samba遠程訪問
在Linux系統中訪問Samba伺服器中的共享目錄需要使用smbclient命令,當然首先得在對應Linux系統主機中安裝Samba服務的客戶端軟體--smbclient。使用smbclient -L命令(有關smbclient命令的詳細選項可通過smbclient -help命令查看)可以查看指定Samba伺服器上的所有共享目錄。如要瀏覽本示例中Sambaserver上的共享目錄,可以在終端提示符下輸入以下命令:
smbclient -L Sambaserver
在出現提示輸入密碼時,直接按Enter鍵(因為此處是匿名訪問),結果會顯示指定Samba伺服器上當前全部的共享目錄,
使用共享目錄的命令格式為:smbclient //IP地址或主機名/共享目錄名 -U用戶名。
因為此處是匿名訪問,所以無須加上"-U"選項來指定訪問的用戶名。如在此要匿名訪問Sambaserver上的doc目錄,則可以在終端提示符下輸入以下命令:
smbclient //Sambaserver/doc
在出現輸入密碼的password提示符時,直接按Enter鍵,即進入到遠程使用伺服器上指定資源的提示符smb:\>,與ftp客戶端相似,這時可以使用如cd、cat、get等命令對共享目錄和文件進行操作了。注意,這個命令不僅可以訪問Samba伺服器上的共享資源,還可以訪問網路中Windows主機上的共享資源。
㈡ Linux實用工具-samba
Samba服務可以用於在linux主機之間共享文件,也可以在linux和windows之間共享文件。
給Windows客戶提供文件服務是通過samba實現的,而samba也是一套基於UNIX類系統、實現SMB/CIFS協議的軟體,作為UNIX的克隆,Linux也可以運行這套軟體。samba的文件服務功能效率很高,藉助Linux本身,可以實現用戶磁碟空間限制功能。本文基於Linux介紹Samba的配置和使用。
主要內容:
一、關於配置文件
二、關於配置和使用
三、其它
samba通過配置文件來進行各種控制,關於配置文件,下面給出一個大致的介紹。
samba的最重要配置文件就是"/etc/samba/smb.conf",它有三個重要的節:[global],[homes],[public]。一般來說本地的這個文件中都有對其內容的詳細注釋,這里列出一個完整的配置文件內容,並解釋如下。具體信息參見"man smb.conf"的輸出。
用於用戶映射的文件/etc/samba/smbuser內容大致如下:
亂碼情況:
為了防止共享時出現中文目錄亂碼的情況,可能需要為smb.conf的[global]段添加如下幾行:
這里,其中根據你的local,UTF-8 有可能需要改成 cp936。
這里介紹如何配置samba服務以及使用它,為便於查閱,先給出一個最簡的配置方式,後面會給出關於配置和使用相對具體的內容。 以下內容,都是在CentOS release 5.5 (Final)上面實踐的結果,並假定配置samba的機器ip地址是10.1.2.213。
這里,如果只是想要搭建一個可以工作的samba伺服器,那麼可以按照如下步驟配置:
這樣,我們可以看到機器上面已經安裝了samba,可以進行後面的配置了。如果你的機器上面沒有相應的軟體包,那麼需要使用"yum install samba.i386"之類的命令安裝,默認來說系統都將這個服務安裝了的。
編輯之後的文件內容如下:
這里需要注意,不要將mysamba目錄設置到 /home 下的某個子用戶目錄中,這樣會導致目錄無法通過其他的機器訪問到。
這樣,外部就可以訪問這個目錄了。注意首先在本地機器上將這個目錄的讀寫許可權打開,這樣外面才能訪問。
這樣剛才的配置可以生效。
在文件瀏覽器的位置欄輸入: smb://10.1.2.213
這樣,將看到一個目錄"public1"就是那個smb.conf中設置的"[public1]"組名,進入"public1"就可以看到內容了,內容實際就是伺服器上面的/home/mysamba路徑下面的內容。
在文件瀏覽器的位置欄輸入: \\10.1.2.213
這樣,將看到一個目錄"public1"就是那個smb.conf中設置的"[public1]"組名,進入"public1"就可以看到內容了,內容實際就是伺服器上面的/home/mysamba路徑下面的內容。
總之兩步,一個是修改"/etc/samba/smb.conf"設置共享目錄,一個是運行"/etc/init.d/smb restart"讓設置生效。
配置samba可以控制哪些目錄可以訪問,以及誰可以訪問,以什麼許可權訪問等等。我們可以使用圖形化的工具配置,方法是運行"#system-config-samba"命令或者通過菜單"系統-系統管理-Samba",方法很簡單就不多說了。還可以通過修改配置文件進行配置,這里重點介紹修改配置文件的方法,如下。
修改配置文件如下:
這里,workgroup表示工作組名;server string表示伺服器名(名稱自定);netbios name是對伺服器的描述;hosts allow填入順序訪問的ip段,用空格分開,如果不設置則使用[global]中的,如果[global]中也沒有,就表示允許任何ip訪問;security表示訪問許可權,訪問許可權由低到高有三種:share、user和server。其中share安全級別最低,user模式要求連接時輸入用戶名和口令。具體支持的欄位,以及每個欄位的含義在配置文件的注釋中都有詳細的說明,或者可以查看"man smb.conf"文檔說明。
以上配置可知,設置了個共享目錄:public1,public2,public3,且public3共享目錄只有quietheart和lv-k用戶可以訪問。
配置之後,重新啟動samba:
這樣剛才的配置可以生效。
這里,添加帳號和修改密碼都用這個smbpasswd命令。如果想要添加samba的網路訪問帳戶,首先必須保證系統中有相應的帳戶名稱,如果沒有則需要使用"#useradd quietheart"建立一個,否則使用這個smbpasswd添加用戶的時候,會出錯誤。 要注意,雖然samba的用戶必須是本地機器的用戶,但是samba的登錄密碼可以和本機登錄密碼可以不一樣,上面只是為系統增加了quietheart這個用戶,卻沒有給用戶賦予本機登錄密碼,因為我們只用這個用戶來遠程samba訪問,不想用它來做為一個本地登陸帳號,所以這個用戶將只能從遠程經過samba訪問,不能從遠程登錄本機。
這個功能沒太大必要,因為samba中的帳戶,一定就是系統中的某個帳戶,雖然密碼不一樣,所以可以查看/etc/passwd來得知所有系統帳號進而知道samba可能包含的用戶帳號。
這里,刪除命令就是將前面添加命令的-a改成-x了。
通過smbclient工具,可以實現在命令行下訪問samba的目的,使用smbclient登陸samba之後,可以像ftp服務那樣進行各種命令操作。
參考資料:
㈢ 如何使用瀏覽器遠程訪問linux伺服器文件夾
一般是通過以下幾種方式:
1、設置FTP伺服器
2、NFS伺服器
3、SAMBA伺服器
FTP和NFS都比較簡單,下面介紹一下SAMBA的配置方法:
Linux系統默認已經安裝了Samba,但是沒有安裝Samba服務:
1,先查看安裝情況:rpm -qa|grep samba
根據系統的安裝情況選擇下載或者通過光碟機安裝所缺的rpm包。
我的安裝情況是:
使用命令:mount /dev/cdrom1 /mnt/cdrom1
通過mount把cdrom1掛載到系統臨時目錄/mnt/cdrom1,在Packets包下面使用命令:rpm -ivh samba.*.rpm包安裝。
切換到放置rpm文件的目錄
[root@smb_server root]# rpm -ivh samba-common-3.6.9-151.el6.x86_64
這是Samba 必備的程序,必須安裝
[root@smb_server root]# rpm -ivh samba-3.6.9-151.el6.x86_64
安裝Samba 伺服器程序,可以使我Windows 主機訪問Samba 伺服器共享的資源。
如果需要使Linux 主機訪問Windows 主機上的共享資源,則還應該安裝Samba 客戶端程序。
[root@smb_server root]# rpm -ivh samba-client-3.6.9-151.el6.x86_64
2,安裝samba的rpm包完成後
samba-common-3.6.9-151.el6.x86_64 //主要提供samba伺服器的設置文件與設置文件語法檢驗程序testparm
samba-client-3.6.9-151.el6.x86_64 //客戶端軟體,主要提供linux主機作為客戶端時,所需要的工具指令集
samba-swat-3.6.9-151.el6.x86_64 //基於https協議的samba伺服器web配置界面
samba-3.6.9-151.el6.x86_64 //伺服器端軟體,主要提供samba伺服器的守護程序,共享文檔,日誌的輪替,開機默認選項
Samba伺服器安裝完畢,會生成配置文件目錄/etc/samba和其它一些samba可執行命令工具,/etc/samba/smb.conf是samba的核心配置文件,/etc/init.d/smb是samba的啟動/關閉文件。
5、查看samba的服務啟動情況
# service smb status
6、設置開機自啟動
# chkconfig --level 35 smb on //在3、5級別上自動運行samba服務
7、配置smb服務
[global]
workgroup = WORKGROUP
server string = Samba Server Version %v
netbios name = ImgPath05
[ImgPath]
comment = Public stuff
path = /usr/local/nginx/html/img
public = yes
writeable = yes
browseable = yes
guest ok = yes
共享目錄為:/usr/local/nginx/html/img,共享目錄對外名稱為:ImgPath 即在Windows看到的目錄名稱。
設置共享目錄許可權:chown -R nobody:nobody /usr/local/nginx/html/img/
8、啟動或者重啟smb服務
重啟smb服務
測試smb.conf配置是否正確
9 Windows訪問共享目錄,但是沒有寫許可權,通過以下方式修改防火牆設置。
將Linux smb服務添加到防火牆的例外中 以root用戶執行setup命令#setup彈出...重啟生效,如果不想重啟,用命令#setenforce 0
㈣ 怎樣在Linux上訪問samba共享文件
1、點擊桌面左下角的文件資源管理器圖標。
㈤ 連接samba伺服器時顯示遠程計算機不接受連接怎麼辦
開放NetBiOS服務(137埠)
埠說明:137埠主要用於「NetBIOS Name Service」(NetBIOS名稱服務),屬於 UDP埠,使用者只需要向區域網或互聯網上的某台計算機的137埠發送一個請求,就可以獲取該計算機的名稱、注冊用戶名,以及是否安裝主域控制器、 IIS是否正在運行等信息。
埠漏洞:因為是UDP埠,對於攻擊者來說,通過發送請求很容易就獲取目標計算機的相關信息,有些信息是直接可以被利用,並分析漏洞的,比如IIS服務。另外,通過捕獲正在利用137埠進行通信的信息包,還可能得到目標計算機的啟動和關閉的時間,這樣就可以利用專門的工具來攻擊。
操作建議:建議關閉該埠。
具體而言,就是說通過137埠除了該機的計算機名和注冊用戶名以外,還可以得到該機是否為主域控制器和主瀏覽器、是否作為文件伺服器使用、IIS和Samba是否正在運行以及Lotus Notes是否正在運行等信息。也就是說,只要您想獲得這些信息,只需向這台個人電腦的137埠發送一個請求即可。只要知道IP地址,就可以輕松做到這一點。不只是公司內部網路,還可以通過網際網路得到這樣的信息。
137埠為什麼會把這種信息包泄漏到網路上呢?這是因為,在Windows網路通信協議 --「NetBIOS over TCP/IP(NBT)」的計算機名管理功能中使用的是137埠。
計算機名管理是指Windows網路中的電腦通過用於相互識別的名字 --NetBIOS名,獲取實際的IP地址的功能。可以用兩種方法使用137埠。
一種方法是,位於同一組中的電腦之間利用廣播功能進行計算機名管理。電腦在起動時或者連接網路時,會向位於同組中的所有電腦詢問有沒有正在使用與自己相同的NetBIOS名的電腦。每台收到詢問的電腦如果使用了與自己相同的NetBIOS名,就會發送通知信息包。這些通信是利用137埠進行的。
另一種方法是利用WINS(Windows網際網路名稱服務)管理計算機名。被稱為WINS伺服器的電腦有一個IP地址和NetBIOS名的對照表。 WINS客戶端在系統起動時或連接網路時會將自己的NetBIOS名與IP地址發送給WINS伺服器。與其他計算機通信時,會向WINS伺服器發送 NetBIOS名,詢問IP地址。這種方法也使用137埠。
如上所述,為了得到通信對象的IP地址,137埠就要交換很多信息包。在這些信息包中,包括有如表3所示的很多信息。利用廣播管理計算機名時,會向所有電腦發送這些信息。如果使用NBT,就會在用戶沒有查覺的情況下,由電腦本身就會向外部散布自己的詳細信息。
什麼是NetBIOS及NetBIOS的作用與應用
英文原義:NetBIOS Services Protocols
中文釋義:(RFC-1001,1002)網路基本輸入/輸出系統協議
註解:該協議是由IBM公司開發,主要用於數十台計算機的小型區域網。NetBIOS協議是一種在區域網上的程序可以使用的應用程序編程介面(API),為程序提供了請求低級服務的統一的命令集,作用是為了給區域網提供網路以及其他特殊功能,系統可以利用WINS服務、廣播及Lmhost文件等多種模式將NetBIOS名解析為相應IP地址,實現信息通訊,所以在區域網內部使用 NetBIOS協議可以方便地實現消息通信及資源的共享。因為它佔用系統資源少、傳輸效率高,尤為適於由 20 到 200 台計算機組成的小型區域網。所以幾乎所有的區域網都是在NetBIOS協議的基礎上工作的。
應 用:在Windows操作系統中,默認情況下在安裝TCP/IP協議後會自動安裝NetBIOS。比如在Windows 2000/XP中,當選擇「自動獲得IP」後會啟用DHCP伺服器,從該伺服器使用NetBIOS設置;如果使用靜態IP地址或DHCP伺服器不提供 NetBIOS設置,則啟用TCP/IP上的NetBIOS。具體的設置方法如下:首先打開「控制面板」,雙擊「網路連接」圖標,打開本地連接屬性。接著,在屬性窗口的「常規」選項卡中選擇「Internet協議(TCP/IP)」,單擊「屬性」按鈕。然後在打開的窗口中,單擊「高級」按鈕;在「高級 TCP/IP設置」窗口中選擇「WINS」選項卡,在「NetBIOS設置」區域中就可以相應的NetBIOS設置。
因NETBIOS給用戶帶來的潛在危害
當安裝TCP/IP協 議時,NetBIOS 也被Windows作為默認設置載入,我們的計算機也具有了NetBIOS本身的開放性。某些別有用心的人就利用這個功能來攻擊伺服器,使管理員不能放心使用文件和列印機共享。
利用NETBIOS漏洞進行攻擊的埠分別為:
135埠開放實際上是一個WINNT漏洞,開放的135的埠情況容易引起自外部的 「Snork」攻擊!!!
對於135埠開放的問題,可以在你的防火牆上,增加一條規則:拒絕所有的這類進入的UDP 包,目的埠是135,源埠是7,19,或者135,這樣可以保護內部的系統,防止來自外部的攻擊。大多數防火牆或者包過濾器已經設置了很多嚴格的規則,已覆蓋了這條過濾規則,但任需注意:有一些NT的應用程序,它們依靠UDP135埠進行合法的通訊,而打開你135的埠與NT的RPC服務進行通訊。如果真是這樣,你一定要在那些原始地址的系統上(需要135口通訊),實施上述的規則,指定來自這些系統的通訊可以通過防火牆,或者,可以被攻擊檢測系統所忽略,以便維持那些應用程序的正常連接。為了保護你的信息安全,強烈建議你安裝微軟的最新補丁包。
上面我們說到Netbios(NETwork Basic Input/Output System)網路基本輸入輸出系統。是1983年IBM開發的一套網路標准,微軟在這基礎上繼續開發。微軟的客戶機/伺服器網路系統都是基於 NetBIOS的。在利用Windows NT4.0 構建的網路系統中,對每一台主機的唯一標識信息是它的NetBIOS名。系統可以利用WINS服務、廣播及Lmhost文件等多種模式通過139埠將 NetBIOS名解析為相應IP地址,從而實現信息通訊。在這樣的網路系統內部,利用NetBIOS名實現信息通訊是非常方便、快捷的。但是在 Internet上,它就和一個後門程序差不多了。因此,我們很有必要堵上這個可怕的漏洞。
——利用NetBIOS漏洞攻擊
1.利用軟體查找共享資源
利用NetBrute Scanner 軟體掃描一段IP地址(如10.0.13.1~10.0.13.254)內的共享資源,就會掃描出默認共享
2. 用PQwak破解共享密碼
雙擊掃描到的共享文件夾,如果沒有密碼,便可直接打開。當然也可以在IE的地址欄直接輸入掃描到的帶上共享文件夾的IP地址,如「\\10.0.13.191」(或帶C$,D$等查看默認共享)。如果設有共享密碼,會要求輸入共享用戶名和密碼,這時可利用破解網路鄰居密碼的工具軟體,如PQwak,破解後即可進入相應文件夾。
——關閉NetBIOS漏洞
1. 解開文件和列印機共享綁定
滑鼠右擊桌面上[網路鄰居]→[屬性] →[本地連接] →[屬性],去掉「Microsoft網路的文件和列印機共享」前面的勾,解開文件和列印機共享綁定。這樣就會禁止所有從139和445埠來的請求,別人也就看不到本機的共享了。
2. 利用TCP/IP篩選
滑鼠右擊桌面上[網路鄰居] →[屬性]→[本地連接] →[屬性],打開「本地連接屬性」對話框。選擇[Internet協議(TCP/IP)]→[屬性]→[高級]→[選項], 在列表中單擊選中「TCP/IP篩選」選項。單擊[屬性]按鈕,選擇「只允許」,再單擊[添加]按鈕(如圖2),填入除了139和445之外要用到的埠。這樣別人使用掃描器對139和445兩個埠進行掃描時,將不會有任何回應。
3. 使用IPSec安全策略阻止對埠139和445的訪問
選擇[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略,在本地機器],在這里定義一條阻止任何IP地址從TCP139和TCP445埠訪問IP地址的IPSec安全策略規則,這樣別人使用掃描器掃描時,本機的139 和445兩個埠也不會給予任何回應。
4. 停止Server服務
選擇[我的電腦]→[控制面板]→[管理工具]→[服務],進入服務管理器,關閉Server 服務。這樣雖然不會關閉埠,但可以中止本機對其他機器的服務,當然也就中止了對其他機器的共享。但是關閉了該服務會導致很多相關的服務無法啟動,如機器中如果有IIS服務,則不能採用這種方法。
5. 使用防火牆防範攻擊
在防火牆中也可以設置阻止其他機器使用本機共享。如在「天網個人防火牆」中,選擇一條空規則,設置數據包方向為「接收」,對方IP地址選「任何地址」,協議設定為「TCP」,本地埠設置為「139到139」,對方埠設置為「0到0」,設置標志位為「SYN」,動作設置為「攔截」,最後單擊[確定]按鈕,並在「自定義IP規則」列表中勾選此規則即可啟動攔截139埠攻擊了。
非區域網用戶如何防範NETBIOS漏洞攻擊
在windows9x下如果是個撥號用戶。完全不需要登陸到 nt區域網絡環境的話。只需要在控制面板→網路→刪除microsoft網路用戶,使用microsoft友好登陸就可以了。但是如果需要登陸到nt網路的話。那這一項就不能去處。因為nt網里需要使用netbios。
在windowsNT下可以取消netbios與TCP/IP協議的綁定。控制面板→網路 →Netbios介面→WINS客戶(tcp/ip)→禁用。確定。重啟。這樣nt的計算機名和工作組名也隱藏了,不過會造成基於netbios的一些命令無法使用。如net等。
在windowsNT下你可以選中網路鄰居→右鍵→本地連接→INTERNET協議(TCP/IP)→屬性→高級→選項→TCP/IP篩選→在「只允許」中填入除了137,138,139隻外的埠。如果在區域網中,會影響區域網的使用
在windowsXP下可以在控制面板上點擊管理工具-本地安全策略,右擊"IP安全策略, 在本地計算機"選擇"管理IP篩選器表和篩選器操作",點添加,在對話框里填,隨便寫.只要你記得住.最好還是寫"禁用135/139埠"比較看的懂. 點右邊的添加->下一步->源地址為"任何地址"->目的地址"我的地址"->協儀為TCP->在到此埠里填135或 139就可以.