Linux操作系統(tǒng)安全配置 課件 項(xiàng)目5　文件共享安全配置

單擊此處編輯母版標(biāo)題樣式

Samba工作原理學(xué)習(xí)內(nèi)容企業(yè)需求0102Samba概述03Samba工作原理學(xué)習(xí)內(nèi)容Samba工作流程0405Samba相關(guān)進(jìn)程06總結(jié)企業(yè)需求1Linux系統(tǒng)上存放了企業(yè)的部分資料，員工需要在Windows平臺(tái)上使用這些資料。

Samba概述2Samba在Linux和Windows兩個(gè)平臺(tái)之間架起了一座橋梁，使Linux系統(tǒng)和Windows系統(tǒng)之間可以互相通信，實(shí)現(xiàn)不同操作系統(tǒng)之間的資源共享。

Samba工作原理3Samba是在Linux和UNIX系統(tǒng)上實(shí)現(xiàn)SMB協(xié)議的一個(gè)免費(fèi)軟件，以實(shí)現(xiàn)文件共享和打印機(jī)服務(wù)共享，它的工作原理與Windows網(wǎng)上鄰居類似。而SMB是ServerMessageBlock的縮寫，即為服務(wù)器消息塊，SMB主要是作為Microsoft的網(wǎng)絡(luò)通訊協(xié)議，后來(lái)Samba將SMB通信協(xié)議應(yīng)用到了Linux系統(tǒng)上，就形成了現(xiàn)在的Samba軟件。SMB是基于客戶機(jī)/服務(wù)器型的協(xié)議，因而一臺(tái)Samba服務(wù)器既可以充當(dāng)文件共享服務(wù)器，也可以充當(dāng)一個(gè)Samba的客戶端

Samba工作原理3服務(wù)器運(yùn)行Samba服務(wù)器軟件，其操作系統(tǒng)是Linux。該服務(wù)器通過(guò)Samba可以向局域網(wǎng)中的其它Windows主機(jī)提供文件共享的服務(wù)。同時(shí)，在Linux服務(wù)器上還連接了一個(gè)共享打印機(jī)，打印機(jī)也通過(guò)Samba向局域網(wǎng)的其它Windows用戶提供打印服務(wù)。

Samba工作流程4步驟1：協(xié)議協(xié)商客戶端在訪問(wèn)Samba服務(wù)器時(shí)，發(fā)送negprot指令數(shù)據(jù)包，告知目標(biāo)計(jì)算機(jī)其支持的SMB類型。Samba服務(wù)器根據(jù)客戶端的情況，選擇最優(yōu)的SMB類型，并做出回應(yīng)。步驟2：建立連接當(dāng)SMB類型確認(rèn)后，客戶端會(huì)發(fā)送sessionsetup指令數(shù)據(jù)包，提交帳號(hào)和密碼，請(qǐng)求與Samba服務(wù)器建立連接，如果客戶端通過(guò)身份驗(yàn)證，Samba服務(wù)器會(huì)對(duì)sessionsetup報(bào)文作出回應(yīng)，并為用戶分配唯一的UID，在客戶端與其通信時(shí)使用。

Samba工作流程4步驟3：訪問(wèn)共享資源客戶端訪問(wèn)Samba共享資源時(shí)，發(fā)送treeconnect指令數(shù)據(jù)包，通知服務(wù)器需要訪問(wèn)的共享資源名，如果設(shè)置允許，Samba服務(wù)器會(huì)為每個(gè)客戶端與共享資源連接分配TID,客戶端即可訪問(wèn)需要的共享資源哈。步驟4：斷開(kāi)連接共享使用完畢，客戶端向服務(wù)器發(fā)送treedisconnect報(bào)文關(guān)閉共享，與服務(wù)器斷開(kāi)連接。

Samba相關(guān)進(jìn)程5Samba服務(wù)主要由兩個(gè)進(jìn)程組成，分別是nmbd和smbdnmbd：而NMB服務(wù)是負(fù)責(zé)解析用的，NMB可以把Linux系統(tǒng)共享的工作組名稱與其IP對(duì)應(yīng)起來(lái)。如果NMB服務(wù)沒(méi)有啟動(dòng)，就只能通過(guò)IP來(lái)訪問(wèn)共享文件，監(jiān)聽(tīng)137和138UDP端口smbd：SMB服務(wù)是Samba的核心啟動(dòng)服務(wù)，主要負(fù)責(zé)建立LinuxSamba服務(wù)器與Samba客戶機(jī)之間的對(duì)話，驗(yàn)證用戶身份并提供對(duì)文件和打印系統(tǒng)的訪問(wèn)，只有SMB服務(wù)啟動(dòng)，才能實(shí)現(xiàn)文件的共享，監(jiān)聽(tīng)139TCP端口總結(jié)6Samba概述Samba工作原理Samba工作流程Samba相關(guān)進(jìn)程單擊此處編輯母版標(biāo)題樣式

Samba訪問(wèn)配置學(xué)習(xí)內(nèi)容企業(yè)需求0102創(chuàng)建賬戶與組03共享目錄、權(quán)限學(xué)習(xí)內(nèi)容修改配置文件0405重啟服務(wù)06測(cè)試07總結(jié)企業(yè)需求1某公司Linux服務(wù)器上的目錄/var/public已設(shè)置成共享，現(xiàn)要求除samba賬戶外，guest也可以讀取/var/public目錄里的文件。公司Linux服務(wù)器有一個(gè)/var/economic的目錄，現(xiàn)要求只有economic組和leader組的人能看到，但只有economic組的成員finance01有寫入文件的權(quán)限。公司Linux服務(wù)器有目錄/var/exchange，公司員工可以對(duì)該目錄進(jìn)行讀寫。但每個(gè)人都不能刪除、移動(dòng)別人的文件。企業(yè)需求1需求分析：1.共享規(guī)劃：/var/publicsamba賬戶和guest只讀/var/economiceconomic組和leader組可見(jiàn)finance01可寫/var/exchangesamba賬戶可讀寫不能刪除別人文件

企業(yè)需求12、賬戶規(guī)劃序號(hào)組成員1ordinarysmarytom2economicfinance01finance023leadersleader01leader024othersguest需求分析1Samba：在Linux和UNIX系統(tǒng)上實(shí)現(xiàn)SMB協(xié)議的一個(gè)免費(fèi)軟件。SMB（ServerMessagesBlock，信息服務(wù)塊）是一種在局域網(wǎng)上共享文件和打印機(jī)的一種通信協(xié)議，為局域網(wǎng)內(nèi)的不同計(jì)算機(jī)之間提供文件及打印機(jī)等資源的共享服務(wù)。創(chuàng)建賬戶與組21、建立組[root@server~]#groupaddeconomic[root@server~]#groupaddleader[root@server~]#cat/etc/group2、建立系統(tǒng)用戶[root@server~]#useraddfinance01-geconomic[root@server~]#useraddfinance02-geconomic[root@server~]#useraddleader01-gleader[root@server~]#useraddleader02-gleader[root@server~]#useraddmary[root@server~]#useraddtom[root@server~]#cat/etc/passwd創(chuàng)建賬戶與組23、創(chuàng)建samba賬戶[root@server~]#pdbedit-afinance01[root@server~]#pdbedit-afinance02[root@server~]#pdbedit-aleader01[root@server~]#pdbedit-aleader02[root@server~]#pdbedit-amary[root@server~]#pdbedit-atom共享目錄、權(quán)限31、創(chuàng)建共享目錄[root@server~]#mkdir/var/public/var/economic/var/exchange2、設(shè)置目錄權(quán)限[root@server~]#chmod777/var/public/var/economic/var/exchange修改配置文件41、實(shí)現(xiàn)匿名登錄[root@server~]#vim/etc/samba/smb.conf[global]workgroup=SAMBAsecurity=userpassdbbackend=tdbsammaptoguest=baduserinclude=/etc/samba/%U.smb.conf

[public] comment=public'share path=/var/public public=yes browseable=yes readonly=yes guestok=yesconfigfile和include的區(qū)別：當(dāng)以mary的身份訪問(wèn)Samba服務(wù)器使用configfile時(shí)，只能瀏覽到mary.smb.conf定義的共享資源，其他在smb.conf中定義的共享資源都無(wú)法查看；使用include時(shí)，除了可以瀏覽到mary.smb.conf定義的共享資源，其他在smb.conf中定義的共享資源也可以瀏覽到修改配置文件41、實(shí)現(xiàn)匿名登錄[root@server~]#vim/etc/samba/smb.conf[exchange]comment=exchange'share path=/var/exchange browseable=yes writeable=yes public=yes guestok=no[economic] path=/var/economic validusers=@economic,@leader readlist=@economic,@leader修改配置文件42、finalnce01共享設(shè)置[root@server~]#vim/etc/samba/finance01.smb.conf[economic] path=/var/economic writelist=finance01 writable=yes 修改配置文件43、不能操作其它用戶文件[root@server~]#chmod1777/var/exchange粘滯位:只有目錄內(nèi)文件的所有者或者root才可以刪除或移動(dòng)該文件。如果不為目錄設(shè)置粘滯位，任何具有該目錄寫和執(zhí)行權(quán)限的用戶都可以刪除和移動(dòng)其中的文件。重啟服務(wù)5[root@server