CentOS5.5下Samba安全进阶（安全）

 一、前言

相信能看到这里的各位至少对samba服务的正常搭建已经很熟悉了，下面则开始侧重于安全的讲解samba服务。

二、 用户映射

用户映射在企业用的比较广，你需要一个samba共享，却不想别人使用你的系统用户时则可以使用到用户映射，使用用户映射能有效提高服务器的安全性。

在103行添加:username map = /etc/samba/smbusers

    然后配置和之前的普通用户一样。

保存并退出。

#vi /etc/samba/smbusers

你可以看到有一行是#号注释了，另外两行是默认的映射用户，那两行可以删除掉，然后添加上自己所要映射的用户。

如：

aiy = ai

保存并退出

上面aiy = ai，则是把aiy这个系统用户映射成为ai，其他计算机能用ai访问samba服务，却不能用于访问其他服务，因为这个用户是虚拟出来的不是真实有效的。

然后我们重启一下samba服务

#service smb restart

在客户端里面测试，只要能有ai用户访问即可，当然映射用户前提下你的系统用户是samba用户。

三、 访问限制

如果不想要某而些网络或者某些主机访问你的samba服务器的时候可以用到这个。

#vi /etc/samba/smb.conf

找到大概79行的位置

； hosts allow = 127. 192.168.12. 192.168.13.

把；去掉然后把后面的改为你想禁止访问的主机ip或者网段即可。

因为； #这两个符号都是注释的意思，注释的语句是无法生效的。

比如我们只想禁止192.168.20.0网段以及192.168.30.100ip。

Hosts allow = 192.168.20. 192.168.30.100 这样即可。

然后保存并退出

如果要测试是否能通则可以通过配置路由器或者给网卡再配置一个ip来进行测试。

四、 隐藏目录

如果我们想专门就给一个用户能够看到他的目录，其他用户无法看到那个目录的话，那么我们则可以用到给那个用户单独配置一个配置文件来达到这个功能。

例：两个用户，aiy、abc，aiy用户能够看到/etc/aiy目录，而abc则不能看到

#vi /etc/samba/smb.conf

大概57行位置添加：

#=====Global settings=====

[global]

添加： config file = /etc/smb/samba.conf.%U

然后最后一行添加：

[aiy]

Path = /etc/aiy

Write list = aiy,@aiy

browseable = no

保存并退出

#cp –p /etc/samba/smb.conf /etc/samba/smb.conf.aiy

vi /etc/samba/smb.conf.aiy

最后一行做一些修改，把browseable = no改为browseable=yes即可

五、 Samba日志

Samba日志存放的位置在/var/log/samba目录中，将NMB和SMB服务的运行日志分别写入nmbd.log和smbd.log两个日志文件中。

在/etc/samba/smb.conf里面的大概89行位置可以看到。

；log file = /var/log/samba/%m.log

这个注释掉的就是samba日志存储的位置。