40、Samba与NFS服务器安全配置指南

Samba与NFS服务器安全配置指南

1. 避免明文密码

默认情况下，Samba服务器期望从客户端系统获取明文密码，这显然不太安全。你可以通过在/etc/samba/smb.conf文件中取消以下行的注释（即删除行首的分号）来更改此行为：

encrypt passwords = yes smb passwd file = /etc/samba/smbpasswd

上述配置告知Samba服务器使用加密密码，并在安全参数设置为user时，使用/etc/samba/smbpasswd文件对用户进行身份验证。

当采用此配置时，Samba服务器在连接的会话设置阶段会附加一个8字节的随机值，该随机值作为挑战存储在服务器中。客户端使用其用户密码对挑战进行加密并发送响应。服务器使用存储在/etc/samba/smbpasswd中的哈希密码对挑战进行加密，并检查客户端提供的响应是否与计算结果一致。若匹配，则服务器确认客户端知道正确的用户密码，身份验证阶段完成。这种身份验证方法不会在网络上传输实际密码，大大提高了安全性，而且Samba服务器也不会在/etc/samba/smbpasswd文件中存储实际密码，仅存储加密哈希版本。

强烈建议启用加密密码模式进行身份验证。启用后，可按以下步骤将/etc/passwd转换为/etc/samba/smbpasswd </