如何配置samba服务器

1、安装有关Samba的RPM包(samba、samba-common、samba-client)

2、创建Samba用户

3、修改配置文件

4、重启samba服务

5、设置目录访问权限

6、测试

具体步骤如下：

1、安装RPM包(缺省情况下RHEL5安装了samba的相关软件包，可以用如下命令查看)

[root@localhost ~]#rpm -qa | grep samba

samba -----samba服务器程序的所有文件

samba-common -----提供了Samba服务器和客户机中都必须使用的公共文件

samba-client -----提供了Samba客户机的所有文件

samba-swat -----以Web界面的形式提供了对Samba服务器的管理功能

2、创建samba用户

[root@localhost ~]#smbpasswd -a user1 （“-a”是创建samba用户，“-x”是删 [root@localhost ~]#smbpasswd -a user2 除samba用户，“-d”是禁用samba用

[root@localhost ~]#smbpasswd -a user3 户帐号，“-e”是启用samba用户帐号）

3、修改配置文件

samba配置文件的位置：/etc/samba/smbconf

[root@localhost ~]#vim /etc/samba/smbconf

Vi大开配置文件后，首先介绍一下Samba服务器的安全级别，如图所示：系统默认设置“user”

Samba服务器的安全级别分为5种，分别是user、share、server、domain和ads。在设置不同的级别时，samba服务器还会使用口令服务器和加密口令。

1、user -----客户端访问服务器时需要输入用户名和密码，通过验证后，才能使用服务器的共享资源。此级别使用加密的方式传送密码。

2、share -----客户端连接服务器时不需要输入用户名和密码

3、server -----客户端在访问时同样需要输入用户名和密码，但是，密码验证需要密码验证服务器来负责。

4、domain -----采用域控制器对用户进行身份验证

5、ads -----若samba服务器加入到Windows活动目录中，则使用ads安全级别，ads安全级别也必须指定口令服务器

共享目录的配置

[homes] -----samba用户的宿主目录

comment = Home Directories -----设置共享的说明信息

browseable = no -----目录浏览权限

writable = yes -----用户对共享目录可写

这个共享目录只有用户本身可以使用，默认情况下，用户主目录位于/home目录下，每个Linux用户有一个以用户名命名的子目录。

以下是共享打印机的设置：

[printers] -----共享打印机

comment = All Printers -----设置共享的说明信息

path = /var/spool/samba -----指定共享目录的路径

browseable = no -----目录浏览权限

guest ok = no -----允许来宾访问

writable = no -----用户对共享目录可写

printable = yes -----可以打印

以上是系统默认设置

添加自定义的共享目录：( user1对/ASUS有所有权，user2拥有只读权限，其他用户不能访问；public共享目录允许所有用户访问及上传文件)

[ASUS]

comment = user1 Directories -----设置共享的说明信息

browseable = yes -----所有samba用户都可以看到该目录

writable = yes -----用户对共享目录可写

path = /ASUS -----指定共享目录的路径

[public]

comment = all user Directories -----设置共享的说明信息

browseable = yes -----所有samba用户都可以看到该目录

writable = yes -----用户对共享目录可写

path = /public -----指定共享目录的路径

guest ok = yes -----允许来宾访问

4、修改完配置文件后需要重启samba服务

[root@localhost ~]#service smb restart

Samba服务器包括两个服务程序

2 smbd

smbd服务程序为客户机提供了服务器中共享资源的访问

2 nmbd

nmbd服务程序提供了NetBIOS主机名称的解析，为Windows网络中域或者工作组内的主机进行主机名称的解析

5、设置目录权限

[root@localhost ~]#mkdir /ASUS ------创建要共享目录

[root@localhost ~]#mkdir /public ------创建要共享的目录

[root@localhost ~]#chmod 750 /ASUS ------修改/ASUS权限（属主拥有

所有权，属组只读，其它用户不能访问）

[root@localhost ~]#chown user1 /ASUS ------将/ASUS的属主改为user1

[root@localhost ~]#groupadd ASUS ------添加ASUS组

[root@localhost ~]#usermod –G ASUS user1 ------将user1加入到ASUS组

[root@localhost ~]#usermod –G ASUS user2 ------将user2加入到ASUS组

[root@localhost ~]#chgrp ASUS /ASUS ------将/ASUS的属组改为

ASUS

[root@localhost ~]#chmod 777 /public ------给所有用户分配完全控制

权限

配置完成后，还要检查/etc/service文件中以“netbios”开头的记录，正确的文件

记录如下所示，如果这些记录前有#或没有这些记录，应手工添加，否则用户无

法访问Linux服务器上的共享资源

6、测试

找一台内网windows客户端，打开“网上邻居 ”，输入samba服务器的IP点击

“搜索”

如图所示：已经搜索到

双击打开，如图所示：提示输入用户名和密码，先来输入user1的用户名和密码

作测试。

登录成功，

打开user1的宿主目录，此目录user1是拥有所有权限的，创建一个目录测试一

下，如图所示：可以创建

Public目录是允许任何用户上传、下载及删除文件，如图所示

User1对ASUS目录拥有完全控制权限，所以user1可以在此目录下作任何操作

切换另一个用户测试，由于我们在同一台计算机上作测试，测试之前首先要清楚

计算机上的缓存，如图所示：打开 “命令提示符模式”，“net use /del ”是清

除计算机上缓存

重新打开网上邻居，找到Samba 服务器的共享资源，以user2的身份登录

以下几幅可以看到，user2对ASUS目录拥有只读权限，对public、user2目

录拥有所有权

再切换一个用户登录，记得要清除缓存哦，输入user3的用户名及密码

如图所示：user3无法访问ASUS目录

User3只对user3和public目录拥有所有权

开放NetBiOS服务(137端口)

端口说明：137端口主要用于“NetBIOS Name Service”（NetBIOS名称服务），属于 UDP端口，使用者只需要向局域网或互联网上的某台计算机的137端口发送一个请求，就可以获取该计算机的名称、注册用户名，以及是否安装主域控制器、 IIS是否正在运行等信息。

端口漏洞：因为是UDP端口，对于攻击者来说，通过发送请求很容易就获取目标计算机的相关信息，有些信息是直接可以被利用，并分析漏洞的，比如IIS服务。另外，通过捕获正在利用137端口进行通信的信息包，还可能得到目标计算机的启动和关闭的时间，这样就可以利用专门的工具来攻击。

操作建议：建议关闭该端口。

具体而言，就是说通过137端口除了该机的计算机名和注册用户名以外，还可以得到该机是否为主域控制器和主浏览器、是否作为文件服务器使用、IIS和Samba是否正在运行以及Lotus Notes是否正在运行等信息。也就是说，只要您想获得这些信息，只需向这台个人电脑的137端口发送一个请求即可。只要知道IP地址，就可以轻松做到这一点。不只是公司内部网络，还可以通过因特网得到这样的信息。

137端口为什么会把这种信息包泄漏到网络上呢？这是因为，在Windows网络通信协议 --“NetBIOS over TCP/IP（NBT）”的计算机名管理功能中使用的是137端口。

计算机名管理是指Windows网络中的电脑通过用于相互识别的名字 --NetBIOS名，获取实际的IP地址的功能。可以用两种方法使用137端口。

一种方法是，位于同一组中的电脑之间利用广播功能进行计算机名管理。电脑在起动时或者连接网络时，会向位于同组中的所有电脑询问有没有正在使用与自己相同的NetBIOS名的电脑。每台收到询问的电脑如果使用了与自己相同的NetBIOS名，就会发送通知信息包。这些通信是利用137端口进行的。

另一种方法是利用WINS（Windows因特网名称服务）管理计算机名。被称为WINS服务器的电脑有一个IP地址和NetBIOS名的对照表。 WINS客户端在系统起动时或连接网络时会将自己的NetBIOS名与IP地址发送给WINS服务器。与其他计算机通信时，会向WINS服务器发送 NetBIOS名，询问IP地址。这种方法也使用137端口。

如上所述，为了得到通信对象的IP地址，137端口就要交换很多信息包。在这些信息包中，包括有如表3所示的很多信息。利用广播管理计算机名时，会向所有电脑发送这些信息。如果使用NBT，就会在用户没有查觉的情况下，由电脑本身就会向外部散布自己的详细信息。

什么是NetBIOS及NetBIOS的作用与应用

英文原义：NetBIOS Services Protocols

中文释义：（RFC-1001，1002）网络基本输入/输出系统协议

注解：该协议是由IBM公司开发，主要用于数十台计算机的小型局域网。NetBIOS协议是一种在局域网上的程序可以使用的应用程序编程接口（API），为程序提供了请求低级服务的统一的命令集，作用是为了给局域网提供网络以及其他特殊功能，系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址，实现信息通讯，所以在局域网内部使用 NetBIOS协议可以方便地实现消息通信及资源的共享。因为它占用系统资源少、传输效率高，尤为适于由 20 到 200 台计算机组成的小型局域网。所以几乎所有的局域网都是在NetBIOS协议的基础上工作的。

应 用：在Windows操作系统中，默认情况下在安装TCP/IP协议后会自动安装NetBIOS。比如在Windows 2000/XP中，当选择“自动获得IP”后会启用DHCP服务器，从该服务器使用NetBIOS设置；如果使用静态IP地址或DHCP服务器不提供 NetBIOS设置，则启用TCP/IP上的NetBIOS。具体的设置方法如下：首先打开“控制面板”，双击“网络连接”图标，打开本地连接属性。接着，在属性窗口的“常规”选项卡中选择“Internet协议（TCP/IP）”，单击“属性”按钮。然后在打开的窗口中，单击“高级”按钮；在“高级 TCP/IP设置”窗口中选择“WINS”选项卡，在“NetBIOS设置”区域中就可以相应的NetBIOS设置。

因NETBIOS给用户带来的潜在危害

当安装TCP/IP协 议时，NetBIOS 也被Windows作为默认设置载入，我们的计算机也具有了NetBIOS本身的开放性。某些别有用心的人就利用这个功能来攻击服务器，使管理员不能放心使用文件和打印机共享。

利用NETBIOS漏洞进行攻击的端口分别为：

135端口开放实际上是一个WINNT漏洞，开放的135的端口情况容易引起自外部的 “Snork”攻击！！！

对于135端口开放的问题，可以在你的防火墙上，增加一条规则：拒绝所有的这类进入的UDP 包，目的端口是135，源端口是7，19，或者135，这样可以保护内部的系统，防止来自外部的攻击。大多数防火墙或者包过滤器已经设置了很多严格的规则，已覆盖了这条过滤规则，但任需注意：有一些NT的应用程序，它们依靠UDP135端口进行合法的通讯，而打开你135的端口与NT的RPC服务进行通讯。如果真是这样，你一定要在那些原始地址的系统上（需要135口通讯），实施上述的规则，指定来自这些系统的通讯可以通过防火墙，或者，可以被攻击检测系统所忽略，以便维持那些应用程序的正常连接。为了保护你的信息安全，强烈建议你安装微软的最新补丁包。

上面我们说到Netbios（NETwork Basic Input/Output System）网络基本输入输出系统。是1983年IBM开发的一套网络标准，微软在这基础上继续开发。微软的客户机／服务器网络系统都是基于 NetBIOS的。在利用Windows NT40 构建的网络系统中，对每一台主机的唯一标识信息是它的NetBIOS名。系统可以利用WINS服务、广播及Lmhost文件等多种模式通过139端口将 NetBIOS名解析为相应IP地址，从而实现信息通讯。在这样的网络系统内部，利用NetBIOS名实现信息通讯是非常方便、快捷的。但是在 Internet上，它就和一个后门程序差不多了。因此，我们很有必要堵上这个可怕的漏洞。

——利用NetBIOS漏洞攻击

1利用软件查找共享资源

利用NetBrute Scanner 软件扫描一段IP地址（如100131~10013254）内的共享资源，就会扫描出默认共享

2 用PQwak破解共享密码

双击扫描到的共享文件夹，如果没有密码，便可直接打开。当然也可以在IE的地址栏直接输入扫描到的带上共享文件夹的IP地址，如“\\10013191”（或带C＄，D＄等查看默认共享）。如果设有共享密码，会要求输入共享用户名和密码，这时可利用破解网络邻居密码的工具软件，如PQwak，破解后即可进入相应文件夹。

——关闭NetBIOS漏洞

1 解开文件和打印机共享绑定

鼠标右击桌面上[网络邻居]→[属性] →[本地连接] →[属性]，去掉“Microsoft网络的文件和打印机共享”前面的勾，解开文件和打印机共享绑定。这样就会禁止所有从139和445端口来的请求，别人也就看不到本机的共享了。

2 利用TCP/IP筛选

鼠标右击桌面上[网络邻居] →[属性]→[本地连接] →[属性]，打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[选项]， 在列表中单击选中“TCP/IP筛选”选项。单击[属性]按钮，选择“只允许”，再单击[添加]按钮(如图2)，填入除了139和445之外要用到的端口。这样别人使用扫描器对139和445两个端口进行扫描时，将不会有任何回应。

3 使用IPSec安全策略阻止对端口139和445的访问

选择[我的电脑]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略，在本地机器]，在这里定义一条阻止任何IP地址从TCP139和TCP445端口访问IP地址的IPSec安全策略规则，这样别人使用扫描器扫描时，本机的139 和445两个端口也不会给予任何回应。

4 停止Server服务

选择[我的电脑]→[控制面板]→[管理工具]→[服务]，进入服务管理器，关闭Server 服务。这样虽然不会关闭端口，但可以中止本机对其他机器的服务，当然也就中止了对其他机器的共享。但是关闭了该服务会导致很多相关的服务无法启动，如机器中如果有IIS服务，则不能采用这种方法。

5 使用防火墙防范攻击

在防火墙中也可以设置阻止其他机器使用本机共享。如在“天网个人防火墙”中，选择一条空规则，设置数据包方向为“接收”，对方IP地址选“任何地址”，协议设定为“TCP”，本地端口设置为“139到139”，对方端口设置为“0到0”，设置标志位为“SYN”，动作设置为“拦截”，最后单击[确定]按钮，并在“自定义IP规则”列表中勾选此规则即可启动拦截139端口攻击了。

非局域网用户如何防范NETBIOS漏洞攻击

在windows9x下如果是个拨号用户。完全不需要登陆到 nt局域网络环境的话。只需要在控制面板→网络→删除microsoft网络用户，使用microsoft友好登陆就可以了。但是如果需要登陆到nt网络的话。那这一项就不能去处。因为nt网里需要使用netbios。

在windowsNT下可以取消netbios与TCP/IP协议的绑定。控制面板→网络 →Netbios接口→WINS客户（tcp/ip）→禁用。确定。重启。这样nt的计算机名和工作组名也隐藏了，不过会造成基于netbios的一些命令无法使用。如net等。

在windowsNT下你可以选中网络邻居→右键→本地连接→INTERNET协议（TCP/IP）→属性→高级→选项→TCP/IP筛选→在“只允许”中填入除了137，138，139只外的端口。如果在局域网中，会影响局域网的使用

在windowsXP下可以在控制面板上点击管理工具-本地安全策略,右击"IP安全策略, 在本地计算机"选择"管理IP筛选器表和筛选器操作",点添加,在对话框里填,随便写只要你记得住最好还是写"禁用135/139端口"比较看的懂 点右边的添加->下一步->源地址为"任何地址"->目的地址"我的地址"->协仪为TCP->在到此端口里填135或 139就可以

　　Samba 是一款功能强大的共享工具，可以实现与windows的共享，就是我们经常在windows计算机之间使用的网上邻居功能，可以共享文件和打印机等。今天要介绍的是在 ubuntu 1204 中安装和设置，当然也可以在以前的版本上使用。

　　在Ubuntu上安装Samba：

　　1 安装Samba文件

　　我们需要做的第一件事是安装Samba，你可以在Ubuntu软件中心搜索软件，然后安装。如果你想通过终端安装，可复制这个命令：

　　sudo apt-get install samba samba-common

　　2 为配置工具安装一些依赖包（不要忘记安装python-glade2）

　　sudo apt-get install python-glade2

　　3 安装 Samba 服务器配置工具 :

　　安装 samba 系统配置图形界面工具

　　sudo apt-get install system-config-samba

　　4 添加一个 Linux/Unix user:

　　adduser pirat9

　　5 为用户 pirat9 设置密码：

　　passwd pirat9

　　6 现在打开 samba 配置工具。

　　samba configuration tool

　　7 添加共享文件夹并设置权限访问。

　　share

　　设置权限访问

　　permissions

　　8 连接到共享前，你必须创建samba用户：

　　sudo smbpasswd -a pirat9

New SMB password

retype New SMB Password

　　配置完成。

提示：你可以选择你要共享的文件夹，目录上右键打开菜单选择“share options（共享配置）”

　　share options

　　并且激活共享：

　　activate share

　　9 现在来测试一下从另外一台Linux计算机看看samba共享是否已经工作，我的计算机时LinuxMint12 与 Ubuntu 1204 实现共享，莲台计算机都安装了samba，从菜单中打开连接到服务器并输入你Ubuntu计算机的详细信息：

　　working test

　　working test

　　working test

　　12 从windows 连接共享 (XP/Vista/7)

　　Connect from windows

近来，有位Win10系统用户反馈自己的电脑无法访问vm中的samba服务器，还提示“你可能没有权限使用网路资源。请与这台服务器的管理员联系以查明你是否有访问权限。指定的登录会话不存在。可能已被终止”。这该怎么办呢？下面，小编就向大家分享具体解决方法。

具体方法如下:

1、点击开始菜单。

2、右键账户图标。

3、更改账户设置。

4、你的账户。

5、改用本地用户登入。

6、按照提示设置好账户密码。

注意：如果再不行可以用vm的虚拟网络编辑器重置下虚拟网络。

通过上面几个步骤的操作，我们就能解决Windows10系统连接不了vm中的samba服务器问题了。有需要的用户，不妨按照小编的方法操作看看吧！