TIỂU LUẬN BẢO VỆ HỆ THỐNG MÁY TÍNH
NHÓM 6
TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TP. HỒ CHÍ MINH
CƠ SỞ THANH HÓA – KHOA KINH TẾ

BÀI TIỂU LUẬN

MÔN HỌC:
BẢO VỆ HỆ THỐNG MÁY TÍNH
ĐỀ TÀI:
NGHIÊN CỨU CƠ CHẾ BẢO MẬT VÀ CÀI BẢO MẬT
SERVER SAMBA CHIA SẺ DỮ LIỆU
TIỂU LUẬN BẢO VỆ HỆ THỐNG MÁY TÍNH
1
TIỂU LUẬN BẢO VỆ HỆ THỐNG MÁY TÍNH
NHÓM 6
GIẢNG VIÊN HD : NGUYỄN XUÂN LÔ
SINH VIÊN TH : NHÓM 06
LỚP : DHTH6TH
THANH HÓA, THÁNG 10 NĂM 2013
TIỂU LUẬN BẢO VỆ HỆ THỐNG MÁY TÍNH
2
TIỂU LUẬN BẢO VỆ HỆ THỐNG MÁY TÍNH
NHÓM 6
Danh sách nhóm 6
Họ và tên MSSV Ghi chú
Lê Văn Thắng 10024863
Lê Hồng Quân 10023363
Bùi Linh Nhâm 10012893
TIỂU LUẬN BẢO VỆ HỆ THỐNG MÁY TÍNH
NHÓM 6

bất kì ai tại nhà cũng có thể:
• Log on vào tất cả các box windows tại nhà trong khi các file
của họ trên Linux box nằm trên một drive Windows.
• Chia sẻ truy cập đến các máy in trên Linux box.
• Các file chia sẻ chỉ có thể truy cập được bởi những thành viên
của nhóm người dùng Linux.
Đâu là khác biệt giữa của PDC và một thành viên của Windows
Workgroup? Chương này sẽ không mô tả chi tiết, nhưng chỉ
cần đơn giản thế này là đủ:
• Một PDC lưu giữ thông tin đăng nhập trên một cơ sở dữ liệu
trung tâm trên đĩa cứng của nó. Điều này cho phép có một tên
truy cập và password chung cho toàn hệ thống khi đăng nhập
từ tất cả máy tính trong hệ thống
• Trong Windows Workgroup, mỗi máy tính lưu giữ tên truy cập
và password cục bộ để chúng là duy nhất cho mỗi máy tính.
Chính vì những tiện ích to lớn này mà nhóm 6 chúng em xin chọn
đề tài: ‘‘Nghiên cứu cơ chế bảo mật và cài bảo mật server samba chia
sẻ dữ liệu” làm đề tài nghiên cứu cho bài tiểu luận môn Bảo vệ hệ thống
máy tính.
TIỂU LUẬN BẢO VỆ HỆ THỐNG MÁY TÍNH
NHÓM 6
II. NỘI DUNG
1. Giới thiệu về Samba
Samba là phần mềm có thể chạy trên nền tảng các hệ điều hành
khác với Microsoft Windows, ví dụ như: UNIX, Linux, IBM System
390, OpenVMS, và các hệ điều hành khác. Samba sử dụng giao thức
TCP/IP và được cài đặt trên máy chủ. Nếu bạn cấu hình đúng, nó
cho phép máy chủ tương tác với các client và server của Microsoft
Windows như thể là một File and Print Server của MS. Windows.
Samba cung cấp dịch vụ file and print cho những máy con sử

• Hỗ trợ Unicode
• Khóa file đang truy cập tùy theo cơ hội (oplock)
Microsoft sử dụng SMB cùng với giao thức xác thực NTLM để
cung cấp dịch vụ gọi là chia sẻ file và máy in ở mức user. Khi một
user đã đăng nhập thực hiện kết nối tới tài nguyên chia sẻ trên máy
tính khác (\\server\share), Windows tự động gửi thông tin đăng nhập
của user đó tới SMB server trước khi hỏi username hoặc password.
Trong mô hình mạng OSI, SMB thường được coi là giao thức ở
tầng Application (L7) hoặc Presentation (L6), và được truyền tải
(transport) dựa trên các giao thức cấp thấp hơn. Giao thức truyền tải
(L4) mà SMB thường dùng trước đây là NetBEUI (Netbios Extended
User Interface), và hiện nay là NBT hoặc NetBT (NetBIOS over
TCP/IP). Tuy vậy, giao thức SMB cũng có thể sử dụng không cần một
giao thức truyền tải xác định bổ trợ riêng bằng cách kết hợp SMB với
NBT để đảm bảo tính tương thích giữa nhiều phiên bản Windows
khác nhau.
Giao thức SMB trên Windows buộc phải sử dụng truyền tải qua
NetBT với các cổng 137, 138 (UDP), 139 (TCP). Từ Windows
2000/XP, Microsoft cấp thêm khả năng chạy SMB trực tiếp trên
TCP/IP, chỉ sử dụng cổng 445 (TCP).
Nhưng Samba không chỉ là giao thức. Khi được sử dụng trong
ngữ cảnh linux ngày nay, bạn sẽ phát hiện rằng nó còn là 1 server
(sử dụng để connect tới máy Windows hay Linux khác), một client và
thậm chí là một chức năng cho workgroup printer sharing. Điều quan
trong nhất, một máy tính khác kết nối với server qua client và dễ dàng
chia sẻ file chỉ bằng cách kéo và thả vì sử dụng giao diện đồ họa. Gói
phần mềm Samba có chứa hai daemon dịch vụ và nhiều chương
trình tiện ích. một daemon là smbd cung cấp các dịch vụ tập tin và in
ấn cho các hệ thống khác có hỗ trợ SMB. Một daemon là nmbd cung
cấp chức năng phân giải tên NetBIOS và hỗ trợ dịch vụ duyệt thư

cần nghiên cứu một số phương pháp.
• Hạn chế số lượng kết nối đồng thời
Samba có thể giới hạn số lượng kết nối đồng thời khi smbd được
đưa ra như một daemon (không từ inetd). Lựa chọn smb.conf của smbd
tối cho phép quản trị viên xác định số lượng tối đa của các quá trình
smbd chạy ở bất kỳ thời điểm nào. Bất kỳ sự cố gắng kết nối tới máy
chủ của máy khách đều sẽ bị từ chối.
• Sử dụng bảo vệ dựa trên máy chủ
Trong nhiều cài đặt của Samba, mối đe dọa lớn nhất chính là kết nối
mạng của bạn. Theo mặc định Samba sẽ chấp nhận kết nối từ bất kỳ
máy chủ, có nghĩa là nếu bạn chạy một phiên bản không an toàn của
Samba trên một máy chủ được kết nối trực tiếp với Internet bạn có thể
gặp phải mối đe dọa vô cùng to lớn. Một trong những bản sửa lỗi đơn
giản nhất trong trường hợp này là sử dụng các hosts cho phép và hosts
TIỂU LUẬN BẢO VỆ HỆ THỐNG MÁY TÍNH
NHÓM 6
từ chối tùy chọn trong tập tin cấu hình smb.conf để chỉ cho phép truy
cập vào máy chủ của bạn từ một phạm vi cụ thể của host. Một ví dụ có
thể là:
Hosts allow = 127.0.0.1 192.168.2.0/24 192.168.3.0/24
Hosts deny = 0.0.0.0 / 0
Ở trên sẽ chỉ cho phép các kết nối SMB từ 'localhost' (máy tính
của bạn) và từ hai mạng riêng và 192.168.2 192.168.3. Tất cả các kết
nối khác sẽ bị từ chối kết nối ngay sau khi client gửi gói tin đầu tiên. Việc
từ chối sẽ được đánh dấu như là không lắng nghe được tập tin bị lỗi.
• Sử dụng bảo vệ giao diện
Theo mặc định Samba sẽ chấp nhận kết nối trên bất kỳ giao diện
mạng mà nó tìm thấy trên hệ thống của bạn. Điều đó có nghĩa nếu bạn
có một đường ISDN hoặc kết nối PPP với Internet sau đó Samba sẽ
chấp nhận kết nối trên các liên kết.

Host allow = 192.168.115.0/24 127.0.0.1
Host deny = 0.0.0.0 / 0
Điều này sẽ cho Samba là IPC $ kết nối không được phép từ bất
cứ nơi nào trừ hai địa điểm định sẵn (localhost và một localsubnet). Kết
nối với client khác vẫn sẽ được cho phép. Như IPC $ chia sẻ là phần
duy nhất luôn luôn có thể truy cập nặc danh này cung cấp một mức độ
bảo vệ chống lại những kẻ tấn công mà không biết tên người dùng / mật
khẩu cho máy chủ của bạn. Nếu bạn sử dụng phương pháp này sau đó
khách hàng sẽ nhận được một "truy cập bị từ chối 'trả lời khi họ cố gắng
để truy cập vào IPC $ chia sẻ. Điều đó có nghĩa rằng những khách hàng
sẽ không thể duyệt chia sẻ, và cũng có thể không thể truy cập một số
các nguồn tài nguyên khác.
TIỂU LUẬN BẢO VỆ HỆ THỐNG MÁY TÍNH
NHÓM 6
3. Cài bảo mật server samba chia sẻ dữ liệu.
Mặc định, Samba giả theo Windows PDC trong hầu hết mọi thứ cần
để đơn giản việc chia sẻ file. Chức năng của Linux không xuất hiện khi
chúng ta làm như vậy. Samba Domain và Linux chia sẻ cùng username
để có thể đăng nhập và Samba dựa trên domain Windows dùng
password Linux và ngay lập tức có quyền truy cập các file trên directory
của người dùng Linux. Để đảm bảo tính bảo mật, bạn nên dùng
password Samba và Linux khác nhau.
a. Cài đặt.
Thông thường, khi bạn cài Linux Fedora Core 1+ , trong CD có sẵn
gói Samba. Bạn có thể kiểm tra xem liệu gói Samba đã được cài hay
chưa bằng dòng lệnh:
#rpm – q samba hoặc #locate samba
Nếu Samba đã được cài đặt rồi thì câu lệnh trên sẽ báo cho biết
version của gói Samba bạn đã cài, còn nếu chưa thì sẽ có thông báo:
package not install

Khi vào smb.conf, sẽ xuất hiện bảng:
Vào Open with gedit để chỉnh sửa các thông số theo nhu cầu.
TIỂU LUẬN BẢO VỆ HỆ THỐNG MÁY TÍNH
NHÓM 6
File smb.conf là file chứa tất cả cấu hình chính của Samba, có thể
xem, sửa,… tùy theo nhu cầu của chúng ta. Trong file này có hai kiểu
chú thích được xác định bằng dấu (;) và (#) đặt ở đầu các dòng. Dấu (#)
là dấu chú thích thực và bạn không thể bỏ dấu này đi được nhưng dấu
(;) là dấu chú thích xác định thuộc tính ở hàng tương ứng có được chọn
hay không, kiểu chú thích này có thể bỏ đi được.
Trong smb.conf được chia làm 2 thành phần chính: global settings và
share definitions, chúng được đặt giữa 2 dấu []. Các thành phần khác
sau global và share được xác định bằng phép gán “=”.
Global Settings: chứa thông số điều khiển của Samba server
[Global]
Workgroup: tên domain hay workgroup của máy Windows mà Linux
đăng nhập.
Server string: mô tả tên máy Linux trên mạng. Việc gán giá trị cho
tham số này không ảnh hưởng lớn đến cấu hình Samba.
Hosts allow: lớp mạng mà có thể truy cập vào máy server. (Vd:
192.168.1. : các máy có IP bắt đầu bằng 192.168.1. đề có thể truy cập
vào máy server Linux).
Password server: tùy chọn này xác định cho chúng ta sử dụng tài
khoản và mật khẩu của máy chủ vùng đăng nhập vào máy server Linux.
Security: kiểu bảo mật trong việc chia sẻ dữ liệu. Samba hỗ trợ 4 kiểu
bảo mật là: USER, SHARE, DOMAIN VÀ SERVER
Nếu bạn muốn sử dụng account và password trên máy chủ điều
khiển vùng để truy nhập vào máy Linux thì đặt tham số DOMAIN và
password server.
Chúng ta dùng kiểu USER khi máy con yêu cầu kết nối thông qua

tài liệu Samba 3.2.x HOWTO.
a. Kiểm tra cấu hình.
Sau khi thiết lập file cấu hình chúng ta nên kiểm tra lại, Samba cung
cấp 2 công cụ là testparm và smbstatus. Để kiểm tra chính xác bạn phải
đảm bảo máy trạm và máy chủ phải nối được với nhau.
• Kiểm tra bằng công cụ Testparm:
Testparm là chương trình cho phép kiểm tra giá trị của thông số trong
file cấu hình. Cấu trúc của câu lệnh này là:
Testparm configfile [hostname hostIP]
Configfile là đường dẫn và tên file cấu hình, mặc định nó lấy file
smb.conf cất trong thư mục /etc/Samba/smb.conf.
TIỂU LUẬN BẢO VỆ HỆ THỐNG MÁY TÍNH
NHÓM 6
Hostname và HostIP là hai thông số không nhất thiết phải có, nó
hướng dẫn Samba kiểm tra cả các dịch vụ đã liệt kê trong file smb.conf.
trên máy xác định bởi Hostname và HostIP.
• Kiểm tra bằng công cụ smbstatus:
Smbtatus là chương trình thông báo các kết nối hiện tại, cấu trúc của
câu lệnh này như sau:
Smbstatus [-d][-p][-s config file]
Tham số configfile mặc định được gán là /etc/Samba/smb.conf. Tham
số –d cho ra kết quả đầy đủ.
• Tạo Samba user
Khi kết nối với các hệ điều hành khác (Windows, …), chúng ta nên
thiết lập các Samba user.
Tạo các Samba user dựa trên các Linux user (nhưng không phải là
Linux user). Điều đó có nghĩa là tạo ra một file smbpasswd dựa trên file
passwd và cả hai file này đều nằm trong smb.conf.
Sử dụng dòng lệnh:
#cat /etc/passwd | mksmbpassswd.sh > /etc/samba/smbpasswd

liệu muốn share).
Hay tạo trong mc (giống như NC của Windows). Vào terminal, gõ
lệnh #mc
TIỂU LUẬN BẢO VỆ HỆ THỐNG MÁY TÍNH
NHÓM 6
Hoặc có thể tạo như trong MS. Windows.
Vào root’s Home, nhấp phải chọn Create folder, đặt tên folder (Ex:
SHARE).
Thiết lập để máy Linux share bằng dịch vụ Samba:
Để thiết lập các thông số, vào file smb.conf (khi thay đổi xong nhớ
lưu lại).
# Global Settings
[Global]
TIỂU LUẬN BẢO VỆ HỆ THỐNG MÁY TÍNH
NHÓM 6
Workgroup = “tên Workgroup chứa máy MS. Windows”
(MSHOME)
Server string = “tên máy server chứa Samba”
(SambaServer)
Hosts allow = “vùng địa chỉ của server” (Ex: 192.168.1. )
# Share Settings
[tên folder chia sẻ] (Ex: SHARE)
Comment = “chú thích”
Path = “đường dẫn đến folder muốn chia sẻ” (/SHARE)
(Các thông số tiếp theo tùy nhu cầu mà thiết lập.)
Cấu hình máy MS. Windows và cho phép workgroup Sharing
Thiết lập để máy MS. Windows nằm trong workgroup (MSHOME)
TIỂU LUẬN BẢO VỆ HỆ THỐNG MÁY TÍNH
NHÓM 6
Cấu hình địa chỉ IP, nhớ phải cùng mạng với server Linux (Ex: IP add:

Tạo các thư mục, nhóm và user:
Dùng lệnh mkdir để tạo thư mục:
# mkdir sambashare
# mkdir tmchiase
# mkdir –p /tmchiase/ {software,data/ {nhomth,detai}}
Câu lệnh này sẽ tạo ra từng thư mục con của tmchiase:
/tmchiase/software
/tmchiase/data
/tmchiase/data/nhomth
TIỂU LUẬN BẢO VỆ HỆ THỐNG MÁY TÍNH
NHÓM 6
/tmchiase/data/detai
# mkdir –p /baocao
Gán quyền truy xuất cho thư mục bằng lệnh chmod:
# chmod 755 /sambashare
# chmod 755 /tmchiase
# chmod 755 /baocao
# chmod –R ug+rwxs,o-w,o+rx /tmchiase
# chmod –R ug+rwxs,o-w,o+rx /baocao
Câu lệnh chmod thiết lập quyền truy xuất file/folder.
Quyền 755 cho phép người tạo ra thư mục đó đọc, chỉnh sửa, thực
thi và những người khác chỉ đọc và thực thi.
Tạo nhóm:
# groupadd tin3dn
# groupadd hocvien
Tạo user:
Tạo các user của tin3dn và hocvien với các thông số như ở bảng 1 &
2
# useradd –m –G tin3dn –c phantuethi tuethi
# passwd tuethi // đặt password cho username tuethi