zp blog

1 Samba高级服务器配置 

    下面就来讲下samba滴高级服务器配置让我们搭建滴samba服务器功能更强大，管理更灵活，我们滴数据也更安全哈~

1.1 用户账号映射

    samba的用户帐号信息是保存在smbpasswd文件中滴，而且可以访问samba服务器的帐号也必须对应一个同名的系统帐号。基于这 一点，所以哈，对于一些hacker来说，只要知道samba服务器滴samba帐号，就等于是知道了Linux系统帐号，只要crack其samba帐 号密码加以利用就可以攻击samba服务器哈。所以我们要使用用户帐号映射这个功能来解决这个问题哈~~~

    用户帐号映射这个功能需要建立一个帐号映射关系表，里面记录了samba帐号和虚拟帐号的对应关系，客户端访问samba服务器时就使用虚拟来登录哈。

    1）编辑主配置文件/etc/samba/smb.conf

    在global下添加一行字段

username map = /etc/samba/smbusers

    开启用户帐号映射功能。

    2）编辑/etc/samba/smbusers

    smbusers文件保存帐号映射关系，其有固定滴格式：

samba帐号 = 虚拟帐号（映射帐号）

    帐号zp就是我们上面建立的samba帐号（同时也是Linux系统帐号），zpblog就是映射滴帐号名（虚拟帐号），帐号 zp在我们访问共享目录时只要输入zpblog就可以成功访问了，但是实际上访问samba服务器的还是我们滴zp帐号，这样一来就解决了安全问题哈~我们继续。

    3）重启samba服务：service smb restart

    4）验证效果哈~

    输入我们定义的映射帐号zpblog，注意我们没有输入帐号zp哈~，映射帐号zpblog滴密码和zp帐号一样哈~

现在就可以通过映射帐号浏览共享目录了哈~

注意：强烈建议不要将samba用户的密码与本地系统用户的密码设置成一样哈，可以避免非法用户使用samba帐号登录系统非法破坏哈~~~

1.2 客户端访问控制

    对于samba服务器的安全性，我们已经说过可以使用valid users字段去实现用户访问控制，但是如果企业庞大，存在大量用户的话，这种方法操作起来就显得比较麻烦哈~比如samba服务器共享出一个目录来访 问，但是要禁止某个IP子网或某个域的客户端访问此资源，这样滴情况使用valid users字段就无法实现客户端访问控制。

    下面我们就讲下使用hosts allow和hosts deny两个字段来实现该功能。而用好这两个字段滴关键在于熟悉和清楚它们的使用方法和作用范围哈

    hosts allow 和 hosts deny 的使用方法 

    1）hosts allow 和 hosts deny 字段的使用

hosts allow 字段定义允许访问的客户端
hosts deny 字段定义禁止访问的客户端

    2）使用IP地址进行限制

    比如公司内部samba服务器上共享了一个目录sales，这个目录是存放销售部的共享目录，公司规定192.168.0.0/24这个网段的IP地址禁止访问此sales共享目录，但是其中192.168.0.24这个IP地址可以访问。

    先将安全级别模式由user改为share

    这里我们添加hosts deny和hosts allow字段

hosts deny = 192.168.0. 表示禁止所有来自192.168.0.0/24网段的IP地址访问
hosts allow = 192.168.0.24 表示允许192.168.0.24这个IP地址访问

    当host deny和hosts allow字段同时出现并定义滴内容相互冲突时，hosts allow优先。现在设置的意思就是禁止C类地址192.168.0.0/24网段主机访问，但是允许192.168.0.24主机访问。

    测试下效果，如果是192.168.0.24的客户端就可以正常访问

    如果是其他客户端滴话就是这样的效果

    如果想同时禁止多个网段滴IP地址访问此服务器可以这样设置

hosts deny = 192.168.1. 172.16. 表示拒绝所有192.168.1.0网段和172.16.0.0网段的IP地址访问sales这个共享目录。
hosts allow = 10. 表示允许10.0.0.0网段的IP地址访问sales这个共享目录。

    注意：当需要输入多个网段IP地址的时候，需要使用“空格”符号隔开。

    3）使用域名进行限制

    我们来看这样一个例子哈，公司samba服务器上共享了一个目录public，公司规定.sale.com域和.net域的客户端不能访问，并且主机名为free的客户端也不能访问。

hosts deny = .sale.com .net free 表示禁止.sale.com域和.net域及主机名为free的客户端访问public这个共享目录。

    注意：域名和域名之间或域名和主机名之间需要使用“空格”符号隔开。

    4）使用通配符进行访问控制

    samba服务器共享了一个目录security，规定所有人不允许访问，只有主机名为boss的客户端才可以访问。对于这样一个实例哈，我们就可以通过使用通配符的方式来简化配置。

hosts deny = All 表示所有客户端，并不是说允许主机名为ALL的客户端可以访问哈~~~

    常用的通配符还有“*”，“？”，“LOCAL”等。

    还有一种比较有意思的情况，如果我们规定所有人不能访问security目录，只允许192.168.0.0网段的IP地址可以访问，但是 192.168.0.100及192.168.0.78的主机是要禁止访问滴。我们可以使用hosts deny禁止所有用户访问，再设置hosts allow允许192.168.0.0网段主机，但当hosts deny和hosts allow同时出现而且冲突滴时候，hosts allow生效，如果这样滴话，那么允许192.168.0.0网段的IP地址可以访问，但是192.168.0.100及192.168.0.78的主 机禁止访问就无法生效了哈~我们可以使用EXCEPT进行设置。

hosts allow = 192.168.0. EXCEPT 192.168.0.100 192.168.0.78 表示允许192.168.0.0网段IP地址访问，但是192.168.0.100和192.168.0.78除外哈~

    hosts allow 和 hosts deny 的作用范围 

    hosts allow和hosts deny设置在不同的位置上，它们的作用范围是不一样滴。如果设置在[global]里面，表示对samba服务器全局生效哈，如果设置在目录下面，则表只对这个目录生效。

    这样设置表示只有192.168.0.88才可以访问samba服务器，全局生效哈~

    这样设置就表示只对单一目录security生效，只有192.168.0.88才可以访问security目录里面的资料。

1.3 设置Samba的权限 

    到这里我们已经可以对客户端访问进行有效的控制，但是对于能访问的客户端来说，我们还是不能灵活方便滴控制他们访问共享资源的权限，比如boss或gm这 样的帐号可以对某个共享目录具有完全控制权限，其他帐号只有只读权限哈，这样的情况我们就可以使用write list字段来实现哈~

    例如公司samba服务器上有个共享目录tech，公司规定只有boss帐号和tech组的帐号可以完全控制，其他人只有只读权限。如果只用 writable字段则无法满足这个实例的要求，因为当writable = yes时，表示所有人都可以写入了哈，而当writable = no时表示所有人都不可以写入。这时我们就需要用到write list字段哈~

write list = boss,@tech 就表示只有boss帐号和tech组成员才可以对tech共享目录有写入权限哈（其中@tech就表示tech组）。

    我们来看下writable和write list之间的区别：  

1.4 Samba的隐藏共享 

    我们还可以使用browseable字段实现隐藏共享的功能哈~~~

    比如我们要把samba上的技术部共享目录隐藏，我们可以这样设置。

browseable = no表示隐藏该目录

    现在就看不到tech共享目录了哈~

    如果我们直接输入[url=file://..192.168.0.188.tech/]\\192.168.0.188\tech[/url]就可以访问了哈~

    在有些特殊的情况下，browseable也无法满足企业的需求，比如，samba服务器上有个security目录，此目录只有boss用户可以浏览访问，其他人都不可以访问。因为samba的主配置文件只有一个，所有帐号访问都要遵守该配置文件的规则，如果隐藏了该目录，那么所有人就都看不到该目录了，就像上面演示的一样，要知道共享目录名称后输入[url=file://..192.168.0.188.tech/]\\192.168.0.188\tech[/url]才可以访问技术部资料。如果这样滴目录一多滴话，不可以叫boss去记那么多目录名称哈，那样还不被boss骂死哈~~~^_^问题出在samba服务的主配置文件只有一个，而smb.conf没有提供字段允许部分人可以浏览隐藏目录的功能。

    那我们可以换个角度哈，既然单一滴配置文件无法实现要求，那么我们可以为不同需求的用户或组分别建立相应的配置文件并单独配置后实现其隐藏目录的功能哈，现在我们为boss帐号建立一个配置文件，并且让其访问的时候能够读取这个单独的配置文件。

    1）建立独立滴配置文件哈~

    先为boss帐号创建一个单独的配置文件，我们可以直接复制/etc/samba/smb.conf这个文件并改名就可以了，如果为单个用户建立配置文件，命名时一定要包含用户名哈。

    我们使用cp命令复制主配置文件，为boss帐号建立独立的配置文件。

    2）编辑smb.conf主配置文件哈~

    在[global]中加入

config file = /etc/samba/smb.conf.%U

    表示samba服务器读取/etc/samba/smb.conf.%U文件，其中%U代表当前登录用户。命名规范与独立配置文件匹配哈~

    3）编辑smb.conf.boss独立配置文件

    编辑boss帐号的独立配置文件smb.conf.boss，将tech目录里面的browseable = no删除，这样当boss帐号访问samba时，tech共享目录对boss帐号访问就是可见滴，这样主配置文件smb.conf和boss帐号的独立配 置文件相搭配就有实现其他用户访问时tech共享目录是隐藏滴，而boss帐号访问时就是可见滴。

    4）重新启动samba服务：service smb restart

    5）测试效果哈~

    现在我们以普通用户redking帐号登录samba服务器哈~~~

    发现以zp帐号登录samba看不到tech共享目录哈~~证明tech共享目录对除boss帐号以外的人是隐藏共享滴。

    现在我们以boss帐号登录来看看哈~~

    我们发现以boss帐号登录之后，tech共享目录自动显示了哈~~~

    这样以独立配置文件的方法来实现隐藏共享对不同帐号的可见性非常方便哈~

    注意：目录隐藏了并不是说不共享了，只要知道共享名，并且有相应权限，还是可以访问滴，就像上面演示的一样，可以输入“\\IP地址\共享名”的方法就可以访问隐藏共享了。

转载出处：http://hi.baidu.com/xfenoo/item/94b8e34385c8edec1f19bc7c