【賽迪網-IT技術報道】服務 資訊塊SMB(Server Message
Block)協議是一個高層協議,提供了在網路上的不同電腦之間共用檔案、印表機和不同通訊資料的手段。SMB使用NetBIOS
API實現連線導向的協議,該協議為Windows客戶程式和服務提供了一個通過虛電路方式進行通訊的機制,是SAMBA的核心。安裝了SAMBA後,就
可以直接方便地在Unix和Windows之間共用資源,免去了從前必須使用FTP的麻煩。
SAMBA的核心是兩個守護進程smbd和nmbd程式,伺服器啟動到停止期間持續運行。smbd監聽139TCP連接埠;nmbd監聽137和138UDP連接埠。
不可忽視的安全配置
儘管SAMBA使我們在Windows和Unix的區域網路內可以共用檔案,使 Unix系統就像一台網路PC或者Windows
PC,抑或LAN內別的Windows電腦一樣“溫順”好用,提供的服務功能強,操作簡單;並且使Unix系統存取Windows硬碟,直接mount
Windows目錄的使用更容易,就像使用本地檔案一樣方便。但是,如果我們對SAMBA的配置不合理、不科學的話,那麼系統的安全就無從談起,駭客如入
無人境地。
1.SAMBA的安全等級
SAMBA有四種安全等級,可以使用security參數進行指定。分別是:
share:使用者不要帳號及密碼即可登入SAMBA伺服器。
user:由提供服務的SAMBA伺服器負責檢查賬戶及密碼(是SAMBA預設的安全等級)。
server:檢查賬戶及密碼的工作指定由另一台Windows NT/2000或SAMBA伺服器負責。
domain:指定Windows NT/2000域控制伺服器來驗證使用者的賬戶及密碼。
2.安全全域參數
SAMBA的安全在作業系統高度安全的保障下,其自身的安全一般情況下主要依賴於smb.conf檔案的正確配置與否。表1為smb.conf檔案中常用的安全全域參數。
表 1
3.SAMBA的許可權和檔案屬主
SAMBA使用權限設定和檔案屬性的正確設定是保障安全的前提。為了安全起見,設定
SAMBA密碼檔案和目錄許可權為root,去掉smbpasswd檔案中一些無shell的帳號,SAMBA屬性應設為500,smbpasswd屬性應
設為600。我們可以進行如下操作,查看檔案和進行相關的設定:
(1)檢查許可權和檔案屬性
//檢查SAMBA檔案
[root@ora9 root]# ll -d /etc/samba
drwxr—xr—x 2 root root 4096 Sep 16 2004 /etc/samba
//檢查MSBPASSWD檔案
[root@ora9 root]# ll /etc/samba/smbpasswd
—rw——- 1 root root 105 Sep 16 2004 /etc/samba/smbpasswd
(2)檢查設定檔的正確性
輸入如下命令將顯示使用者的配置和所有的預設配置:
[root@ora9 root]# testparm Load smb config files from /etc/samba/smb.conf Processing section "[homes]" Processing section "[printers]" Processing section "[homepage]" Loaded services file OK. Press enter to see a dump of your service definitions |