Linux操作系统安全配置 课件 项目5　文件共享安全配置

单击此处编辑母版标题样式

Samba工作原理学习内容企业需求0102Samba概述03Samba工作原理学习内容Samba工作流程0405Samba相关进程06总结企业需求1Linux系统上存放了企业的部分资料，员工需要在Windows平台上使用这些资料。

Samba概述2Samba在Linux和Windows两个平台之间架起了一座桥梁，使Linux系统和Windows系统之间可以互相通信，实现不同操作系统之间的资源共享。

Samba工作原理3Samba是在Linux和UNIX系统上实现SMB协议的一个免费软件，以实现文件共享和打印机服务共享，它的工作原理与Windows网上邻居类似。而SMB是ServerMessageBlock的缩写，即为服务器消息块，SMB主要是作为Microsoft的网络通讯协议，后来Samba将SMB通信协议应用到了Linux系统上，就形成了现在的Samba软件。SMB是基于客户机/服务器型的协议，因而一台Samba服务器既可以充当文件共享服务器，也可以充当一个Samba的客户端

Samba工作原理3服务器运行Samba服务器软件，其操作系统是Linux。该服务器通过Samba可以向局域网中的其它Windows主机提供文件共享的服务。同时，在Linux服务器上还连接了一个共享打印机，打印机也通过Samba向局域网的其它Windows用户提供打印服务。

Samba工作流程4步骤1：协议协商客户端在访问Samba服务器时，发送negprot指令数据包，告知目标计算机其支持的SMB类型。Samba服务器根据客户端的情况，选择最优的SMB类型，并做出回应。步骤2：建立连接当SMB类型确认后，客户端会发送sessionsetup指令数据包，提交帐号和密码，请求与Samba服务器建立连接，如果客户端通过身份验证，Samba服务器会对sessionsetup报文作出回应，并为用户分配唯一的UID，在客户端与其通信时使用。

Samba工作流程4步骤3：访问共享资源客户端访问Samba共享资源时，发送treeconnect指令数据包，通知服务器需要访问的共享资源名，如果设置允许，Samba服务器会为每个客户端与共享资源连接分配TID,客户端即可访问需要的共享资源哈。步骤4：断开连接共享使用完毕，客户端向服务器发送treedisconnect报文关闭共享，与服务器断开连接。

Samba相关进程5Samba服务主要由两个进程组成，分别是nmbd和smbdnmbd：而NMB服务是负责解析用的，NMB可以把Linux系统共享的工作组名称与其IP对应起来。如果NMB服务没有启动，就只能通过IP来访问共享文件，监听137和138UDP端口smbd：SMB服务是Samba的核心启动服务，主要负责建立LinuxSamba服务器与Samba客户机之间的对话，验证用户身份并提供对文件和打印系统的访问，只有SMB服务启动，才能实现文件的共享，监听139TCP端口总结6Samba概述Samba工作原理Samba工作流程Samba相关进程单击此处编辑母版标题样式

Samba访问配置学习内容企业需求0102创建账户与组03共享目录、权限学习内容修改配置文件0405重启服务06测试07总结企业需求1某公司Linux服务器上的目录/var/public已设置成共享，现要求除samba账户外，guest也可以读取/var/public目录里的文件。公司Linux服务器有一个/var/economic的目录，现要求只有economic组和leader组的人能看到，但只有economic组的成员finance01有写入文件的权限。公司Linux服务器有目录/var/exchange，公司员工可以对该目录进行读写。但每个人都不能删除、移动别人的文件。企业需求1需求分析：1.共享规划：/var/publicsamba账户和guest只读/var/economiceconomic组和leader组可见finance01可写/var/exchangesamba账户可读写不能删除别人文件

企业需求12、账户规划序号组成员1ordinarysmarytom2economicfinance01finance023leadersleader01leader024othersguest需求分析1Samba：在Linux和UNIX系统上实现SMB协议的一个免费软件。SMB（ServerMessagesBlock，信息服务块）是一种在局域网上共享文件和打印机的一种通信协议，为局域网内的不同计算机之间提供文件及打印机等资源的共享服务。创建账户与组21、建立组[root@server~]#groupaddeconomic[root@server~]#groupaddleader[root@server~]#cat/etc/group2、建立系统用户[root@server~]#useraddfinance01-geconomic[root@server~]#useraddfinance02-geconomic[root@server~]#useraddleader01-gleader[root@server~]#useraddleader02-gleader[root@server~]#useraddmary[root@server~]#useraddtom[root@server~]#cat/etc/passwd创建账户与组23、创建samba账户[root@server~]#pdbedit-afinance01[root@server~]#pdbedit-afinance02[root@server~]#pdbedit-aleader01[root@server~]#pdbedit-aleader02[root@server~]#pdbedit-amary[root@server~]#pdbedit-atom共享目录、权限31、创建共享目录[root@server~]#mkdir/var/public/var/economic/var/exchange2、设置目录权限[root@server~]#chmod777/var/public/var/economic/var/exchange修改配置文件41、实现匿名登录[root@server~]#vim/etc/samba/smb.conf[global]workgroup=SAMBAsecurity=userpassdbbackend=tdbsammaptoguest=baduserinclude=/etc/samba/%U.smb.conf

[public] comment=public'share path=/var/public public=yes browseable=yes readonly=yes guestok=yesconfigfile和include的区别：当以mary的身份访问Samba服务器使用configfile时，只能浏览到mary.smb.conf定义的共享资源，其他在smb.conf中定义的共享资源都无法查看；使用include时，除了可以浏览到mary.smb.conf定义的共享资源，其他在smb.conf中定义的共享资源也可以浏览到修改配置文件41、实现匿名登录[root@server~]#vim/etc/samba/smb.conf[exchange]comment=exchange'share path=/var/exchange browseable=yes writeable=yes public=yes guestok=no[economic] path=/var/economic validusers=@economic,@leader readlist=@economic,@leader修改配置文件42、finalnce01共享设置[root@server~]#vim/etc/samba/finance01.smb.conf[economic] path=/var/economic writelist=finance01 writable=yes 修改配置文件43、不能操作其它用户文件[root@server~]#chmod1777/var/exchange粘滞位:只有目录内文件的所有者或者root才可以删除或移动该文件。如果不为目录设置粘滞位，任何具有该目录写和执行权限的用户都可以删除和移动其中的文件。重启服务5[root@server