CentOS下shell脚本自动配置samba（含iptable、SELinux配置）

首先要感谢三篇文章，没有这三篇文章，我根本搞不定samba。分别是鸟哥私房菜的samba教程、CentOS Wiki中samba的教程、第三方samba教程。废话少说，下面进入正文。

1. 安装samba。

yum -y install samba

注意，有的文章会写成yum -y install samba samba-client，其实后面的samba-client根本不需要，因为装samba的时候自动就把samba-client装上了。
2. 配置samba。

也就是修改/etc/samba/smb.conf文件。我这里是删除了原来的文件，直接新写了一份，大家自己记得先备份原始文件，因为后面还有用。下面是我修改后的文件内容。

[global]
netbios name = sambaserver
server string = samba server
log file = /var/log/samba/log.%m
max log size = 50
load printers = No

security = user
passdb backend = tdbsam

#中括号中的字符串就是将来访问的虚拟目录的名称，如这个[project]将来访问时就是：\\ip\project
[project]
comment = smb's project
#共享路径
path = /home/project
#可查看
browseable = yes
#可读写
writable = yes
#users用户组可以访问
write list = @users

修改完后，不要忘记使用testparm检查文件是否可用。

3. 创建文件夹

mkdir /home/project

4. 配置用户。

samba的用户有两个特点：1. 首先要是一个Linux用户，2. samba的用户可以有自己独立的密码，登录时用这个独立密码，而不是Linux密码。

下面是新建一个叫smbuser，密码是1234的Linux用户，并将用户加入到users组下（因为在smb.conf中，我是使用的用户组，即@users来处理权限的），并修改共享目录的用户组即权限。

chgrp users /home/project/
chmod 2770 /home/project/
useradd -G users smbuser
echo 1234 | passwd --stdin smbuser

有了Linux用户，就可以将这个用户设置为一个samba的用户，并且设定一个独立的密码：111

pdbedit -a -u smbuser

在弹出提示后，你可以为该用户输入密码111

5. 配置iptables

对Linux防火墙了解很浅，经过试验，只要放行INPUT就可以上传下载，放行端口和协议包括tcp的139，445。udp的137、138、445，放行语句如下：

iptables -A INPUT -p tcp -m multiport --dports 139,445 -j ACCEPT
iptables -A INPUT -p udp -m multiport --dports 137,138,445 -j ACCEPT

保存并重启iptables

/etc/rc.d/init.d/iptables save
service iptables restart

6. 配置SELinux

请找到你之前备份的smb.conf文件，里面的“SELINUX NOTES”对SELinux有很清晰的描述，home文件夹、自己创建的文件夹、系统创建的文件夹等情况处理方式都不一样，请自行阅读。我这里的文件夹是我自己创建的，因此处理方式如下：

chcon -t samba_share_t /home/project/

7. 重启samba服务

service smb restart

这里有一点要注意，默认情况下smb是没有启动的，因此这时屏幕会提示smb关闭失败的错误，这很正常。另外，samba有smb和nmb两个服务，smb是进行共享的，nmb是将地址映射称计算机名的，如果你只用ip访问，那么这个nmb服务不启动也无所谓。

到此为止，samba的简单共享文件夹就完成了、创建/删除/修改文件或文件夹都是可以的。可以\\192.168.1.2\project来测试一下。

----------------------------------------------------------------分割线----------------------------------------------------------

上面完成了简单配置，下面讲一下前面我参考的文章中的不足。

首先是鸟哥的私房菜。

说真的，这篇文章写得很好，但是耐不住时间的变迁，软件发生里变化，但文章没有更新。主要问题是匿名用户访问时，原文用的“security = SHARE“但是在现在的版本中，SHARE和SERVER都已经被废弃（deprecated），所以匿名用户不能用security = SHARE，而要用

security = user
map to guest = Bad User

另外，原文中对SELinux的配置是针对的home文件夹，而我这里是针对的自己创建的文件夹，此处略有不同

其次是CentOS的wiki。

这篇文章中针对iptables的配置是下面这样的，直接修改iptables的配置文件：

-A RH-Firewall-1-INPUT -s 192.168.10.0/24 -m state --state NEW -m tcp -p tcp --dport 445 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.10.0/24 -m state --state NEW -m udp -p udp --dport 445 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.10.0/24 -m state --state NEW -m udp -p udp --dport 137 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.10.0/24 -m state --state NEW -m udp -p udp --dport 138 -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.10.0/24 -m state --state NEW -m tcp -p tcp --dport 139 -j ACCEPT

其实端口和协议没有问题，但是修改方式在我这里试验完全不行，会导致iptables无法启动，因此我用的是iptables的命令。

----------------------------------------------------------------分割线----------------------------------------------------------

由于需要自动配置，因此在第4步中的配置samba用户时，不能使用”pdbedit -a -u smbuser“，因为这样需要你手动输入密码，因此为了在shell脚本中能够使用，我们改成下面这个样子：

(echo 111;echo 111) | pdbedit -t -a -u smbuser

最后的脚本文件如下：

mkdir /home/project
chgrp users /home/project/
chmod 2770 /home/project/
useradd -G users smbuser
echo 1234 | passwd --stdin smbuser

(echo 111;echo 111) | pdbedit -t -a -u smbuser

iptables -A INPUT -p tcp -m multiport --dports 139,445 -j ACCEPT
iptables -A INPUT -p udp -m multiport --dports 137,138,445 -j ACCEPT

/etc/rc.d/init.d/iptables save
service iptables restart

chcon -t samba_share_t /home/project/

service smb restart

而你要做的也变得简单了：

1. 安装samba

2. 配置smb.conf

3. 执行上面的脚本