資源描述:
《rh253linux服務(wù)器架設(shè)筆記三-samba服務(wù)器配置(2)》由會(huì)員上傳分享��,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫��。
1�����、RH253Linux服務(wù)器架設(shè)筆記三-Samba服務(wù)器配置(2)上季我們介紹了samba服務(wù)器的安裝��,常用配置文件,還有匿名登陸的samba服務(wù)器今天我們主要學(xué)習(xí)基于用戶名的訪問控制其實(shí)samba的訪問控制參數(shù)都不是很多�,只要是你靈活運(yùn)用,把samba自帶的訪問控制��,防火墻���,文件權(quán)限等等結(jié)合使用�����,就能搭建功能強(qiáng)大的samba服務(wù)器上季已經(jīng)說了share級(jí)別的安全����,今天我們就講user級(jí)別了,把我們下面的任務(wù)規(guī)劃一下1.一個(gè)公司要求一個(gè)公共的交換文件服務(wù)器����,都可以訪問并寫入,但是不可以刪除和修改其他用戶的文件2�����、技術(shù)部需要一個(gè)文件服務(wù)器�����,用于存放常用的軟件工具���,所有人都可以訪問���,但是只有技
2、術(shù)部的人可以寫入?主要就是上面兩個(gè)功能來開展,我們來分析下一個(gè)samba服務(wù)器���,要實(shí)現(xiàn)上面兩個(gè)功能用我們以前學(xué)過的知識(shí),你們覺得可以有哪些方案��?用samba服務(wù)器實(shí)現(xiàn)上面的功能,有兩種規(guī)劃方案使用域和user級(jí)別都可以,但是測試域比較麻煩,還要活動(dòng)目錄,所以我們就使用user級(jí)別有人可能會(huì)問為什么不可以使用share級(jí)別,如果全局使用share,局部需要用戶登陸的話�,登陸框是灰色的,不能輸入用戶名,這個(gè)是不是samba服務(wù)器設(shè)置的一個(gè)bug�����,我也說不清楚,反正我們就盡量不這樣設(shè)計(jì)吧如果使用user模式�,應(yīng)該需要兩個(gè)目錄,一個(gè)是交換目錄,一個(gè)是技術(shù)部的目錄,交換目錄都可以寫入��,所以權(quán)限要7
3�����、77��,但是都可以寫入的話�����,就可以刪除別人的文件,所以我們要加個(gè)冒險(xiǎn)位�,限制只有root和文件所有者才能刪除,第一個(gè)題目完成了第二個(gè)題目就更簡單了,所有人可以訪問,但是只有技術(shù)部的可以寫�����,我們只需要在局部設(shè)置writelist=@jishubu就可以了,如果想要更安全的話���,還可以設(shè)置目錄權(quán)限是775,讓目錄屬于技術(shù)部組下面我們開始測試吧,建立兩個(gè)目錄,一個(gè)是exchange,一個(gè)是jishubu,都建立在/下吧,然后改變他們的權(quán)限然后添加用戶test1和添加jishubu組��,把test1加入到技術(shù)部組��,最后把/jishubu的所屬組改成技術(shù)部我們還要建立一個(gè)公共的用戶����,提供所有用戶登陸sa
4���、mba服務(wù)器使用useraddsmbtest到這里���,我們的工作就算完成了,下面我們就開始配置我們的服務(wù)器請(qǐng)大家打開samba服務(wù)器的主配置文件?vim/etc/samba/smb.conf第一步打開selinux�����,如果你沒有打開的話復(fù)制29行的語句�����,然后在終端里面執(zhí)行我們架設(shè)服務(wù)器的環(huán)境是���,selinux強(qiáng)制system-config-selinux修改bool值的RHEL4的selinux只保護(hù)了40多個(gè)進(jìn)程,RHEL5的selinux保護(hù)達(dá)到了200個(gè)進(jìn)程吧�����,具體數(shù)值記不得了,selinux都是安裝了的setenforce1,然后getenforce查看如果是enforcing處于強(qiáng)
5���、制狀態(tài)就算打開了selinux有三種狀態(tài)ENFORCING,就是處于保護(hù)狀態(tài)�,selinux會(huì)禁止危險(xiǎn)的動(dòng)作并記錄日志permissive?是只記錄日志disabled關(guān)閉?用setup設(shè)置吧好了,我們繼續(xù),然后設(shè)置目錄的上下文復(fù)制39行的內(nèi)容����,修改要共享目錄的上下文,只復(fù)制冒號(hào)后面的部分chcon-tsamba_share_t/exchange/chcon-tsamba_share_t/jishubu/改變上下文都使用使用的chcon-t設(shè)置selinux都是setsebool-P?selinux的相關(guān)知識(shí),大家看看吧RHCE考試�����,要求一般selinux是處于強(qiáng)制狀態(tài)的workgrou
6��、p設(shè)置工作組?serverstring服務(wù)器描述?usernamemap用戶名映射��,默認(rèn)沒有�����,等會(huì)我們會(huì)講interfaces如果服務(wù)器有多塊網(wǎng)卡,可以設(shè)置你想開放的網(wǎng)卡�,一般不管,默認(rèn)都開放hostsallow設(shè)置可以訪問服務(wù)器的網(wǎng)段�����,注釋表示不限制使用user安全模式security=user?其他的全局配置都不管了���,直接跳到最后��,開始定義共享目錄exchange的定義[exchange]共享目錄名字comment目錄描述path共享目錄的路徑public所有用戶可以訪問writeable所有用戶可以寫入printable不是打印機(jī)writelist在這個(gè)位置是沒有意義的?publi
7�、c和validusers不能同時(shí)使用�,這樣public沒效果如果writables和writelist同時(shí)使用,應(yīng)該是以writable起作用��,但是最好�����,避免歧義��,我們刪除writelist字段哈~這樣第一個(gè)目錄就OK了下面寫第二個(gè)目錄的定義在samba服務(wù)器里表示一個(gè)組可以使用@組名也可以使用+組名一個(gè)簡單samba服務(wù)器配置就算完成了�,保存退出配置文件下面我們建立samba用戶建立samba用戶的前提是,/etc/passwd文
