a防火牆
當然,你也可以在防火牆設定阻塞samba所必須的埠。這可以有效地限制防火牆以外的其它機器訪問samba。如果你想使用防火牆來堵塞 samba通道,只需要選擇tcp/135,udp/135,udp/137,udp/138,udp/139和tcp/139埠。這可以有效地阻止其 它計算機訪問samba伺服器,甚至是網路中任何windows伺服器。
b.不需要瀏覽器
另一種保證系統安全的方法是不要讓使用者知道這一系統的存在。通過阻止使用者瀏覽這一系統的方式,將可大大減少系統成為被攻擊物件的可能。
這一過程非常容易實現,即只需關閉共享瀏覽功能就可以了。其中一種簡單的方法是,將瀏覽器選項中的每乙個共享選單設定為no。你也可以用$符號給共享瀏覽器命名,這也是隱藏共享的一種標準windows方法。
同樣,你可以手動設定ipc$共享來停止所有瀏覽連線。ipc$共享是一種隱藏的程序間的通訊共享。為了避免所有共享之間的檢視,可以建立ipc$ 共享區,並將主機設定為deny = 0.0.0.0/0。你也應該將其它一主機設定為allow = 127.0.0.1,從而本地計算機可以使用ipc$共享。
c.簡單的病毒保護
在很多情況下,使用者訪問的檔案共享不應該包含可執行檔案。檔案共享可以使得使用者存放自己的文件,電子資料表等。samba可以設定以限制共享的檔案型別, 可以通過每一共享的veto files屬性來實現。veto files選項將檔案說明與斜線字元(/)區別開,並支援標準萬用字元,星號(*)以及問號(?)。如果你不允許共享exe檔案,com檔案,或者dll文 件,可以將乙個veto檔案屬性設定如下:
這一方法將可以阻止訪問和儲存這些型別的檔案,並有效阻止samba伺服器傳播各種型別的windows病毒。你也可以限制其它檔案型別,以有效地排除被病毒感染的檔案。
d.密碼
在網路中限制密碼的傳送
在windows系統中,傳送和接收密碼的方法有多種。對於windows 2000 service pack 3,clear-text就是傳送和接收密碼的方式之一。即基本為,使用者名稱和密碼封裝在一起然後在沒有任何保護的情況即被傳送到網路。
在samba工具中,第一步即將encrypted passwords選項設定為yes,這將使得samba從不再使用clear-text密碼方式。然而在預設情況下,samba會以lan manager格式使用的原來密碼。它不是純文字格式,但是這一密碼非常容易破解,所以不推薦使用這一方法。
為了關閉lan manager密碼,你可以新增lanman auth選項並將其設定為no。由於只有ni許可權的客戶才可以交流,這就可以中斷非windows nt/2000/xp的客戶。nt許可權比lan manager密碼更難被破解。事實上,nt許可權有兩種版本,而其中任何一種都能夠有效地保護當預處理器的安全。
確定尋找密碼的位址
一旦你知道密碼已經被安全地傳送出去,你將可以大膽繼續使用其它策略。samba具有很好的相容性,你可以使用本地unix伺服器,單機 windows伺服器,windows 2000主機,或者一台ldap伺服器限制或允許不同的使用者連線到伺服器。無論你選擇哪個選單,samba伺服器都具有很好的安全性。
如果你希望使用者記住密碼,而前提不是將密碼標記在乙個顯眼的地方。通過在他們共同使用系統中限制使用者名稱和密碼的個數,進行單個使用者名稱註冊可以實現這一期望。通過使用已有的使用者名稱和密碼架構,你可以讓samba起到很好的安全保護作用。
空格密碼
毫無疑問,允許使用者使用空格密碼將會導致一大堆的潛在問題,但是許多組織仍然允許使用空格密碼。samba通過管理員阻止使用者採用空格或者無效密碼連線方 式,以此強迫使用者選擇乙個有效密碼,而這一過程可通過新增乙個null passwords特性並將其設定為no來實現。
e.限制主機
samba允許你控制訪問者的另乙個方法是控制他們可以連線的主機。事實上,samba有兩種可以在主機上控制訪問的方法。
f.指定介面方法
如果你的samba系統安裝了多張網路卡,可以限制samba響應請求的位址。例如,你在區域網路中安裝了一張網路卡,在公共網路中也安裝了一張網路卡。因為在進行網路位址轉化(簡稱nat)時需要使用伺服器,此時你就可以規定samba只響應來自區域網路的請求。
你也可以通過設定bind inte***ces中的全域性屬性引數yes來實現這一功能。這將告訴samba只響應來自你指定介面的請求。下乙個步驟是通過新增乙個介面全域性屬性和指 定支援的介面來規定可以接受的介面,這一介面屬性將接受unix介面名稱或者介面的ip位址。
f允許連線主機的列表
samba在主機上控制的第二種方法是使用hosts allow列表屬性。這一方法允許你指定允許訪問的主機。位址列表可以是子網掩碼,所以你可以同一時間訪問整個網路。例如,如果你的區域網使用的是 class a位址(10.x.x.x),你可以指定為10.,或者10.0.0.0/255.0.0.0來允許區域網中的任何一台計算機訪問samba伺服器。
如果你使用的是dhcp和ip位址,而你又想限制訪問多台主機,此時你可以在hosts allow屬性中列出其主機名。此外,不允許連線主機的列表屬性可以讓你指定不允許連線的主機名。
JAVA的六種排序方法
冒泡 publicstringbubble sort stringarr returnarr 選擇publicstringselect sort stringarr returnarr 插入 publicstringinsert sort stringarr else returnarr 希爾pub...
居中的六種方法
居中效果在css中很是普通的效果,平時大家所看到的居中效果主要分為三大類 水平居中 垂直居中和水平垂直居中。而其中水平居中相對於後兩者來說要簡單得多。早期總結了一下網際網路上有關於水平垂直居中的幾種實現方案,比如說 css製作水平垂直居中對齊 中介紹了八中實現水平垂直的方案,而在 css製作水平垂直...
實現 SOA 安全的簡單方法
soa 安全實現起來可以是非常容易的 前提是你選擇的方式要正確。松耦合的 可發現的 可共用的安全工具 乙個簡單的工具 ws security 對 web services 進行了加強,為 soa 安全提供了你需要的一切 訪問控制 加密 信任 傳輸安全以及不可抵賴。訊息示例 ws security 將...