学习 Linux，302（混合环境）_ Samba 安全.pdfVIP

12-8-27 学习 Linux，302（混合环境）: Samba 安全 学习 Linux ，302 （混合环境 ）: Samba 安全 在防火墙和守护进程级别保护 Samba 关于本系列 本系列文章帮助您了解 Linux 系统管理任务。您可以使用本系列文章的资料准备 Linux Professional Institute Certification 级别 3 (LPIC-3) 考试。 参见我们的 学习 Linux, 302 （混合环境 ） ：LPI-302 路线图 ，查看本系列中各篇文章的介绍和链 接。路线图目前仍在更新中 ，目前反映的最新内容是 LPIC-3 考试的最新 目标 （2010 年 11 月）。在完成每篇文章之后 ，我们都会将其添加到路线图中。 在本文中 ，将了解这些概念 ： 在防火墙级别配置进出 Samba 服务器的访问 排除与 Samba 服务器有关的防火墙故障 本文帮助您准备 Linux Professional Institute (LPI) 的混合环境专业考试 （302）的主题 315 下的 目标 315.2。该 目标的权值为 2。 先决条件 为了最有效地利用本系列中的文章 ，您应该具备高级 Linux 知识 ，并需要准备一个 Linux 系统 ， 用它来练习本文介绍的命令。另外 ，您还要能访问 Windows 环境 ，从而可以用它来测试安全设 置。 回页首 防火墙 关于选修的 LPI-302 考试 /developerworks/cn/linux/l-lpic3-315-2/index.html 1/8 12-8-27 学习 Linux，302（混合环境）: Samba 安全 与其他许多认证一样 ，Linux Professional Institute Certificatio (LPIC) 提供了多个不同级别 ，每个 级别都比前一个级别要求更多知识和经验。LPI-302 考试是 LPIC 3 级中的一个可选专业考试 ， 要求具有高级 Linux 系统管理知识。 要通过 LPIC 3 级 (LPIC-3) 认证 ，则必须通过两个 1 级考试 （101 和 102）、两个 2 级考试 （201 和 202） ，以及 LPIC-3 核心考试 （301）。在到达这个级别之后 ，才能参加一些可选专 业考试 ，比如 LPI-302。 Samba 有很多特性可以限制哪些人能访问哪些共享文件 — 限制特定用户名的访问、强制要求密 码、检查组成员或在网络层过滤。后面的参数 ，比如 allow hosts 和 smb ports，它们对 IP 地址和 User Datagram Protocol (UDP)/TCP 端 口进行操作 ，提供了一种简单的方法来控制哪些主 机可连接到 Samba 服务器上。 如果能识别哪些设备连接到服务器 ，比如属于内部网络 ，或者甚至是某个特定的子网或一组服务 器 ，那么就实现了网络层控制。这是第一道防线 ：如果攻击者无法连接到设备 ，那么设备会更安 全。 在 Samba 守护进程中控制网络网络访问 ，这听上去是完美的解决方案 ，但其实有更好的方法。 为了确定远程连接是否满足要求 ，Samba 首先要接受连接 ，因为 Samba 只有在完成连接后才能 获取详细信息 。如果是想要防止不符合要求的用户连接到 Samba ，那么防止 Samba 看到这些连 接更有意义。Samba 中的所有配置都只会影响 Samba ，因此必须为其他的守护进程 （比如 web 服务器和文件传输 ）找到类似的解决方案。 在典型环境中 ，网络安全不是由系统管理员而是由其他 IT 员工负责。在主机层 （而不是应用程 序层 ）控制访问能够实现业务分离 ，而且会减少由于更改 smb.conf 而导致的错误。 了解 iptables 构建您 自己的提要 您可以构建一个 自定义 RSS、Atom 或 HTML 提要 ，以便在我们添加新文章或更新内容时收到通 知。请访问 developerWorks RSS 提要。选择 L