SAMBA 讓Unix與Windows輕鬆共用(1)

【賽迪網-IT技術報道】服務 資訊塊SMB（Server Message
Block）協議是一個高層協議，提供了在網路上的不同電腦之間共用檔案、印表機和不同通訊資料的手段。SMB使用NetBIOS
API實現連線導向的協議，該協議為Windows客戶程式和服務提供了一個通過虛電路方式進行通訊的機制，是SAMBA的核心。安裝了SAMBA後，就
可以直接方便地在Unix和Windows之間共用資源，免去了從前必須使用FTP的麻煩。

SAMBA的核心是兩個守護進程smbd和nmbd程式，伺服器啟動到停止期間持續運行。smbd監聽139TCP連接埠；nmbd監聽137和138UDP連接埠。

不可忽視的安全配置

儘管SAMBA使我們在Windows和Unix的區域網路內可以共用檔案，使 Unix系統就像一台網路PC或者Windows
PC，抑或LAN內別的Windows電腦一樣“溫順”好用，提供的服務功能強，操作簡單；並且使Unix系統存取Windows硬碟，直接mount

Windows目錄的使用更容易，就像使用本地檔案一樣方便。但是，如果我們對SAMBA的配置不合理、不科學的話，那麼系統的安全就無從談起，駭客如入
無人境地。

1.SAMBA的安全等級

SAMBA有四種安全等級，可以使用security參數進行指定。分別是：

share：使用者不要帳號及密碼即可登入SAMBA伺服器。

user：由提供服務的SAMBA伺服器負責檢查賬戶及密碼（是SAMBA預設的安全等級）。

server：檢查賬戶及密碼的工作指定由另一台Windows NT/2000或SAMBA伺服器負責。

domain：指定Windows NT/2000域控制伺服器來驗證使用者的賬戶及密碼。

2.安全全域參數

SAMBA的安全在作業系統高度安全的保障下，其自身的安全一般情況下主要依賴於smb.conf檔案的正確配置與否。表1為smb.conf檔案中常用的安全全域參數。

表　1

3.SAMBA的許可權和檔案屬主

SAMBA使用權限設定和檔案屬性的正確設定是保障安全的前提。為了安全起見，設定
SAMBA密碼檔案和目錄許可權為root，去掉smbpasswd檔案中一些無shell的帳號，SAMBA屬性應設為500，smbpasswd屬性應
設為600。我們可以進行如下操作，查看檔案和進行相關的設定：

(1)檢查許可權和檔案屬性

//檢查SAMBA檔案

[root@ora9 root]# ll -d /etc/samba

drwxr—xr—x 2 root root 4096 Sep 16 2004 /etc/samba

//檢查MSBPASSWD檔案

[root@ora9 root]# ll /etc/samba/smbpasswd

—rw——- 1 root root 105 Sep 16 2004 /etc/samba/smbpasswd

(2)檢查設定檔的正確性

輸入如下命令將顯示使用者的配置和所有的預設配置：

[root@ora9 root]# testparm Load smb config files from /etc/samba/smb.conf Processing section "[homes]" Processing section "[printers]" Processing section "[homepage]" Loaded services file OK. Press enter to see a dump of your service definitions