Samba是在Linux和UNIX系統上實現SMB協議的一個免費軟件，由服務器及客戶端程序構成。SMB（Server Messages Block，信息服務塊）是一種在局域網上共享文件和打印機的一種通信協議，它為局域網內的不同計算機之間提供文件及打印機等資源的共享服務。

　　samba三種權限理解：

　　1、一個文件都有一個所有者，表示該文件是誰創建的。

　　2、同時，該文件還有一個組編號，表示該文件所屬的組，一般為文件所有者所屬的組。

　　3、如果是一個可執行文件，那么在執行時，一般該文件只擁有調用該文件的用戶具有的權限。

　　權限標志通過三個“位”來定義，分別是：

　　1、setuid：設置使文件在執行階段具有文件所有者的權限。比如/usr/bin/passwd，如果一般用戶執行該文件，則在執行過程中，該文件可以獲得root權限，從而可以更改用戶的密碼。

　　2、setgid：該權限只對目錄有效。目錄被設置該位后，任何用戶在此目錄下創建的文件都具有和該目錄所屬的組相同的組。

　　3、sticky bit：該位可以理解為防刪除位。 一個文件是否可以被某用戶刪除，主要取決于該文件所屬的組是否對該用戶具有寫權限。如果沒有寫權限，則這個目錄下的所有文件都不能被刪除，同時也不能添加新的文件。 如果希望用戶能夠添加文件但同時不能刪除文件，則可以對文件使用sticky bit位。設置該位后，就算用戶對目錄具有寫權限也不能刪除該文件。

　　三個權限的特點：

　　Sticky（范例：/tmp目錄）

　　①sticky只能應用在目錄上，并且是應用在其它人上。

　　②只有root和文件的擁有人才能刪除該文件。

　　③小寫表示能執行，大寫表示不能執行

　　Suid（范例：/usr/bin/passwd目錄）

　　①suid只能應用在二進制文件中

　　②當一個文件應用了suid，那么任何人在執行該命令的時候他就臨時擁有該文件擁有人的權限

　　③suid只能應用在文件的擁有人上

　　④小寫表示能執行，大寫表示不能執行

　　Sgid（應用環境為用于一組開發人員共用資源，保證安全）

　　①sgid既可以應用在文件上，也可以應用在目錄上

　　②當sgid應用在目錄上時，任何人在該目錄中建立健全的文件和目錄的擁有者屬于目錄所屬組

　　③應用在擁有組上

　　④sgid應用在文件上時，任何人在執行該文件時，臨時擁有該文件所屬組權限

　　⑤小寫表示可執行，大寫反之。

　　如何操作這些標志：

　　操作這些標志與操作文件權限的命令是一樣的， 都是 chmod。有兩種方法來操作：

　　① chmod u+s temp -- 為temp文件加上setuid標志。 （setuid 只對文件有效）

　　chmod g+s tempdir -- 為tempdir目錄加上setgid標志 （setgid 對目錄和文件有效）

　　chmod o+t temp -- 為temp文件加上sticky標志 （sticky只對文件有效）

　　② 采用八進制方式。對一般文件通過三組八進制數字來置標志，如 666，777，644等。如果設置這些特殊標志，則在這組數字之外外加一組八進制數字，如4666，2777等。這一組八進制數字三位的意義如下，

　　abc

　　a - setuid位。如果該位為1，則表示設置setuid

　　b - setgid位。如果該位為1，則表示設置setgid

　　c - sticky位。如果該位為1，則表示設置sticky

　　我習慣用第一種方法來做，但許多時候文件的權限表示都是用數字為執行；所以，建議兩種方法都要掌握熟悉。

　　設置完這些標志后， 可以用 ls -l 來查看。 如果有這些標志，則會在原來的執行標志位置上顯示。 如

　　rwsrw-r-- 表示有setuid標志

　　rwxrwsrw- 表示有setgid標志

　　rwxrw-rwt 表示有sticky標志

　　那么原來的執行標志x到哪里去了呢？系統是這樣規定的，如果本來在該位上有x，則這些特殊標志顯示為小寫字母 （s， s， t）。否則， 顯示為大寫字母 （S， S， T）

　　這三個權限的數字位可以這么理解，這是我的理解和記憶參考法，僅供大家參考學習

　　［root@server3 test］# 1 1 1

　　［root@server3 test］# rws rws rwt

　　［root@server3 test］#

　　［root@server3 test］# SUID SGID Sticky

　　所以，可以得出

　　chmod 4777是設sid

　　chmod 2777是設置gid

　　chmod 1777是設sticky

　　最后，介紹兩個常用操作。

　　常用操作：

　　找出所有危險的目錄（設置目錄所有人可讀寫卻沒有設置sticky位的目錄）

　　find / -perm -0007 -type d

　　找出所有設置了suid的文件

　　find / -perm -4000 -type f

　　使用samba用戶的權限設置

　　首先要保證你的samba安裝并配置好

　　需求1：有一個共享目錄為rule，里面放公司的規章制度，所有用戶都可以查看，但是不能修改

　　解決方法：在smb.conf里配置read only = yes，具體示例如下：

　　［rule］

　　path = /var/samba/rule

　　read only = yes

　　public = no

　　vaild users = theworld

　　需求2：一部分人只對file1這個目錄有權限，一部分人只對file2這個目錄有權限

　　解決方法：

　　1、首先建立兩個samba用戶user1和user2，這兩個用戶要保證是在linux系統中存在的用戶，命令如下：

　　#smbpasswd -a user1

　　2、然后對目錄file1和file2設置訪問權限，讓用戶user1訪問file1，用戶user2訪問file2，命令如下：

　　#chown user1:user1 /var/samba/file1

　　#chmod 700 /var/samba/file1

　　3、在smb.conf中配置file1和file2的訪問權限，示例如下：

　　［file1］

　　path = /var/samba/file1

　　read only = no

　　public = no

　　vaild users = user1

　　4、在客戶端登錄samba服務的時候分配給訪問file1的用戶user1的用戶名，訪問file2的用戶user2的用戶名。

　　需求3：只有user1組里的人對file1這個目錄有權限，并且user1組中用戶a有讀寫權限，而用戶b只有讀權限

　　解決方法：

　　1、首先建立兩個samba用戶a和b，這兩個用戶要保證是在linux系統中存在的用戶，并且在同一個用戶組user1中，創建方法同上

　　2、然后對目錄file1設置訪問權限，讓用戶組user1可以訪問file1，命令如下：

　　#chown user1.user1 /var/samba/file1

　　#chmod 770 /var/samba/file1

　　3、在smb.conf中配置file1的訪問權限，示例如下：

　　［file1］

　　path = /var/samba/file1

　　public = no

　　vaild users = @user1

　　write list = a

　　read list = b

　　需求3：只有user1組里的人對file1這個目錄有權限，并且user1組中所有用戶都有讀寫權限，這里值得注意的是當權限設置好后新建文件夾及文件的權限會與之前不同導致同組用戶只有讀權限沒有寫權限，所以要在配置文件中指定新建文件及文件夾的權限

　　解決方法：

　　1、首先建立所需的samba用戶若干，這些用戶要保證是在linux系統中存在的用戶，并且在同一個用戶組user1中，創建方法同上

　　2、然后對目錄file1設置訪問權限，讓用戶組user1可以訪問file1，命令如下：

　　#chown user1.user1 /var/samba/file1

　　#chmod 770 /var/samba/file1

　　3、在smb.conf中配置file1的訪問權限，示例如下：

　　［file1］

　　path = /var/samba/file1

　　read only = no

　　public = no

　　create mode = 0770

　　directory mode = 0770

　　vaild users = @user1

　　write list = @theworld