引言:Samba 在现代网络环境中的重要性

在当今混合操作系统环境中,Windows、Linux 和 macOS 设备经常需要协同工作,而文件共享是这种协作的基础。Samba 作为一个开源软件套件,完美解决了 Linux/Unix 系统与 Windows 系统之间的文件和打印服务互操作问题。Rocky Linux 9 作为 CentOS 的继任者,继承了企业级 Linux 的稳定性和安全性,是部署 Samba 服务器的理想选择。

本文将详细介绍如何在 Rocky Linux 9 上从零开始配置 Samba 服务器,包括基础安装、各种共享模式的配置、高级安全设置以及故障排除技巧。无论您是系统管理员还是开发人员,都能通过本文掌握 Samba 的核心技术和最佳实践。

一、Samba 基础概念与工作原理

1.1 Samba 的核心组件

Samba 主要由以下几个关键组件构成:

  • smbd: 提供 SMB/CIFS 文件共享服务,处理客户端的文件和打印机访问请求
  • nmbd: 提供 NetBIOS 名称服务,用于网络发现和主机名解析
  • smbclient: 命令行工具,用于测试和访问远程 Samba 共享
  • testparm: 配置文件语法检查工具
  • smbpasswd: 管理 Samba 用户密码数据库

1.2 SMB/CIFS 协议简介

SMB (Server Message Block) 是微软开发的网络文件共享协议,CIFS (Common Internet File System) 是其公开版本。Samba 实现了这些协议,使得 Linux 服务器能够:

  • 与 Windows 客户端无缝共享文件和打印机
  • 加入 Windows 活动目录域
  • 提供类似 Windows 文件服务器的功能

二、环境准备与基础安装

2.1 系统要求与更新

在开始安装前,确保您的 Rocky Linux 9 系统满足以下要求:

  • 系统版本:Rocky Linux 9 或兼容版本
  • 网络连接:正常工作的网络接口
  • 权限:root 用户或 sudo 权限

首先更新系统:

sudo dnf update -y sudo dnf install epel-release -y

2.2 安装 Samba 软件包

使用 dnf 包管理器安装 Samba 及相关工具:

sudo dnf install samba samba-common samba-client samba-common-tools -y

安装完成后,检查 Samba 版本以确认安装成功:

smbd --version # 输出示例:Version 4.17.5-101.el9_2

2.3 防火墙配置

Samba 需要通过防火墙的特定端口进行通信。配置防火墙以允许 Samba 流量:

# 启用 Samba 服务的防火墙规则 sudo firewall-cmd --permanent --add-service=samba # 如果需要使用 NetBIOS 名称服务,添加以下规则 sudo firewall-cmd --permanent --add-service=samba-client # 重新加载防火墙配置 sudo firewall-cmd --reload # 验证防火墙规则 sudo firewall-cmd --list-all

2.4 SELinux 配置

Rocky Linux 9 默认启用 SELinux,需要正确配置以允许 Samba 访问文件系统:

# 安装 SELinux 管理工具(如果尚未安装) sudo dnf install policycoreutils-python-utils -y # 查看当前 SELinux 状态 sestatus # 设置 Samba 相关的 SELinux 布尔值 sudo setsebool -P samba_enable_home_dirs on sudo setsebool -P samba_export_all_rw on # 如果需要共享非标准目录,需要设置 SELinux 上下文 # 例如:共享 /data/share 目录 sudo semanage fcontext -a -t samba_share_t "/data/share(/.*)?" sudo restorecon -Rv /data/share

三、Samba 配置文件详解

3.1 主配置文件结构

Samba 的主配置文件位于 /etc/samba/smb.conf,采用 INI 文件格式,主要分为三个部分:

# /etc/samba/smb.conf 示例结构 [global] # 全局设置,影响整个 Samba 服务器 workgroup = WORKGROUP server string = Samba Server %v netbios name = rocky-samba security = user map to guest = bad user dns proxy = no [public] # 公共共享设置 path = /srv/samba/public browsable = yes writable = yes guest ok = yes read only = no [private] # 私有共享设置 path = /srv/samba/private browsable = yes writable = yes guest ok = no valid users = @smbgroup force group = smbgroup create mask = 0660 directory mask = 0770

3.2 全局参数详解

以下是一些关键的全局参数及其作用:

[global] # 工作组名称,应与 Windows 工作组一致 workgroup = WORKGROUP # 服务器描述信息 server string = Rocky Linux Samba Server # NetBIOS 名称,用于网络识别 netbios name = ROCKYSAMBA # 安全模式:user = 基于用户的认证 security = user # 当用户不存在时映射为访客 map to guest = bad user # 日志文件位置和大小限制 log file = /var/log/samba/log.%m max log size = 1000 # 是否启用打印机共享 load printers = yes printing = cups printcap name = cups # 字符集设置(针对中文环境) unix charset = UTF-8 dos charset = CP936 # 性能优化参数 socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 use sendfile = yes # 时间戳精度 ea support = yes store dos attributes = yes

3.3 共享参数详解

每个共享部分可以配置以下参数:

[共享名称] # 基本路径设置 path = /path/to/share # 访问权限 browsable = yes/no # 是否在网络邻居中可见 writable = yes/no # 是否可写 read only = yes/no # 是否只读 guest ok = yes/no # 是否允许访客访问 # 用户和组控制 valid users = user1, @group1 # 允许访问的用户/组 invalid users = user2 # 禁止访问的用户 # 权限设置 force user = username # 强制文件创建者 force group = groupname # 强制文件所属组 create mask = 0644 # 新建文件权限 directory mask = 0755 # 新建目录权限 # 高级选项 available = yes # 是否启用共享 comment = "共享描述" # 共享描述信息 browseable = yes # 是否可浏览 # 配额设置(需要内核支持) quota:soft limit = 1000000 # 软限制(字节) quota:hard limit = 1200000 # 硬限制(字节)

四、创建共享目录与用户管理

4.1 创建共享目录结构

首先创建共享目录并设置适当的权限:

# 创建公共共享目录 sudo mkdir -p /srv/samba/public sudo chmod 777 /srv/samba/public # 公共目录允许所有用户写入 # 创建私有共享目录 sudo mkdir -p /srv/samba/private sudo chmod 755 /srv/samba/private # 创建部门共享目录(示例) sudo mkdir -p /srv/samba/departments/{sales,hr,it} sudo chmod 2770 /srv/samba/departments/sales # 设置 SGID 位

4.2 创建系统用户和组

为 Samba 创建专用的系统用户和组:

# 创建 Samba 用户组 sudo groupadd smbgroup # 创建系统用户(不创建登录 shell) sudo useradd -G smbgroup -s /sbin/nologin smbuser1 sudo useradd -G smbgroup -s /sbin/nologin smbuser2 # 设置密码(系统密码) sudo passwd smbuser1 sudo passwd smbuser2 # 创建访客用户(如果需要) sudo useradd -s /sbin/nologin smbguest

4.3 创建 Samba 用户

Samba 使用独立的密码数据库,需要将系统用户添加到 Samba:

# 将系统用户添加到 Samba(会提示设置 Samba 密码) sudo smbpasswd -a smbuser1 sudo smbpasswd -a smbuser2 # 查看 Samba 用户列表 sudo pdbedit -L # 禁用/启用 Samba 用户 sudo smbpasswd -d smbuser1 # 禁用 sudo smbpasswd -e smbuser1 # 启用 # 删除 Samba 用户 sudo smbpasswd -x smbuser1

4.4 设置目录所有权

为共享目录设置正确的所有权:

# 设置公共目录所有权(允许访客写入) sudo chown -R nobody:nobody /srv/samba/public # 设置私有目录所有权 sudo chown -R root:smbgroup /srv/samba/private sudo chmod 2770 /srv/samba/private # 设置 SGID 位,确保新建文件继承组 # 部门目录所有权设置 sudo chown -R root:smbgroup /srv/samba/departments sudo chmod 2770 /srv/samba/departments/sales sudo chmod 2770 /srv/samba/departments/hr sudo chmod 2770 /srv/samba/departments/it

4.5 配置 SELinux 上下文

对于非标准目录,需要设置 SELinux 上下文:

# 安装 SELinux 管理工具 sudo dnf install policycoreutils-python-utils -y # 添加 SELinux 文件上下文规则 sudo semanage fcontext -a -t samba_share_t "/srv/samba/public(/.*)?" sudo semanage fcontext -a -t samba_share_t "/srv/samba/private(/.*)?" sudo semanage fcontext -a -t samba_share_t "/srv/samba/departments(/.*)?" # 应用 SELinux 上下文 sudo restorecon -Rv /srv/samba # 验证 SELinux 上下文 ls -Z /srv/samba/public # 输出应包含 samba_share_t

五、配置不同类型的共享

5.1 公共匿名共享(Public Share)

公共共享允许所有用户(包括访客)访问,无需认证:

[public] comment = Public Share - No Authentication Required path = /srv/samba/public browsable = yes writable = yes guest ok = yes read only = no create mask = 0666 directory mask = 0777 force user = nobody force group = nobody

5.2 用户认证共享(Private Share)

需要用户认证的私有共享:

[private] comment = Private Share - Authentication Required path = /srv/samba/private browsable = yes writable = yes guest ok = no valid users = @smbgroup force group = smbgroup create mask = 0660 directory mask = 0770 # 确保新建文件继承组 inherit permissions = yes

5.3 部门共享(Departmental Shares)

为不同部门创建独立的共享:

[sales] comment = Sales Department Share path = /srv/samba/departments/sales browsable = yes writable = yes guest ok = no valid users = @smbgroup, @sales force group = sales create mask = 0660 directory mask = 0770 # 只允许销售部门成员访问 write list = @sales [hr] comment = HR Department Share path = /srv/samba/departments/hr browsable = yes writable = yes guest ok = no valid users = @smbgroup, @hr force group = hr create mask = 0660 directory mask = 0770 [it] comment = IT Department Share path = /srv/samba/departments/it browsable = yes writable = yes guest ok = no valid users = @smbgroup, @it force group = it create mask = 0660 directory mask = 0770 # IT 部门有完全控制权 write list = @it admin users = @it

5.4 家目录共享(Home Directories)

自动共享用户家目录:

[homes] comment = User Home Directories browsable = no writable = yes valid users = %S # %S 代表当前用户名 # 创建 mask 和目录 mask create mask = 0644 directory mask = 0755 # 保持用户家目录权限 force user = %S force group = %S

5.5 打印机共享(Printer Shares)

共享连接的打印机:

[printers] comment = All Printers path = /var/spool/samba browsable = yes guest ok = no writable = no printable = yes printer admin = @smbgroup [HP_LaserJet] comment = HP LaserJet Printer path = /var/spool/samba printer name = HP_LaserJet browsable = yes guest ok = no printable = yes

六、高级安全设置

6.1 配置文件安全参数

[global] 部分添加安全增强参数:

[global] # 基础安全设置 security = user passdb backend = tdbsam # 密码策略 password server = * password chat = *New*password* %nn *Retype*new*password* %nn *passwd*changed*n # 登录限制 invalid users = root # 禁止 root 用户通过网络访问 # 协议版本限制 min protocol = SMB2 # 禁用老旧不安全的 SMB1 协议 # 加密设置 server signing = mandatory client signing = mandatory # 强制 SMB 签名 # 连接限制 max connections = 100 # 限制最大并发连接数 # 日志记录 log level = 1 log file = /var/log/samba/log.%m max log size = 5000 # 访问控制 hosts allow = 192.168.1. 127.0.0.1 hosts deny = 0.0.0.0/0 # 防止目录遍历 wide links = no follow symlinks = no unix extensions = yes # 隐藏系统文件 hide files = /desktop.ini/Thumbs.db/.DS_Store/ # 禁用危险功能 load printers = no printing = cups printcap name = /dev/null

6.2 共享级访问控制

在每个共享中添加精细的访问控制:

[secure] comment = Secure Share with Access Control path = /srv/samba/secure browsable = yes writable = yes guest ok = no # 用户访问控制 valid users = user1, @admin_group invalid users = user2, user3 # 写入控制 write list = user1, @admin_group read list = user2 # 主机访问控制 hosts allow = 192.168.1.0/24 hosts deny = 192.168.1.100 # 时间访问控制(需要编译时支持) # valid times = 9:00-17:00

6.3 使用 ACL 进行精细权限控制

Rocky Linux 9 支持 POSIX ACL,可以实现更精细的权限管理:

# 安装 ACL 支持 sudo dnf install acl -y # 设置目录的 ACL sudo setfacl -m g:sales:rwx /srv/samba/departments/sales sudo setfacl -m g:hr:r-x /srv/samba/departments/sales sudo setfacl -m g:it:rwx /srv/samba/departments/sales # 设置默认 ACL(对新建文件有效) sudo setfacl -d -m g:sales:rwx /srv/samba/departments/sales # 查看 ACL 设置 getfacl /srv/samba/departments/sales # 在 smb.conf 中启用 ACL 支持 # 添加以下参数到共享部分 acl allow execute always = yes

6.4 配置 Windows 域成员(可选)

如果需要将 Samba 加入 Windows 域:

# 安装必要的软件包 sudo dnf install realmd sssd sssd-tools adcli samba-common-tools -y # 加入域(需要域管理员权限) sudo realm join --user=administrator AD.EXAMPLE.COM # 配置 Samba 使用域认证 # 在 smb.conf 的 [global] 部分添加: # security = ads # realm = AD.EXAMPLE.COM # workgroup = AD # idmap config * : backend = tdb # idmap config * : range = 3000-7999 # idmap config AD : backend = rid # idmap config AD : range = 10000-999999

七、服务管理与启动

7.1 启动并启用 Samba 服务

# 启动 Samba 服务 sudo systemctl start smb sudo systemctl start nmb # 启用开机自启 sudo systemctl enable smb sudo systemctl enable nmb # 检查服务状态 sudo systemctl status smb sudo systemctl status nmb # 重新加载配置(无需重启服务) sudo systemctl reload smb

7.2 配置文件验证

在启动前验证配置文件语法:

# 测试配置文件语法 sudo testparm # 显示所有配置参数 sudo testparm -v # 只显示特定共享的配置 sudo testparm -s --section-name=public

7.3 日志管理

配置日志轮转和监控:

# 查看 Samba 日志 sudo tail -f /var/log/samba/log.smbd sudo journalctl -u smb -f # 配置日志级别(临时) sudo smbcontrol all debug 10 # 设置日志轮转(编辑 /etc/logrotate.d/samba) sudo nano /etc/logrotate.d/samba

八、客户端连接与测试

8.1 Linux 客户端连接

使用 smbclient 测试连接:

# 列出服务器上的共享 smbclient -L localhost -U smbuser1 # 连接到特定共享 smbclient //localhost/public -U smbuser1 # 交互式命令 smb:/> ls smb:/> put localfile remotefile smb:/> get remotefile localfile smb:/> mkdir newdir smb:/> rm filename # 挂载共享到本地目录 sudo mkdir /mnt/samba-public sudo mount -t cifs //localhost/public /mnt/samba-public -o username=smbuser1,password=yourpassword # 永久挂载(/etc/fstab) //localhost/public /mnt/samba-public cifs username=smbuser1,password=yourpassword,uid=1000,gid=1000,iocharset=utf8 0 0

8.2 Windows 客户端连接

在 Windows 中连接 Samba 共享:

  1. 文件资源管理器连接

    • 打开文件资源管理器
    • 在地址栏输入:\服务器IP共享名称
    • 例如:\192.168.1.100public
    • 输入用户名和密码(如果需要)

  2. 命令行连接

    net use Z: \192.168.1.100public /user:smbuser1 yourpassword net use Z: /delete # 断开连接

  3. 映射网络驱动器

    • 右键点击”此电脑” → “映射网络驱动器”
    • 输入路径:\192.168.1.100private
    • 勾选”使用其他凭据连接”

8.3 macOS 客户端连接

在 macOS 中连接:

  1. Finder 连接

    • Cmd+K 打开”连接服务器”
    • 输入:cifs://服务器IP/共享名称
    • 例如:cifs://192.168.1.100/public

  2. 终端挂载

    mkdir ~/samba-mount mount_smbfs //smbuser1:password@192.168.1.100/public ~/samba-mount

8.4 测试脚本

创建一个测试脚本来验证所有功能:

#!/bin/bash # samba-test.sh SERVER="localhost" USER="smbuser1" PASS="yourpassword" echo "=== Samba 测试脚本 ===" # 测试 1: 列出共享 echo "测试 1: 列出共享..." smbclient -L $SERVER -U $USER%$PASS # 测试 2: 连接到公共共享 echo "测试 2: 连接公共共享..." smbclient //$SERVER/public -U $USER%$PASS -c "ls" # 测试 3: 连接到私有共享 echo "测试 3: 连接私有共享..." smbclient //$SERVER/private -U $USER%$PASS -c "ls" # 测试 4: 文件操作测试 echo "测试 4: 文件操作..." echo "test content" > /tmp/testfile.txt smbclient //$SERVER/public -U $USER%$PASS -c "put /tmp/testfile.txt testfile.txt; ls; rm testfile.txt" # 测试 5: 挂载测试 echo "测试 5: 挂载测试..." sudo mkdir -p /mnt/test-samba sudo mount -t cifs //$SERVER/public /mnt/test-samba -o username=$USER,password=$PASS if [ $? -eq 0 ]; then echo "挂载成功" df -h | grep samba sudo umount /mnt/test-samba else echo "挂载失败" fi echo "=== 测试完成 ==="

九、性能优化与调优

9.1 网络性能参数

[global] 部分添加性能优化参数:

[global] # 套接字选项优化 socket options = TCP_NODELAY IPTOS_LOWDELAY SO_RCVBUF=131072 SO_SNDBUF=131072 # 使用 sendfile 系统调用(提高大文件传输效率) use sendfile = yes # 启用异步 I/O aio read size = 1 aio write size = 1 # 读写缓冲区大小 read raw = yes write raw = yes # 最大传输大小 max xmit = 65535 # 减少网络查询 getwd cache = yes # 性能统计 stat cache = yes # 链接优化 deadtime = 15 keepalive = 300

9.2 硬盘 I/O 优化

# 检查文件系统类型和挂载选项 mount | grep /srv/samba # 如果使用 ext4,可以添加 noatime 挂载选项 # 编辑 /etc/fstab UUID=xxx /srv/samba ext4 defaults,noatime,nodiratime 0 2 # 调整 I/O 调度器(针对 SSD) echo noop > /sys/block/sda/queue/scheduler # 启用内核参数优化 sudo sysctl -w vm.swappiness=10 sudo sysctl -w vm.dirty_ratio=15 sudo sysctl -w vm.dirty_background_ratio=5

9.3 Samba 特定优化

[global] # 元数据缓存 stat cache size = 10000 directory name cache size = 10000 # 文件锁定 locking = yes oplocks = yes level2 oplocks = yes # 预读和缓存 read prediction = yes read size = 16384 write cache size = 262144 # 减少日志 I/O log level = 1 debug pid = no debug uid = no

十、监控与故障排除

10.1 监控 Samba 连接

使用 smbstatus 命令监控当前连接:

# 查看当前连接 sudo smbstatus # 查看详细信息 sudo smbstatus -v # 查看特定共享的连接 sudo smbstatus -S # 查看锁定的文件 sudo smbstatus -L # 实时监控(需要安装工具) sudo smbstatus -b

10.2 常见问题与解决方案

问题 1: 连接被拒绝

# 检查服务状态 sudo systemctl status smb # 检查端口监听 sudo netstat -tlnp | grep smbd sudo ss -tlnp | grep smbd # 检查防火墙 sudo firewall-cmd --list-all # 检查 SELinux sudo ausearch -m avc -ts recent

问题 2: 权限不足

# 检查目录权限 ls -ld /srv/samba/share # 检查 SELinux 上下文 ls -Z /srv/samba/share # 检查 SELinux 布尔值 getsebool -a | grep samba # 查看审计日志 sudo ausearch -m avc -ts recent

问题 3: 认证失败

# 检查 Samba 用户 sudo pdbedit -L # 检查密码数据库 sudo pdbedit -L -v # 重置用户密码 sudo smbpasswd -a username # 查看认证日志 sudo tail -f /var/log/samba/log.auth

10.3 调试模式

启用详细日志进行调试:

# 临时提高日志级别 sudo smbcontrol all debug 10 # 查看详细日志 sudo tail -f /var/log/samba/log.smbd # 使用 testparm 检查配置 sudo testparm -v # 网络抓包分析 sudo tcpdump -i any port 445 or port 139 -w samba.pcap

十一、备份与恢复

11.1 备份配置文件

# 备份 Samba 配置 sudo tar -czf samba-backup-$(date +%Y%m%d).tar.gz /etc/samba/ /var/lib/samba/ # 备份用户数据库 sudo cp /var/lib/samba/private/passdb.tdb /backup/passdb.tdb.bak # 备份共享数据 sudo rsync -av /srv/samba/ /backup/samba-data/

11.2 恢复配置

# 恢复配置文件 sudo tar -xzf samba-backup-20240101.tar.gz -C / # 恢复用户数据库 sudo cp /backup/passdb.tdb.bak /var/lib/samba/private/passdb.tdb # 重新加载配置 sudo systemctl reload smb

十二、最佳实践总结

12.1 安全最佳实践

  1. 禁用 SMB1 协议:始终使用 SMB2 或 SMB3
  2. 强制 SMB 签名:防止中间人攻击
  3. 使用强密码:Samba 密码应符合复杂度要求
  4. 限制访问:使用 hosts allow 限制可访问的 IP 范围
  5. 定期更新:保持 Samba 和系统更新到最新版本
  6. 监控日志:定期检查安全日志
  7. 最小权限原则:只授予必要的访问权限

12.2 性能最佳实践

  1. 合理设置缓存:根据内存大小调整缓存参数
  2. 使用 SSD:对于高并发场景,使用 SSD 存储
  3. 网络优化:确保网络基础设施稳定
  4. 定期维护:清理无用文件和日志
  5. 监控资源:使用监控工具跟踪性能指标

12.3 管理最佳实践

  1. 文档化:记录所有配置变更
  2. 定期测试:定期测试备份和恢复流程
  3. 用户培训:教育用户正确使用共享
  4. 容量规划:监控磁盘使用情况,提前规划扩容
  5. 灾难恢复:制定完整的灾难恢复计划

十三、高级主题

13.1 集群配置(CTDB)

对于高可用性需求,可以使用 CTDB (Cluster Trivial Database):

# 安装 CTDB sudo dnf install ctdb -y # 配置 CTDB sudo nano /etc/ctdb/ctdb.conf # 配置示例 [global] recoverable = yes recovery_lock = /var/lock/ctdb start_as_hidden = yes # 启动 CTDB sudo systemctl start ctdb sudo systemctl enable ctdb

13.2 配额管理

启用磁盘配额:

# 编辑 /etc/fstab,添加 quota 选项 UUID=xxx /srv/samba ext4 defaults,usrquota,grpquota 0 2 # 重新挂载 sudo mount -o remount /srv/samba # 创建配额数据库 sudo quotacheck -cug /srv/samba # 启用配额 sudo quotaon /srv/samba # 设置用户配额 sudo setquota -u smbuser1 1000000 1200000 0 0 /srv/samba # 在 smb.conf 中启用配额支持 # quota:soft limit = 1000000 # quota:hard limit = 1200000

13.3 集成 LDAP 认证

使用 LDAP 进行集中认证:

# 安装 LDAP 支持 sudo dnf install openldap-clients samba-ldap -y # 配置 Samba 使用 LDAP # 在 smb.conf 的 [global] 部分添加: # passdb backend = ldapsam:"ldap://ldap.example.com" # ldap suffix = dc=example,dc=com # ldap user suffix = ou=Users # ldap group suffix = ou=Groups # ldap admin dn = cn=admin,dc=example,dc=com # ldap ssl = start tls # ldap passwd sync = yes

十四、总结

通过本文的详细指导,您应该能够在 Rocky Linux 9 上成功配置一个功能完整、安全可靠的 Samba 服务器。从基础安装到高级安全设置,从性能优化到故障排除,我们涵盖了 Samba 配置的各个方面。

记住以下关键要点:

  • 安全第一:始终优先考虑安全配置
  • 测试验证:在生产环境部署前充分测试
  • 持续监控:定期检查日志和性能指标
  • 文档记录:保持详细的配置文档
  • 定期维护:及时更新和优化配置

Samba 是一个功能强大的工具,正确配置后可以为企业提供稳定、高效的跨平台文件共享服务。随着您对 Samba 的深入了解,您可以探索更多高级功能,如与活动目录集成、集群配置等,以满足更复杂的业务需求。

如果您在配置过程中遇到任何问题,请参考官方文档或社区支持资源。祝您配置顺利!