Como Instalar e Configurar o Samba no Linux: Um Guia Técnico Completo

Samba é uma implementação de código aberto do protocolo SMB/CIFS (Server Message Block / Common Internet File System) que permite que servidores baseados em Linux e Unix partilhem ficheiros, impressoras e outros recursos com clientes Windows — e com outras máquinas Linux. Funciona como uma ponte entre sistemas operativos, tornando-se o padrão de facto para partilha de ficheiros em rede entre plataformas em ambientes mistos.

Para uma resposta concisa à questão principal: instalar o Samba no Linux requer a instalação do pacote `samba` através do gestor de pacotes da sua distribuição, definir blocos de partilha em `/etc/samba/smb.conf`, criar credenciais de utilizador específicas do Samba com `smbpasswd`, e abrir as portas 137–139 e 445 na sua firewall. As secções abaixo cobrem cada camada deste processo em detalhe técnico preciso.

O Que o Samba Faz Internamente

O Samba é executado como um conjunto de daemons. Compreender qual daemon faz o quê evita uma categoria significativa de erros de configuração:

• `smbd` — gere a partilha de ficheiros e impressoras, autenticação e bloqueio de recursos nas portas TCP 445 e 139.
• `nmbd` — gere a resolução de nomes NetBIOS nas portas UDP 137 e 138. Necessário para a navegação na rede Windows (Vizinhança na Rede / “Rede” no Explorador de Ficheiros).
• `winbindd` — integra o Samba com Active Directory ou domínios NT4, permitindo a autenticação de utilizadores de domínio no host Linux. Não é necessário para partilha de ficheiros autónoma.

Quando um cliente Windows abre `servershare`, primeiro resolve o nome do servidor via DNS ou NetBIOS (nmbd), depois estabelece uma sessão SMB com smbd na porta 445. O Samba negoceia o dialeto SMB mutuamente suportado mais elevado — SMB 3.1.1 em sistemas modernos — e mapeia a partilha remota para uma letra de unidade ou caminho UNC no cliente.

Pré-requisitos

Antes de prosseguir, confirme o seguinte:

• Um servidor Linux a executar Ubuntu 20.04/22.04/24.04, Debian 11/12, CentOS Stream 8/9, RHEL 8/9, ou Fedora 38+.
• Acesso root ou `sudo`.
• Um endereço IP privado estático atribuído ao servidor (crítico para montagem estável de partilhas).
• Familiaridade básica com operações de terminal e permissões de ficheiros.
• Acesso à firewall (UFW, firewalld, ou iptables) para abrir as portas necessárias.

Se estiver a implementar o Samba num servidor cloud ou virtual, um ambiente de VPS Hosting oferece-lhe o acesso root completo e o controlo de rede necessários para gerir daemons, regras de firewall e montagens persistentes sem as restrições de ambientes partilhados.

Passo 1: Instalar o Samba

Utilize o gestor de pacotes adequado para a sua distribuição. Atualize sempre o índice de pacotes primeiro para evitar instalar versões desatualizadas.

Debian / Ubuntu:

“`bash

sudo apt-get update

sudo apt-get install samba samba-common-bin

“`

CentOS Stream / RHEL:

“`bash

sudo dnf install samba samba-client samba-common

“`

Fedora:

“`bash

sudo dnf install samba samba-client samba-common

“`

Arch Linux:

“`bash

sudo pacman -S samba

“`

Após a instalação, verifique a versão instalada:

“`bash

smbd –version

“`

Em sistemas baseados em RHEL, instale também `samba-client` para obter o utilitário de diagnóstico `smbclient`, que utilizará em passos posteriores para testar a ligação.

Passo 2: Fazer Cópia de Segurança e Editar o Ficheiro de Configuração Principal

Toda a configuração do Samba reside em `/etc/samba/smb.conf`. Este único ficheiro controla o comportamento global do servidor, o modelo de segurança, as definições de partilha e o registo. Antes de o modificar, crie uma cópia de segurança com marca temporal:

“`bash

sudo cp /etc/samba/smb.conf /etc/samba/smb.conf.backup.$(date +%F)

“`

Abra o ficheiro para edição:

“`bash

sudo nano /etc/samba/smb.conf

“`

O ficheiro está dividido em secções. A secção `[global]` define os parâmetros globais do servidor. As secções de partilha individuais (por exemplo, `[sambashare]`) definem recursos partilhados específicos.

Parâmetros Globais Críticos a Rever

Dentro da secção `[global]`, preste atenção a estas definições:

“`ini

[global]

workgroup = WORKGROUP

server string = Samba Server %v

netbios name = MYSERVER

security = user

map to guest = bad user

dns proxy = no

log file = /var/log/samba/log.%m

max log size = 1000

logging = file

panic action = /usr/share/samba/panic-action %d

server role = standalone server

obey pam restrictions = yes

unix password sync = yes

passwd program = /usr/bin/passwd %u

passwd chat = *Entersnews*spassword:* %nn *Retypesnews*spassword:* %nn *passwordsupdatedssuccessfully* .

pam password change = yes

min protocol = SMB2

max protocol = SMB3

“`

Informação importante: A diretiva `min protocol = SMB2` desativa explicitamente o SMB1, que foi descontinuado desde 2014 e é o vetor de exploits como o EternalBlue (MS17-010). Nunca deixe o SMB1 ativado num servidor de produção. O Windows 10/11 moderno e todos os clientes CIFS Linux atuais suportam SMB2 e SMB3 nativamente.

Passo 3: Criar e Preparar o Diretório Partilhado

Crie o diretório que será exposto na rede:

“`bash

sudo mkdir -p /srv/sambashare

“`

Defina a propriedade e as permissões. A abordagem correta depende de se pretende acesso de convidado ou acesso apenas autenticado.

Para acesso de utilizador autenticado (recomendado para produção):

“`bash

sudo chown root:sambashare /srv/sambashare

sudo chmod 2770 /srv/sambashare

“`

A permissão `2770` decompõe-se em:

• `2` — bit setgid: os novos ficheiros herdam o grupo do diretório, evitando a fragmentação de propriedade em partilhas multiutilizador.
• `7` — o proprietário (root) tem leitura, escrita, execução.
• `7` — o grupo (sambashare) tem leitura, escrita, execução.
• `0` — outros não têm acesso.

Para acesso de convidado/público (laboratório doméstico ou LAN interna apenas):

“`bash

sudo chown nobody:nogroup /srv/sambashare

sudo chmod 0777 /srv/sambashare

“`

Não utilize `0777` em servidores expostos à internet. As partilhas de convidado com permissões de escrita global são adequadas apenas em redes isoladas e de confiança.

Passo 4: Criar o Grupo e Utilizador do Sistema

Para partilhas autenticadas, crie um grupo Linux dedicado que mapeie para a sua partilha Samba:

“`bash

sudo groupadd sambashare

“`

Adicione o utilizador Linux que irá aceder à partilha:

“`bash

sudo useradd -M -s /sbin/nologin sambauser

sudo usermod -aG sambashare sambauser

“`

O sinalizador `-M` ignora a criação de um diretório home (esta é uma conta de serviço, não um utilizador interativo). O sinalizador `-s /sbin/nologin` impede que a conta seja utilizada para logins SSH ou de consola — um passo crítico de reforço de segurança que a maioria dos tutoriais omite.

Agora registe o utilizador na base de dados de palavras-passe do próprio Samba (separada de `/etc/shadow`):

“`bash

sudo smbpasswd -a sambauser

sudo smbpasswd -e sambauser

“`

O sinalizador `-a` adiciona o utilizador; o sinalizador `-e` ativa a conta. O Samba mantém o seu próprio repositório de credenciais em `/var/lib/samba/private/passdb.tdb` (ou ficheiro `smbpasswd` dependendo da definição `passdb backend`). Um utilizador pode existir no Linux sem estar na base de dados do Samba, e vice-versa — deve estar registado em ambos.

Passo 5: Definir a Partilha no smb.conf

Adicione o seguinte bloco no final de `/etc/samba/smb.conf`. São apresentadas duas configurações: uma para acesso autenticado e outra para acesso de convidado.

Partilha Autenticada (Recomendada para Produção)

“`ini

[sambashare]

path = /srv/sambashare

comment = Authenticated Network Share

browsable = yes

writable = yes

read only = no

guest ok = no

valid users = @sambashare

create mask = 0660

directory mask = 2770

force group = sambashare

“`

Descrição dos parâmetros:

• `valid users = @sambashare` — o prefixo `@` significa “qualquer membro do grupo Linux chamado sambashare.” Esta abordagem é mais escalável do que listar nomes de utilizadores individuais.
• `create mask = 0660` — os novos ficheiros são criados com permissões rw-rw—-, evitando ficheiros legíveis por todos.
• `directory mask = 2770` — os novos subdiretórios herdam o bit setgid e as permissões de grupo.
• `force group = sambashare` — força todas as operações de ficheiros a utilizar o grupo sambashare, independentemente do grupo primário do utilizador que se liga.

Partilha de Convidado (Laboratório Doméstico / LAN Interna)

“`ini

[public]

path = /srv/sambashare

comment = Public Network Share

browsable = yes

writable = yes

read only = no

guest ok = yes

guest account = nobody

create mask = 0664

directory mask = 0775

“`

Passo 6: Validar a Configuração

Antes de reiniciar qualquer serviço, execute o analisador de configuração integrado:

“`bash

testparm

“`

`testparm` lê `smb.conf`, reporta erros de sintaxe e imprime a configuração efetiva após aplicar os valores predefinidos. Preste atenção a quaisquer linhas `WARNING` — frequentemente indicam parâmetros obsoletos ou configurações de segurança incorretas. Uma saída limpa termina com:

“`

Loaded services file OK.

Server role: ROLE_STANDALONE

Press enter to see a dump of your service definitions

“`

Se `testparm` reportar erros, corrija-os antes de prosseguir. Reiniciar o smbd com um ficheiro de configuração com erros faz com que o serviço falhe silenciosamente ou reverta para os valores predefinidos.

Passo 7: Reiniciar e Ativar os Daemons do Samba

Debian / Ubuntu:

“`bash

sudo systemctl restart smbd nmbd

sudo systemctl enable smbd nmbd

“`

CentOS / RHEL / Fedora:

“`bash

sudo systemctl restart smb nmb

sudo systemctl enable smb nmb

“`

Verifique se ambos os daemons estão em execução:

“`bash

sudo systemctl status smbd nmbd # Debian/Ubuntu

sudo systemctl status smb nmb # RHEL/Fedora

“`

Verifique se os daemons estão a escutar nas portas corretas:

“`bash

sudo ss -tlnp | grep -E '(smbd|nmbd|445|139)'

“`

A saída esperada deve mostrar `smbd` ligado às portas 445 e 139.

Passo 8: Configurar Regras de Firewall

O Samba requer que as seguintes portas estejam abertas:

UFW (Debian/Ubuntu):

“`bash

sudo ufw allow 'Samba'

sudo ufw status

“`

firewalld (CentOS/RHEL/Fedora):

“`bash

sudo firewall-cmd –permanent –add-service=samba

sudo firewall-cmd –reload

sudo firewall-cmd –list-services

“`

iptables (manual):

“`bash

sudo iptables -A INPUT -p tcp –dport 445 -j ACCEPT

sudo iptables -A INPUT -p tcp –dport 139 -j ACCEPT

sudo iptables -A INPUT -p udp –dport 137:138 -j ACCEPT

“`

Nota de segurança: Se o seu servidor Samba estiver acessível a partir da internet (não recomendado para partilha de ficheiros padrão), restrinja estas regras a intervalos de IP de origem específicos utilizando `-s 192.168.1.0/24` ou equivalente. Expor portas SMB à internet pública é um risco de segurança grave.

Passo 9: Considerações sobre SELinux (RHEL/CentOS/Fedora)

Em sistemas com SELinux em modo de aplicação, o Samba requer etiquetas de contexto adicionais nos diretórios partilhados. Sem estas, o smbd será bloqueado de aceder ao caminho mesmo que as permissões Linux estejam corretas.

“`bash

sudo setsebool -P samba_enable_home_dirs on

sudo setsebool -P samba_export_all_rw on

sudo semanage fcontext -a -t samba_share_t "/srv/sambashare(/.*)?"

sudo restorecon -Rv /srv/sambashare

“`

Verifique se o contexto foi aplicado:

“`bash

ls -lZ /srv/sambashare

“`

A saída deve mostrar `system_u:object_r:samba_share_t:s0` como contexto SELinux. Ignorar este passo é a razão mais comum pela qual as partilhas Samba falham em sistemas da família RHEL — o serviço parece iniciar corretamente, mas os clientes recebem erros de “Acesso Negado”.

Passo 10: Aceder à Partilha a partir do Windows

Num cliente Windows:

1. Abra o Explorador de Ficheiros.
2. Na barra de endereços, escreva: `<server-ip>sambashare` e prima Enter.
3. Quando solicitado, introduza o nome de utilizador e a palavra-passe do Samba.
4. Para tornar a ligação persistente, clique com o botão direito na partilha e selecione Mapear unidade de rede.

Para implementações com scripts ou empresariais, mapeie a unidade a partir da linha de comandos:

“`cmd

net use Z: 192.168.1.100sambashare /user:sambauser /persistent:yes

“`

Passo 11: Aceder à Partilha a partir do Linux

Utilizando smbclient (interativo, para testes):

“`bash

smbclient //192.168.1.100/sambashare -U sambauser

“`

Isto abre uma shell interativa semelhante ao FTP. Utilize `ls`, `get`, `put` e `exit` para navegar e transferir ficheiros.

Montar a partilha de forma persistente com CIFS:

Primeiro, instale o pacote de utilitários CIFS:

“`bash

sudo apt-get install cifs-utils # Debian/Ubuntu

sudo dnf install cifs-utils # RHEL/Fedora

“`

Crie um ponto de montagem e um ficheiro de credenciais (nunca coloque palavras-passe em `/etc/fstab` em texto simples):

“`bash

sudo mkdir -p /mnt/sambashare

sudo nano /etc/samba/credentials

“`

Dentro do ficheiro de credenciais:

“`

username=sambauser

password=yourpassword

domain=WORKGROUP

“`

Proteja o ficheiro de credenciais:

“`bash

sudo chmod 600 /etc/samba/credentials

sudo chown root:root /etc/samba/credentials

“`

Adicione a montagem a `/etc/fstab` para persistência entre reinicializações:

“`

//192.168.1.100/sambashare /mnt/sambashare cifs credentials=/etc/samba/credentials,uid=1000,gid=1000,iocharset=utf8,vers=3.0,_netdev 0 0

“`

A opção `_netdev` indica ao sistema para aguardar a disponibilidade da rede antes de tentar a montagem — essencial em servidores que montam partilhas de rede no arranque. A opção `vers=3.0` força o SMB3, evitando o fallback para dialetos mais antigos.

Teste a entrada fstab sem reinicializar:

“`bash

sudo mount -a

“`

Comparação de Versões do Protocolo SMB

Escolher o dialeto SMB correto afeta o desempenho, a segurança e a compatibilidade. A tabela seguinte resume as principais diferenças:

Defina sempre `min protocol = SMB2` em `[global]` e prefira `SMB3` onde todos os clientes o suportem. O SMB3.1.1 com encriptação (`smb encrypt = required`) é a escolha correta para qualquer partilha que contenha dados sensíveis.

Samba vs. NFS: Escolher o Protocolo Correto

Tanto o Samba (SMB/CIFS) como o NFS são amplamente utilizados para partilha de ficheiros em rede baseada em Linux, mas servem casos de uso diferentes:

Se a sua infraestrutura for exclusivamente Linux — por exemplo, um cluster de Servidores Dedicados a executar cargas de trabalho em contentores — o NFS pode oferecer menor latência. Para qualquer ambiente com clientes Windows ou utilizadores macOS, o Samba é a escolha correta.

Problemas Comuns e Resolução de Problemas

A partilha está visível mas devolve “Acesso Negado”

• Em sistemas SELinux: Verifique e aplique o contexto `samba_share_t` conforme descrito no Passo 9.
• Verifique as permissões Linux: O utilizador que se liga (ou a conta `nobody` para partilhas de convidado) deve ter acesso de leitura/escrita ao nível do sistema de ficheiros para o caminho, independentemente das ACLs do próprio Samba.
• Verifique o smbpasswd: O utilizador deve ser adicionado com `smbpasswd -a` e ativado com `smbpasswd -e`.

A partilha não está visível ao navegar na rede

• Confirme que `nmbd` está em execução: `sudo systemctl status nmbd`.
• Certifique-se de que `browsable = yes` está definido na definição da partilha.
• O Windows 10/11 desativou o serviço “Computer Browser” dependente do SMB1. Utilize caminhos UNC diretos (`ipshare`) em vez de depender da descoberta de rede.

Velocidades de transferência lentas

• Force o SMB3 com `vers=3.0` ou `vers=3.1.1` nas opções de montagem.
• Ative MTU grande: adicione `socket options = TCP_NODELAY IPTOS_LOWDELAY SO_RCVBUF=131072 SO_SNDBUF=131072` a `[global]`.
• Verifique se o multicanal SMB está disponível: `smbstatus –verbose`.

Registos e diagnósticos

“`bash

sudo tail -f /var/log/samba/log.smbd

sudo smbstatus

sudo pdbedit -L -v # List all Samba users

“`

Samba em Produção: Considerações de Arquitetura

Para implementações em produção além de uma simples partilha de ficheiros, considere o seguinte:

Integração com Active Directory: O Samba 4 pode funcionar como um Controlador de Domínio Active Directory completo, suportando LDAP, Kerberos, DNS e Política de Grupo. Este é um passo arquitetural significativo além da partilha de ficheiros autónoma e requer o provisionamento de `samba-ad-dc`.

Partilhas de Diretório Home: O meta-serviço `[homes]` em `smb.conf` cria automaticamente uma partilha pessoal para cada utilizador autenticado, mapeada para o seu diretório home Linux. Isto elimina a necessidade de definir blocos de partilha individuais por utilizador.

Partilha de Impressoras: O Samba integra-se com o CUPS para partilhar impressoras na rede. As definições de partilha `[printers]` e `[print$]` tratam disto, embora a partilha de impressoras se tenha tornado menos comum com o surgimento dos serviços de impressão na cloud.

Quotas: O Samba respeita as quotas do sistema de ficheiros Linux. Implemente quotas ao nível do sistema de ficheiros utilizando ferramentas `quota`, e o Samba irá aplicá-las de forma transparente.

Para equipas que executam aplicações web juntamente com partilhas de ficheiros, combinar o Samba com um VPS com cPanel oferece-lhe um painel de controlo gerido para alojamento web, mantendo o acesso SSH completo para a administração do Samba. Para ambientes que requerem múltiplos serviços de alojamento sob o mesmo teto, rever os Painéis de Controlo VPS disponíveis ajuda a identificar a camada de gestão correta para a sua stack.

Se o seu servidor Samba também aloja conteúdo web ou dados de aplicações, protegê-lo com um Certificado SSL para quaisquer serviços web associados garante que toda a stack cumpre os padrões de segurança modernos.

Lista de Verificação Técnica

Utilize esta lista de verificação antes de considerar a sua implementação Samba pronta para produção:

• [ ] SMB1 explicitamente desativado via `min protocol = SMB2` em `[global]`
• [ ] Utilizadores Samba criados com `smbpasswd -a` e ativados com `smbpasswd -e`
• [ ] As contas de serviço utilizam `-s /sbin/nologin` para bloquear o acesso à shell
• [ ] Os diretórios de partilha utilizam o bit setgid (`chmod 2770`) para propriedade de grupo consistente
• [ ] `testparm` executa sem avisos ou erros
• [ ] Tanto `smbd` como `nmbd` estão ativados e em execução
• [ ] As regras de firewall restringem as portas SMB (445, 139, 137-138) apenas a IPs de origem de confiança
• [ ] Contexto SELinux (`samba_share_t`) aplicado em sistemas RHEL/CentOS/Fedora
• [ ] O ficheiro de credenciais para montagens CIFS tem permissão `chmod 600` e é propriedade do root
• [ ] As entradas `/etc/fstab` utilizam a opção `_netdev` para montagens dependentes da rede
• [ ] Registos Samba revistos em `/var/log/samba/` após a implementação inicial
• [ ] `smbstatus` confirma sessões ativas e ficheiros bloqueados após a implementação

FAQ

Que portas utiliza o Samba e é necessário abrir todas elas?

O Samba utiliza TCP 445 (SMB direto, obrigatório), TCP 139 (SMB sobre NetBIOS, necessário para clientes legados) e UDP 137-138 (resolução de nomes NetBIOS, necessário para navegação na rede). Para ambientes modernos com clientes Windows 10/11 ou Linux que utilizam caminhos UNC diretos, apenas o TCP 445 é estritamente necessário. O UDP 137-138 e o TCP 139 podem ser bloqueados se a resolução de nomes NetBIOS não for necessária.

Por que razão a minha partilha Samba funciona a partir do Linux mas devolve “Acesso Negado” a partir do Windows?

Isto é quase sempre um problema de cache de credenciais no lado do Windows. O Windows armazena em cache as credenciais SMB por sessão. Abra o Gestor de Credenciais (Painel de Controlo > Gestor de Credenciais > Credenciais do Windows), remova quaisquer entradas em cache para o IP do servidor e volte a ligar. Se o problema persistir, verifique se o utilizador está ativado na base de dados do Samba com `sudo pdbedit -L -v`.

Qual é a diferença entre `security = user` e `security = share` no smb.conf?

`security = share` (segurança ao nível da partilha) está obsoleto e foi removido no Samba 4. `security = user` (segurança ao nível do utilizador) é o único modo suportado no Samba moderno — cada ligação é autenticada com um nome de utilizador e palavra-passe específicos. O acesso de convidado é tratado separadamente através das diretivas `guest ok` e `map to guest`, não através do parâmetro `security`.

O Samba pode coexistir com o NFS no mesmo servidor?

Sim. O Samba e o NFS operam em portas e protocolos completamente diferentes e não entram em conflito ao nível da rede. No entanto, partilhar o mesmo diretório através de ambos os protocolos simultaneamente pode causar conflitos de bloqueio de ficheiros, particularmente com operações de escrita. Se tiver de partilhar os mesmos dados através de ambos os protocolos, utilize um gestor de bloqueio distribuído (DLM) ou restrinja um protocolo a acesso apenas de leitura.

Como adiciono múltiplos utilizadores a uma única partilha Samba?

Utilize um grupo Linux. Crie o grupo (`groupadd teamshare`), adicione utilizadores ao mesmo (`usermod -aG teamshare user1`), defina a propriedade de grupo do diretório de partilha (`chown root:teamshare /srv/share`) e referencie o grupo em `smb.conf` com `valid users = @teamshare`. Esta abordagem escala de forma limpa — adicionar um utilizador à partilha requer apenas um comando `usermod` e um registo `smbpasswd -a`, sem alterações a `smb.conf`.