一个不同权限层次的实例:

 

如果共享的目录不再/etc/samba/下,需要vi /etc/selinux/config 把SELINUX=enforcing改为
SELINUX=disable
重新启动linux即可。



本来使用samba没有太大的要求,就是方便windows下能共享linux下的代码,好利用sourceinsight来编辑源代码,在linux编 译。可前不久发现自己的共享目录里多了好多东西,查看log文件才知道好多人在我的共享目录里进进出出。“公共厕所?,想进就进,想出就出”,于是,不得 不研究一下samba的权限管理,让共享即方便自己,也安全自己。

之前我是把每个目录允许guest访问,并将guest设置成我的linux登陆用户,并开启可写,因为我要在windows下对linux下的文件进行编辑,这样一来,共享目录权限完全开启,十分危险。

以下是一个linux下samba服务器的搭建实例,对理解samba的配置有很好的帮助。做点补充:
1.介绍的方法主要是命令行设置和对samba脚本进行配置,一些图形化的软件也可以实现类似功能。
2.测试smb.conf的命令为testparm
3.设置读写权限的一个简便方法是在每个目录配置中添加write list 和read list,如:
[home]
path =/home
comment = ....
write list = user1
read list = user1 user2
当然前提是要有user1,user2
4.linux中用smbclient登陆和windows中输入路径\\ip\path来登录有些不一样,我在这里绕了好久。windows中好像一次 登录后就记录了用户名和密码,好像就不能改了,除非关机重启(这个现象我也不明白为什么,希望大牛们能指点一二),
比如:有两个共享目录dir1,dir2.而dir1设置成只允许user1登录,dir2只允许user2登录;我现在用user1来登录dir1,再 登陆dir2就不成功了,重启用user2登录dir2可以,再登陆dir1就不行了,不知能否是一个bug还是可以设置?


5.smbclient,smbtree,smbstatus等一些小工具也是挺好用的,哈哈。
6.还有很多具体的设置可以man,默认的conf里都有注释的,也很值得一看,当然,中文的资料网上也很多很全。

好了,下面就是网上的一个使用实例。




我们今天要实现的环境是,假如公司有财务,技术,领导3个部门,我们分别为3个部门建立3个用户组为caiwu,network,lingdao;

三个部门里各有2个用户,我们建用户分别为caiwu01,caiwu02,network01,network02,lingdao01,lingdao02

然后我们分别就公司的具体情况建立相应的目录及访问权限,通过以下的例子,希望大家能在平时的工作中灵活的应用samba的安全权限来设置你们的samba文件服务器。

1、首先服务器采用用户验证的方式,每个用户可以访问自己的宿主目录,并且只有该用户能访问宿主目录,并具有完全的权限,而其他人不能看到你的宿主目录。

2、建立一个caiwu的文件夹,希望caiwu组和lingdao组的人能看到,network02也可以访问,但只有caiwu01有写的权限。

3、建立一个lindao的目录,只有领导组的人可以访问并读写,还有network02也可以访问,但外人看不到那个目录

4、建立一个文件交换目录exchange,所有人都能读写,包括guest用户,但每个人不能删除别人的文件。

5、建立一个公共的只读文件夹public,所有人只读这个文件夹的内容。

好,我们先来前期的工作

建立3个组:

#groupadd caiwu

#groupadd network

#groupadd lingdao

添加用户并加入相关的组当中:

#useradd caiwu01 -g caiwu

#useradd caiwu02 -g caiwu

#useradd network01 -g network

#useradd network02 -g network

#useradd lingdao01 -g lingdao

#useradd lingdao02 -g lingdao

然后我们使用smbpasswd -a caiwu01的命令为6个帐户分别添加到samba用户中

#mkdir /home/samba

#mkdir /home/samba/caiwu

#mkdir /home/samba/lingdao

#mkdir /home/samba/exchange

#mkdir /home/samba/public

我们为了避免麻烦可以在这里把上面所有的文件夹的权限都设置成777,我们通过samba灵活的权限管理来设置上面的5点要求。

以下是我的smb.conf的配置文件

[global]

workgroup = bmit

#我的网络工作组

server string = Frank's Samba File Server

#我的服务器名描述

security = user

#使用用户验证机制

encrypt passwords = yes

smb passwd file = /etc/samba/smbpasswd

#使用加密密码机制,在win95和winnt使用的是明文

其他的基本上可以按照默认的来。

[homes]

comment = Home Directories

browseable = no

writable = yes

valid users = %S

create mode = 0664

directory mode = 0775

#homes段满足第1条件

[caiwu]

comment = caiwu

path = /home/samba/caiwu

public = no

valid users = @caiwu,@lingdao,network02

write list = caiwu01

printable = no

#caiwu段满足我们的第2要求

[lingdao]

comment = lingdao

path = /home/samba/lingdao

public = no

browseable = no

valid users = @lingdao,network02

printable = no

#lingdao段能满足我们的第3要求

[exchage]

comment = Exchange File Directory

path = /home/samba/exchange

public = yes

writable = yes
#exchange段基本能满足我们的第4要求,但不能满足每个人不能删除别人的文件这个条件,即使里设置了mask也是没用,其实这个条件只要unix设置一个粘着位就行

chmod -R 1777 /home/samba/exchange

注意这里权限是1777,类似的系统目录/tmp也具有相同的权限,这个权限能实现每个人能自由写文件,但不能删除别人的文件这个要求

[public]

comment = Read Only Public

path = /home/samba/public

public = yes

read only = yes

#这个public段能满足我们的第5要求。

到此为止我们的设置已经能实现我们的共享文件要求,记得重启服务哦

#/etc/rc.d/init.d/smb restart

如果大家没有winodws,不妨先用samba的cilent端命令来测试一下

命令的用法我在这里只举几个例子,具体的大家去试验

smbclient -L 服务器ip -N

guest帐户查询你的服务器的samba共享情况,你可以检验一下是否lingdao目录时候能被guest帐户看到,应该是看不到的,当然你也可以以某个用户的名义查看

smbclient -L 服务器ip -U caiwu01

系统会提示密码,只要输入smb密码就行。

smbclient //服务器ip/caiwu -U caiwu01

#以caiwu01用户的名义登录caiwu目录

smbmount //服务器ip/caiwu /mnt/caiwu -o username=caiwu01

#把服务器的财务目录映射到本地的/mnt/caiwu目录。

 

===========================================================================================================

 

使用IP地址进行限制
比如公司内部samba服务器上共享了一个目录sales,这个目录是存放销售部的共享目录,公司规定192.168.0.0/24这个网段的IP地址禁止访问此sales共享目录,但是其中192.168.0.24这个IP地址可以访问。
先将安全级别模式由user改为share


这里我们添加hosts deny和hosts allow字段
hosts deny = 192.168.0. 表示禁止所有来自192.168.0.0/24网段的IP地址访问
hosts allow = 192.168.0.24 表示允许192.168.0.24这个IP地址访问
当host deny和hosts allow字段同时出现并定义滴内容相互冲突时,hosts allow优先。现在设置的意思就是禁止C类地址192.168.0.0/24网段主机访问,但是允许192.168.0.24主机访问。


测试下效果,如果是192.168.0.24的客户端就可以正常访问


如果是其他客户端滴话就是这样的效果


如果想同时禁止多个网段滴IP地址访问此服务器可以这样设置
hosts deny = 192.168.1. 172.16. 表示拒绝所有192.168.1.0网段和172.16.0.0网段的IP地址访问sales这个共享目录。
hosts allow = 10. 表示允许10.0.0.0网段的IP地址访问sales这个共享目录。
注意:当需要输入多个网段IP地址的时候,需要使用“空格”符号隔开。

 

============================================================================================

句句分析:

Samba是一款Linux下功能非常强大的文件共享服务器软件,但对于DD-WRT来说,设置相对不方便,因为Linux下的一些权限配置命令在DD-WRT下面是没有的,因此我们必须用别的方法来首先实现DD-WRT下的权限分配,进而为Samba的配置铺设好道路。
1、在DD-WRT中,我们可以发现组和用户的管理文件存放在/etc/目录中,分别为group(组)和passwd(用户)这两个文件,大家可以通过winscp进入并打开这两个文件,首先我们先来看看passwd文件中一个用户的构成,我们可以发现类似root:bJz7PcC1rCRJQ:0:0:Root User,,,:/tmp/root:/bin/sh格式,这是用来验证用户登陆的文件,格式为longname:password:UID:GID:userinfo:path:shell,每行的前两项为登陆时的用户名及密码,UID和GID则是来定位用户的身份和属于某个组,这些都是于0~65575的整数值来组成,一般linux会把500以前的数值留给root、bin、nobody、guest等等,root值为0,代表拥有最高管理权限,而我们新建的用户或组可以从500开始设定,userinfo是用户的一些说明信息可以不设定,而path是用户对应的物理路径及目录,shell则是用户是否具有对某个命令的执行能力,若无一般以/bin/sh来结束。我们再来看看group用户,DD-WRT中可见为root:x:0:格式,root为组名、x处为密码设置处,无密码为x,当然passwd中用户如无密码也可以用x来代替,0为GID这里对应passwd中的GID,就可以把某个用户归到某个组中去了。DD-WRT因为重启会对group和passwd两个文件进行初始化,为了保证重启后用户和组不丢失,我们要自己新建一个脚本,并放入startup中去运行,新建用户和组的方法见如下:
grep -q guest /etc/group || echo "guest:x:500:" >> /etc/group
grep -q scj /etc/passwd || echo "scj:bJz7PcC1rCRJQ:0:0:Root User,,,:/mmc/tv:/bin/sh" >> /etc/passwd
grep -q swc /etc/passwd || echo "swc:x:500:500:Guset,,,:/mmc/swc:/bin/sh" >> /etc/passwd
这是实例,大家可自行修改,大家还可以用winscp进入把目录设为某个组和某个用户所拥有,并设置权限,也可以直接用chgrp指令去设置,DD-WRT的权限基本上就搞定了。
2、Samba的权限设置。要设置Samba的权限,必须首先明白几个点,Samba中的用户必须是DD-WRT中已经存在的,这样方能有效、Samba的用户和密码被存放在/opt/etc/samba/目录下的smbpasswd文件中,如无此文件可自行新建,新建samba用户时,应当用/opt/smbpasswd -a XXX(某个DD-WRT中已经存在的用户名),这时系统会提示您输入设置密码,两次的密码应一致,这样就可以创建好一个samba用户了。用户新建完成后,就可以配置smb.conf文件,samba的配置命令很多,大家可到网是自行检阅,本人能力有限,不能一一介绍,下面以我的实例来介绍:
[global]
workgroup = SCJ 这个参数用来指定samba所要加入的工作组。

server string = WRT54G 这个参数指定在浏览列表里的机器描述,也就慢共享的机器名称。

netbios name = WRT54G 在其他的机器中声明的本机器的名称。

interfaces = 10.35.85.1/24 这里配置您的网络接口。

guest account = root 这个参数指定guest级帐户的用户名,可以是nobody、ftp,guest级别的用户可以不要密码就访问给定的guest服务。

security = user 这是个重要的安全配置参数,有4个值,分别是share、user、server和domain,定义了samba的基本安全级,通常是 user,share安全性最低,无需密码就可访问,user则需要密码验证。

socket options = TCP_NODELAY IPTOS_LOWDELAY SO_KEEPALIVE

browseable = yes 设为可见。

username map = /opt/etc/samba/smbusers

null passwords = yes 密码可为空密码,(新建无密码用户时,具体格式为/opt/bin/smbpasswd -a XXX(您的用户名) -n)。

encrypt passwords = yes 可以发送Win95,Win98和 WinNT所认识的加密密码。

smb passed file = /opt/etc/samba/smbpasswd 存放samba用户名和密码的文件。

preserve case = yes

short preserve case = yes

os level = 255

[?????。] 这里设置为windows中可以看到的中文名,具体怎么搞自己动脑子想想喔,呵呵……
comment = Swc Files
path = /mmc/swc
only guest = no
public = no
browseable = yes
write list = @guest 定义某些组可写

[?佃 ???]
comment = Watch TV
path = /mmc/tv
only guest = no
public = yes
browseable = yes
writable = yes
invalid users = swc 定义某个用户无效

好了,samba配置说到这里,有些命令大家自己到网上去找找,自己摸索。只要按照上面的方法,就可以为您的共享加密码了,大家就不用担心共享资料被人看到或随意修改了。

http://www.xjnzy.edu.cn/rjxy/linux/xh/200808/1181.html

熟悉Linux的用户可能常常在Linux上安装Samba服务来实现与Windows系统的文件共享和打印机共享,他们之间的数据传输使用SMB(Service Message Block)协议.这是一个在传输层之上的协议,所以他可以支持很多不同异构系统的网络互联(比如,Linux,Solaris,Windows等),Samba之所以能够工作,因为SMB协议模仿了Windows内核的文件和打印共享协议。微软已经将SMB改名为公共因特网文件系统(CIFS,Common Internet File System ),并打算把它设计为Internet的标准协议。这在一定程度上是由于它想与最初的基于NetBIOS的SMB保持一定的距离。NetBIOS是Windows 网络的一个伟大的工具,Microsoft使用NetBIOS实现了一个网络文件/打印服务系统,但是为LAN设计的它却注定了不能路由。 Samba执行了SMB/CIFS的一个版本,这个版本在很大程度上与大多数的Windows版本兼容。我们可以通过Windows的网络邻居来轻松访问安装了Samba的UNIX/LINUX服务器。

1.安装centos时在防火墙中开启文件共享服务,并选择安装文件共享服务器

2.启动 Samba 服务。
# chkconfig smb on  ← 设置 Samba 自启动
# service smb start ← 启动Samba服务
Starting SMB services:       [ OK ]
Starting NMB services:       [ OK ]

# smbpasswd -a root  ← 将系统用户 root 加入到 Samba 用户数据库
New SMB password:  ← 输入该用户用于登录 Samba 的密码
Retype new SMB password:  ← 再次确认输入该密码
Added user centospub.


3.配置Samba
通过编辑 /etc/samba/smb.conf 让将要被共享的目录拥有充分的读写权限属性。

在smb.conf文件最后加入下面内容

[all file]
comment = centos all file
path = /
valid users = root
public = no
writable = yes
printable = no
create mask = 0777
directory mask = 0777

# [all file] 是共享名
#comment = centos all file是注释
# path = / 分享资源的完整路径名称,除了路径要正确外,目录的权限也要设对,我设置了共享/所有文件
#valid users = root valid users 说明:指定共享资源的有效用户,即允许访问该资源的用户
# public = no 设置public=no 表示在网上邻居看见但不能进入
# writable = yes writable = yes表示可写,writable = no表示只读
# printable-------是yes/否no允许打印
#create mask-----建立文件时所给的权限
#directory mask--建立目录时所给的权限

修改完smb.conf文件后一定要重启sam服务

# servcie smb restart ---重启smb服务

以上是我开启samba服务的过程

4、访问共享资源
在windows的桌面上打开“网上邻居”,并点击“查看工作组计算机”选项;
就出现 Samba 服务端的连接了,用户和密码就是你设置的。

============================================================
smb.conf手册

服务名:smb
配置目录:/etc/sabma/
主配置文件:/etc/sabma/smb.conf

#====================== Global Settings =====================
17行workgroup
语法 workgtoup = <工作组群>;
预设 workgroup = MYGROUP
说明 设定 Samba Server 的工作组
例 workgroup = workgroup 和WIN2000S设为一个组,可在网上邻居可中看到共享

21行server string
语法 server string = <说明>;
预设 sarver string = Samba Server
说明 设定 Samba Server 的注释
其他 支持变量 t%-访问时间 I%-客户端IP m%-客户端主机名 M%-客户端域名 S%-客户端用户名
例 server string = this is a Samba Server 设定出现在Windows网上邻居的 Samba Server 注释为 this is a Samba Server

28行hosts allow
语法 hosts aoolw = <IP地址>; ...
预设 ; host allow = 192.168.1. 192.168.2. 127.
说明 限制允许连接到 Samba Server 的机器,多个参数以空格隔开。表示方法可以为
完整的IP地址,如 192.168.0.1
网段,如 192.168.0.
例 hosts allow = 192.168.1. 192.168.0.1 表示允许192.168.1 网段的机器 网址为192.168.0.1 的机器 连接到自己的samba server

32行printcap name
语法 printcap name = <打印机配置文件>;
预设 printcap name = /etc/printcap
说明 设定 samba srever 打印机的配置文件
例 printcap name = /etc/printcap 设定 samba srever 参考 /etc/printcap 档的打印机设定

33行load printers
语法 load printers = <yes/no>;
预设 load printers = yes
说明 是否在开启 samba server 时即共享打印机

38行printing
语法 printing = <打印机类型>;
预设 printing = lprng
说明 设定 samba server 打印机所使用的类型,37行为目前所支持的类型

42行guest account
语法 guert account = <帐户名称>;
预设 guert account = pcguest
说明 设定访问 samba server 的来宾帐户(即访问时不用输入用户名和密码的帐户),若设为pcguest的话则为默认为"nobody"用户
例 guert account = andy 设定设定访问 samba server 的来宾帐户以andy用户登陆,则此登陆帐户享有andy用户的所有权限

46行log file
语法 log file = <日志文件>;
预设 log file = /var/log/samba/%m.log
说明 设定 samba server 日志文件的储存位置和文件名(%m代表客户端主机名)

49行max log size
语法 max log size = <??KB>;
预设 max log size = 0
说明 设定日子文件的最大容量,单位KB 这里的预设值0代表不做限制

53行security
语法 security = <等级>;
预设 security = user
说明 设定访问 samba server 的安全级别 共有四种
share---不需要提供用户名和密码
user----需要提供用户名和密码,而且身份验证由 samba server 负责
server--需要提供用户名和密码,可指定其他机器(winNT/2000/XP)或另一台 samba server作身份验证
domain--需要提供用户名和密码,指定winNT/2000/XP域服务器作身份验证

60行password server
语法 password server = <IP地址/主机名>;
预设 password server = <NT-Server-Name>;
说明 指定某台服务器(包括windows 和 linux)的密码,作为用户登入时验证的密码
其他 此项需配合 security = server时,才可设定本参数

64行password level

65行username level
语法 password level = <位数>;
username level = <位数>;
预设 password level = 8
username level = 8
说明 设定用户名和密码的位数,预设为8位字符

70行encrypt passwords
语法 encrypt passwords = <yes/no>;
预设 encrypt passwords = yse
说明 设定是否对samba的密码加密

71行smb passwd file
语法 smb passwd file = <密码文件>;
预设 smb passwd file = /etc/samba/smbpasswd
说明 设定samba的密码文件

130行local master
语法 local master = <yes/no>;
预设 local master = no
说明 设定 samba server 是否要担当LMB角色(LMB负责收集本地网络的Browse List资源),通常无特殊原因设为no

134行os level = 33
语法 os level = <数字>;
预设 os level = 33
说明 设定 samba server的os level. os level从 0 到 255 . winNT的os level为33, win95/98的os level 是 1 .
若要拿samba server 当LMB或DMB则它的os level至少要大于NT的33以上

139行domain master
语法 domain master = <yes/no>;
预设 domain master = yes
说明 设定 samba server 是否要担当DMB角色(DMB会负责收集其他子网的Browse List资源),通常无特殊原因设为no

143行preferred master
语法 preferred master = <yes/no>;
预设 preferred master = yes
说明 设定 samba server 是否要担当PDC角色(PDC会负责追踪网络帐户进行的一切变更),通常无特殊原因设为no.
(同一网段不可有两个PDC,他们会每5分钟抢主控权一次)

163行wins support
语法 wins support = <yes/no>;
预设 wins support = yes
说明 设定samba server 是否想网络提供WINS服务,通常无特殊原因设为no.
除非所处网络上没有主机提供WINS服务且需要此台samba server提供WINS服务是才设yes
其他 wins support 和 wins server 只能选择一个

167行wins server
语法 wins server = <IP地址>;
预设 wins server = w.x.y.z
说明 设定samba server 是否要使用别台主机提供的WINS服务.通常无特殊原因设为no.除非所处网络上有一台主机提供WINS服务才要设yes
其他 wins support 和 wins server
例 wins server = 192.168.0.1 表示samba server要使用192.168.0.1提供的WINS服务

#=============Share Definitions ================

[homes]
comment = Home Directories
browseable = no
writable = yes
valid users = %S

使用者本身的"家"目录,当使用者以samba使用者身份登入samba server 后,
samba server 底下会看到自己的家目录,目录名称是使用者自己的帐号

[分享的资源名称]
<指令1>; = (参数)
<指令2>; = (参数)
..........................

要提供分享资源时,须先把欲分享的资源以 [ ] 符号括住,底下通常会带指令和参数来表示此资源的设定和存取权限等,详情如下

comment---------注释说明
path------------分享资源的完整路径名称,除了路径要正确外,目录的权限也要设对
browseable------是yes/否no在浏览资源中显示共享目录,若为否则必须指定共享路径才能存取
printable-------是yes/否no允许打印
hide dot ftles--是yes/否no隐藏隐藏文件
public----------是yes/否no公开共享,若为否则进行身份验证(只有当security = share 时此项才起作用)
guest ok--------是yes/否no公开共享,若为否则进行身份验证(只有当security = share 时此项才起作用)
read only-------是yes/否no以只读方式共享当与writable发生冲突时也writable为准
writable--------是yes/否no不以只读方式共享当与read only发生冲突时,无视read only
vaild users-----设定只有此名单内的用户才能访问共享资源(拒绝优先)(用户名/@组名)
invalid users---设定只有此名单内的用户不能访问共享资源(拒绝优先)(用户名/@组名)
read list-------设定此名单内的成员为只读(用户名/@组名)
write list------若设定为只读时,则只有此设定的名单内的成员才可作写入动作(用户名/@组名)
create mask-----建立文件时所给的权限
directory mask--建立目录时所给的权限
force group-----指定存取资源时须以此设定的群组使用者进入才能存取(用户名/@组名)
force user------指定存取资源时须以此设定的使用者进入才能存取(用户名/@组名)
allow hosts-----设定只有此网段/IP的用户才能访问共享资源
allwo hosts = 网段 except IP
deny hosts------设定只有此网段/IP的用户不能访问共享资源
allow hosts=本网段指定IP指定IP
deny hosts=指定IP本网段指定IP

Logo

更多推荐