicsamba賬戶和guest只讀/var/economiceconomic組和leader組可見finance01可寫/var/exchangesamba賬戶可讀寫不能刪除別人文件

企業(yè)需求12、賬戶規(guī)劃序號組成員1ordinarysmarytom2economicfinance01finance023leadersleader01leader024othersguest需求分析1Samba：在Linux和UNIX系統(tǒng)上實現(xiàn)SMB協(xié)議的一個免費軟件。SMB（ServerMessagesBlock，信息服務(wù)塊）是一種在局域網(wǎng)上共享文件和打印機的一種通信協(xié)議，為局域網(wǎng)內(nèi)的不同計算機之間提供文件及打印機等資源的共享服務(wù)。創(chuàng)建賬戶與組21、建立組[root@server~]#groupaddeconomic[root@server~]#groupaddleader[root@server~]#cat/etc/group2、建立系統(tǒng)用戶[root@server~]#useraddfinance01-geconomic[root@server~]#useraddfinance02-geconomic[root@server~]#useraddleader01-gleader[root@server~]#useraddleader02-gleader[root@server~]#useraddmary[root@server~]#useraddtom[root@server~]#cat/etc/passwd創(chuàng)建賬戶與組23、創(chuàng)建samba賬戶[root@server~]#pdbedit-afinance01[root@server~]#pdbedit-afinance02[root@server~]#pdbedit-aleader01[root@server~]#pdbedit-aleader02[root@server~]#pdbedit-amary[root@server~]#pdbedit-atom共享目錄、權(quán)限31、創(chuàng)建共享目錄[root@server~]#mkdir/var/public/var/economic/var/exchange2、設(shè)置目錄權(quán)限[root@server~]#chmod777/var/public/var/economic/var/exchange修改配置文件41、實現(xiàn)匿名登錄[root@server~]#vim/etc/samba/smb.conf[global]workgroup=SAMBAsecurity=userpassdbbackend=tdbsammaptoguest=baduserinclude=/etc/samba/%U.smb.conf

[public] comment=public'share path=/var/public public=yes browseable=yes readonly=yes guestok=yesconfigfile和include的區(qū)別：當以mary的身份訪問Samba服務(wù)器使用configfile時，只能瀏覽到mary.smb.conf定義的共享資源，其他在smb.conf中定義的共享資源都無法查看；使用include時，除了可以瀏覽到mary.smb.conf定義的共享資源，其他在smb.conf中定義的共享資源也可以瀏覽到修改配置文件41、實現(xiàn)匿名登錄[root@server~]#vim/etc/samba/smb.conf[exchange]comment=exchange'share path=/var/exchange browseable=yes writeable=yes public=yes guestok=no[economic] path=/var/economic validusers=@economic,@leader readlist=@economic,@leader修改配置文件42、finalnce01共享設(shè)置[root@server~]#vim/etc/samba/finance01.smb.conf[economic] path=/var/economic writelist=finance01 writable=yes 修改配置文件43、不能操作其它用戶文件[root@server~]#chmod1777/var/exchange粘滯位:只有目錄內(nèi)文件的所有者或者root才可以刪除或移動該文件。如果不為目錄設(shè)置粘滯位，任何具有該目錄寫和執(zhí)行權(quán)限的用戶都可以刪除和移動其中的文件。重啟服務(wù)5[root@server