Samba

Samba — открытая реализация протоколов SMB/CIFS для Linux и Unix-систем. Позволяет Linux-серверу выступать как Windows-файловый сервер или контроллер домена Active Directory. Обеспечивает совместный доступ к файлам между Linux и Windows в корпоративных сетях.

Как работает

Samba реализует протокол SMB (Server Message Block) — тот же протокол, по которому Windows-компьютеры обмениваются файлами в сети. Linux-сервер с Samba появляется в Windows-сети как обычный Windows-шаринг: пользователи подключаются через Проводник по пути \\server\share.

Компоненты Samba: smbd — файловый сервер и принтер-шарер. nmbd — NetBIOS name service (разрешение имён без DNS). winbindd — интеграция с Active Directory (аутентификация доменных пользователей).

История

Samba создана Эндрю Триджеллом в Австралийском национальном университете в 1992 году. Название пришло из поиска слов, содержащих буквы S, M, B. Изначально называлась smbserver, переименована после конфликта с правами на название. Версия 4.0 (2012) добавила функциональность Active Directory Domain Controller — Samba впервые смогла полностью заменить Windows Server AD в небольших организациях. Samba 4.14+ поддерживает SMB 3.1.1 (Windows 10/Server 2019).

Базовая конфигурация

# /etc/samba/smb.conf
[global]
   workgroup = WORKGROUP
   server string = File Server
   security = user
   map to guest = bad user

[shared]
   path = /srv/samba/shared
   browseable = yes
   read only = no
   guest ok = no
   valid users = @sambagroup
   create mask = 0664
   directory mask = 0775

# Создать пользователя Samba
useradd -s /usr/sbin/nologin sambauser
smbpasswd -a sambauser

# Проверить конфигурацию
testparm

Samba и безопасность

SMB-порты (139, 445) часто сканируются ботами из-за исторических уязвимостей: EternalBlue (MS17-010) — 0-day NSA, использованный WannaCry. Правила UFW: разрешать SMB только из внутренней сети:

ufw allow from 192.168.1.0/24 to any port 445 proto tcp
ufw allow from 192.168.1.0/24 to any port 139 proto tcp

Никогда не открывайте Samba в интернет напрямую. Для удалённого доступа — SSH-туннель или VPN.

На что обращать внимание

Samba на VPS в облаке — нетипичный сценарий. Samba предназначена для локальных сетей, где пропускная способность высокая и задержка низкая. Для удалённого доступа к файлам на VPS используйте SFTP (Cyberduck) или WebDAV. Samba полезна в локальных office-сетях и на выделенных файловых серверах в корпоративной инфраструктуре.

Samba в корпоративной среде

В крупных организациях Samba используется как замена Windows Active Directory — Samba AD DC позволяет Linux-серверу выступать контроллером домена и управлять учётными записями Windows-клиентов через LDAP и Kerberos. Это снижает зависимость от лицензий Microsoft и позволяет строить гибридные инфраструктуры.

Для небольших команд достаточно классической конфигурации файлового сервера: общие папки по департаментам с разграничением прав. Конфигурация в /etc/samba/smb.conf позволяет назначить права на уровне шары и разрешить доступ конкретным пользователям или группам. В сочетании с LDAP для централизованной аутентификации получается полноценный сетевой файловый сервер без Windows Server. Мониторинг активных соединений доступен через smbstatus — показывает залогиненных пользователей, открытые файлы и блокировки.