RockyLinux文件共享合规性指南（手把手教你搭建安全合规的企业级文件共享服务）

步骤一：安装Samba服务

Samba 是 Rocky Linux 中最常用的文件共享协议，支持 Windows 和 Linux 系统之间的无缝共享。首先，我们需要安装 Samba：

sudo dnf update -ysudo dnf install samba samba-common samba-client -y  

步骤二：创建专用共享目录并设置权限

为确保合规性，我们建议为共享文件创建独立目录，并严格控制访问权限：

sudo mkdir -p /srv/samba/compliance_sharesudo chown -R root:sambashare /srv/samba/compliance_sharesudo chmod 2770 /srv/samba/compliance_share  

这里使用了 2770 权限，其中 2 表示设置 setgid 位，确保新创建的文件继承父目录的组权限，这是企业级文件共享中常见的安全实践。

步骤三：配置Samba服务

编辑 Samba 配置文件 /etc/samba/smb.conf，添加如下合规共享配置：

[global]   workgroup = WORKGROUP   security = user   map to guest = never   server min protocol = SMB2   server smb encrypt = required[compliance_share]   path = /srv/samba/compliance_share   browseable = yes   writable = yes   valid users = @sambashare   force group = sambashare   create mask = 0660   directory mask = 2770  

关键配置说明：

• server smb encrypt = required：强制启用 SMB 加密，防止数据在传输中被窃听。
• map to guest = never：禁止匿名访问，所有用户必须认证。
• server min protocol = SMB2：禁用老旧且不安全的 SMB1 协议。

步骤四：创建Samba用户

为确保只有授权人员可访问，需创建专用 Samba 用户：

sudo groupadd sambasharesudo useradd -G sambashare alicesudo smbpasswd -a alice  

系统会提示您为用户 alice 设置 Samba 密码。该密码独立于系统登录密码，便于审计和管理。

步骤五：启动并启用Samba服务

sudo systemctl enable --now smb nmbsudo firewall-cmd --permanent --add-service=sambasudo firewall-cmd --reload  

验证与审计建议

完成配置后，您可以通过 Windows 资源管理器或 Linux 的 smbclient 测试连接。此外，为满足合规要求，建议：

• 定期审查 Samba 日志（/var/log/samba/）
• 启用 SELinux 并配置正确上下文：
  sudo semanage fcontext -a -t samba_share_t "/srv/samba/compliance_share(/.*)?"
sudo restorecon -R /srv/samba/compliance_share
• 定期更新系统和 Samba 软件包以修复安全漏洞

结语

通过以上步骤，您已在 Rocky Linux 上成功搭建了一个安全、合规的文件共享服务。这不仅满足了日常协作需求，也为企业通过信息安全审计打下了坚实基础。记住，RockyLinux SMB配置只是第一步，持续的安全运维才是保障数据合规的关键。

希望本教程能帮助您轻松掌握 RockyLinux文件共享 的合规配置方法！