一、实验环境的搭建
1、两台主机
分别设置其ip
storage ip 172.25.254.107
bbb ip 172.25.254.207
2、配置软件仓库
两台虚拟机均使用本机的软件仓库(网络仓库)
3、测试
(1)、查看两台主机ip
(2)、测试软件仓库是否配置成功
若未罗列成功则需检查真机火墙是否关闭
二、网络文件系统对于企业的意义
网络文件系统是应用层的一种应用服务,它主要应用于Linux 和Linux 系统、Linux 和Unix系统之间的文件或目录的共享。对于用户而言可以通过 NFS 方便的访问远地的文件系统,使之成为本地文件系统的一部分。采用NFS 之后省去了登录的过程,方便了用户访问系统资源。
三、网络文件系统的文件共享
操作系统:Windows,Linux,Unix
1、Windows
2、Linux
四、Samba
SMB(全称是Server Message Block)是一个协议名,它能被用于Web连接和客户端与服务器之间的信息沟通。SMB最初是IBM的贝瑞·费根鲍姆(Barry Feigenbaum)研制的,其目的是将DOS操作系统中的本地文件接口“中断13”改造为网络文件系统。但是,SMB协议中采用控制文件安全传输的机制是使用客户身份验证的方式,该方式通过客户端向服务器端发送验证密码来获取文件传输的权限,不过针对该机制的网络攻击相对严重,攻击程序通过对验证密码的截获来窃取文件的访问权限,局域网下文件传输的安全性得不到保障。
smb:
cifs:
smb由Sun和微软共同开发的。
1、samba的安装和启用
(1)、安装
搜索smaba安装包,分别安装其服务主体,服务用到的配置文件和samba服务客户端
(2)、启用
设置samba服务为开机启动,将其添加到火墙设置中,并重启火墙
(3)、测试
smbclient -L //172.25.254.107
未设置密码直接回车即可查看详细信息
2、samba的基本信息
| 属性 | 内容 |
|---|---|
| 服务启动脚本 | smb.service |
| 主配置目录 | /etc/samba |
| 主配置文件 | /etc/smb.conf |
| 安全上下文 | samba_share_t |
| 端口 | 139,445 |
| 安装包 | samba samba_common |
3、smaba用户的建立
(1)、smaba用户必须是真实存在的用户
(2)、smaba用户的建立
smbpasswd -a user #添加用户
pdbedit -L #查看用户列表
pdbedit -x user #删除用户
smbclient -L //ip -U user #查看smb用户信息
smb用户必须是系统中已经存在的用户,否则无法建立。以下为两种用户建立方式
useradd user
useradd -s /sbin/nologin user -M #添加无shell用户
查看smb用户列表,删除用户jobbin,再次查看列表,删除jobbin成功
登陆smb用户,出现此类报错为密码输入有误
再次登陆,密码正确,登陆成功。
4、samba文件的共享
(1)、创建共享目录/bing_share
创建共享目录/bing_share并查看其权限,编辑samba主配置文件,将共享目录信息写在主配置文件最下方,编辑完成后重启smb服务。
| 序号 | 意义 |
|---|---|
| 1 | 共享名称 |
| 2 | 共享说明 |
| 3 | 指定共享的本机目录 |
(2)、查看目录
smbclient -L //172.25.254.107 -U bing
(3)、在共享目录下创建新的文件
在共享目录下创建新的文件,访问共享目录,可以访问但不能看到目录下的新建文件
(4)、测试
修改共享文件的安全上下文,测试,能够浏览到共享目录下的所有文件
5、samba系统目录的共享
(1)、编辑主配置文件
编辑主配置文件,重启服务
(2)、测试
查看bing用户的smb登陆内容,发现可以看到/etc的内容,目录共享成功
6、samba的访问控制
| 访问参数 | 意义 |
|---|---|
| hosts allow = xxx | 允许访问的用户 |
| hosts deny = xxx | 拒绝访问的用户 |
(1)、编辑配置文件允许207访问
允许207访问,则会拒绝76的访问
两者都允许,两个ip中用空格隔开
76也允许访问
拒绝207访问
207访问失败
7、samba的常用配置参数
| 配置参数 | 意义 |
|---|---|
| browseable = yes/no | 是否隐藏共享 |
| valid users = xxx | 指定访问用户 |
| valid users = +/@xxx | 指定访问组 |
| writeable = yes | 可写 |
| write list = xxx | 指定用户可写 |
| write list = +/@xxx | 指定组可写 |
| map to guest = bad user | 写到去全局设定中 |
| guest ok = yes | 允许匿名用户访问 |
| admin users = xxx | 指定此共享的超级用户身份 |
(1)、显示共享文件
可以看到共享文件
(2)、允许访问
允许访问bing_share共享文件的用户只有bing
bing用户可以登陆看到bing_share中的文件
(3)、测试
bing用户组都可以登陆看到bing_share中的文件
westos用户无法看到共享目录,bing用户可以
(4)、写的权限
更改共享文件权限
将共享目录在客户端中挂载
在主配置文件中编辑用户可写的权限,重启服务
(5)、匿名用户的登陆
未指定用户表明使用匿名用户访问
访问失败,需要进行权限授予
编辑主配置文件,重启服务
登陆成功
8、在客户端实现自动挂载和卸载
(1)、自动挂载软件安装
(2)、编辑配置文件
| 序号 | 意义 |
|---|---|
| 1 | 最终挂载点的上层目录 |
| 2 | 自动挂载子策略文件 |
(3)、编辑自动挂载子策略文件
| 序号 | 意义 |
|---|---|
| 1 | 最终挂点 |
| 2 | 挂载参数 |
| 3 | 挂载资源 |
(4)、测试
df查看挂载的目录,不存在172.25.254.107/bing_share
进入目录/westos/samba
df查看挂载的目录,挂载成功
默认等待时间为300s,为提高效率,修改文件/etc/autofs.conf
将挂载和卸载间隔时间为5秒
9、多用户挂载
将samba中的共享目录挂载在/mnt/目录下
不论是超级用户还是普通用户都能看到挂载目录下的文件,这显然时不安全的现象
修正:
在客户端:
(1)、安装软件
(2)、编辑用户信息文件
编辑用户信息文件/etc/smbpass,并修改其权限
(3)、挂载文件至/mnt/并设置其挂载方式
| 内容 | 意义 |
|---|---|
| credentials = | 指定认证文件 |
| multiuser = | 支持多用户 |
| sec = | 指定认证类型 |
(4)、测试
切换至普通用户
密码输入错误时,不能看到挂载目录下的内容
密码输入正确,则会浏览到挂载目录下文件
