基本理论:
DNS系统的作用是把域名和IP对应起来。
正向解析:根据域名(主机名)查找对应的IP地址。
反向解析:根据IP地址查询对应的域名(主机名)。
查询
递归查询:大多数客户机向DNS服务器解析域名的方式。
迭代查询:大多数DNS服务器向其它DNS服务器解析域名的方式。
DNS服务器的类型
缓存域名服务器:也称唯高速缓存服务器。通过向其它域名服务器查询获得域名与IP地址的对应记录,将域名查询结果缓存到本地,提高重复查询时的速度。
主域名服务器:特定DNS区域的官方服务器,具有唯一性。负责维护该区域内的所有域名与IP的映射记录。
从域名服务器:也称辅助域名服务器。其维护的域名与IP地址的映射记录来源于主域名服务器。
环境准备:
临时关闭selinux和iptables
#setenforce 0
#service iptables stop
查询相关软件包:
[root@localhost ~]# yum search bind
Loaded plugins: product-id, refresh-packagekit, subscription-manager
Updating Red Hat repositories
====================================================================================== N/S Matched: bind ======================================================================================
PackageKit-device-rebindi686 : Device rebind functionality for PackageKit
bindi686 : The Berkeley Internet Name Domain (BIND) DNS (Domain Name System) server
bind-chrooti686 : A chroot runtime environment for the ISC BIND DNS server, named(8)
bind-utilsi686 : Utilities for querying DNS name servers
其中各软件包的作用如下:
bind: 提供域名服务的主要程序及相关文件。
bind-chroot:为bind提供一个伪装的根目录以增强安全性。
bind-utils:提供对DNS服务器测试的工具程序(如nslookup、dig等)。
安装BIND软件包#yum install bind
配置DNS服务器:
bind服务器端程序
主要执行程序:/usr/sbin/named
服务脚本:、etc/initd/named
默认监听端口:53
主配置文件: /etc/namedconf
保存DNS解析记录的数据文件: /var/named/chroot/var/named
查询bind程序的配置文件列表
[root@localhost ~]# rpm -qc bind
/etc/logrotated/named
/etc/namedconf
/etc/namediscdlvkey
/etc/namedrfc1912zones
/etc/namedrootkey
/etc/rndcconf
/etc/rndckey
/etc/sysconfig/named
/var/named/namedca
/var/named/namedempty
/var/named/namedlocalhost
/var/named/namedloopback
查看主配置文件namedconf
#vim /etc/namedconf
主配置文件解析:
全局配置部分:
默认的全局配置项如下:
10 options {
11 listen-on port 53 { 127001; }; //监听的端口和接口IP地址
12 listen-on-v6 port 53 { ::1; };
13 directory "/var/named"; //dns区域的数据文件默认存放位置
14 dump-file "/var/named/data/cache_dumpdb";
15 statistics-file "/var/named/data/named_statstxt";
16 memstatistics-file "/var/named/data/named_mem_statstxt";
17 allow-query { localhost; }; //允许dns查询的客户机列表,any表示所有
18 recursion yes; //是否允许客户机进行递归查询
19
20 dnssec-enable yes;
21 dnssec-validation yes;
22 dnssec-lookaside auto;
23
24 / Path to ISC DLV key /
25 bindkeys-file "/etc/namediscdlvkey";
26 };
全局配置中还有如下选项:
forwarders {2021022468;12333;}; //将本域名服务器不能解析的条目转发给其它DNS服务器的IP地址
默认的区域配置项如下:
35 zone "" IN {
36 type hint; //区域类型。hint为根区域;master为主区域; slave为辅助区域
37 file "namedca"; //该区域对应的区域数据配置文件名
38 };
区域配置中还有如下选项:
allow-transfer {189989023;}; //允许下载区域数据库的从域名服务器IP地址
allow-update {none;}; //允许动态更新的客户端IP地址(none表示全部禁止)
添加如下区域配置:
zone “mycom” IN {
type master; //主区域
file “mycom”; //该区域对应的区域数据配置文件名
allow-transfer {1921681531;}; //允许下载区域数据库的从域名服务器IP地址
allow-update {none;};
};
zone “153168192in-addrarpa” IN { //表示针对IP192168153130反向解析
type master; //主区域
file “192168153myarpa”; //该区域对应的区域数据配置文件名
};
配置完了,可以执行如下命令对namedconf文件进行语法检查。
#named-checkconf
注意:倒序网络地址in-addrarpa 表示反向区域
主配置文件最后还有一行是:
include “/etc/namedrfc1912zones” //该文件包含/etc/namedrfc1912zones文件
区域数据配置文件:
先看一下namedlocalhost的内容:
$TTL 1D //time to live 生存时间
@ IN SOA @ rnameinvalid ( //”rnameinvalid”DNS区域地址
0 ; serial //更新序列号
1D ; refresh //更新时间
1H ; retry //重试延时
1W ; expire //失效时间
3H ) ; minimum //无效地址解析记录的默认缓存时间
NS @ //name server 域名服务记录
A 127001 //address 只用在正向解析的区域数据文件中
AAAA ::1
新建2个对应的区域数据配置文件:
#touch mycom
#touch 192168153myarpa
#vim mycom
$TTL 86400
@ IN SOA mycom adminmycom ( //adminmyNaN为该区域管理员的邮箱地址
200900201
3H
15M
1W
1D
)
@ IN NS ns1mycom //当前域的DNS服务器地址
IN MX 10 mailmycom //用于设置当前域的邮件服务器域名地址,数字10表示优先级别,数字越大优先级越低
ns1 IN A 192168153130
mail IN A 192168153130
>
在linux系统中一般通过bind软件包来提供dns服务。
1、环境准备:
临时关闭selinux和iptables
#setenforce 0#service iptables stop
2、查询相关软件包:
[root@localhost ~]# yum search bindLoaded plugins: product-id, refresh-packagekit, subscription-manager
Updating Red Hat repositories
====================================================================================== N/S Matched: bind ======================================================================================
PackageKit-device-rebindi686 : Device rebind functionality for PackageKit
bindi686 : The Berkeley Internet Name Domain (BIND) DNS (Domain Name System) server
bind-chrooti686 : A chroot runtime environment for the ISC BIND DNS server, named(8)
bind-utilsi686 : Utilities for querying DNS name servers
其中各软件包的作用如下:
1)、bind: 提供域名服务的主要程序及相关文件。
2)、bind-chroot:为bind提供一个伪装的根目录以增强安全性。
3)、bind-utils:提供对DNS服务器测试的工具程序(如nslookup、dig等)。
3、安装BIND软件包
#yum install bind4、配置DNS服务器:
1)、bind服务器端程序
主要执行程序:/usr/sbin/named
服务脚本:、etc/initd/named
默认监听端口:53
主配置文件: /etc/namedconf
保存DNS解析记录的数据文件: /var/named/chroot/var/named
2)、查询bind程序的配置文件列表
[root@localhost ~]# rpm -qc bind/etc/logrotated/named
/etc/namedconf
/etc/namediscdlvkey
/etc/namedrfc1912zones
/etc/namedrootkey
/etc/rndcconf
/etc/rndckey
/etc/sysconfig/named
/var/named/namedca
/var/named/namedempty
/var/named/namedlocalhost
/var/named/namedloopback
3)、查看主配置文件namedconf
4)、主配置文件解析:
a、全局配置部分,默认的全局配置项如下:
options {11 listen-on port 53 { 127001; }; //监听的端口和接口IP地址
12 listen-on-v6 port 53 { ::1; };
13 directory "/var/named"; //dns区域的数据文件默认存放位置
14 dump-file "/var/named/data/cache_dumpdb";
15 statistics-file "/var/named/data/named_statstxt";
16 memstatistics-file "/var/named/data/named_mem_statstxt";
17 allow-query { localhost; }; //允许dns查询的客户机列表,any表示所有
18 recursion yes; //是否允许客户机进行递归查询
19
20 dnssec-enable yes;
21 dnssec-validation yes;
22 dnssec-lookaside auto;
23
24 / Path to ISC DLV key /
25 bindkeys-file "/etc/namediscdlvkey";
26 };
全局配置中还有如下选项:
//将本域名服务器不能解析的条目转发给其它DNS服务器的IP地址forwarders {2021022468;12333;};
b、默认的区域配置项如下:
35 zone "" IN {36 type hint; //区域类型。hint为根区域;master为主区域; slave为辅助区域
37 file "namedca"; //该区域对应的区域数据配置文件名
38 };
区域配置中还有如下选项:
//允许下载区域数据库的从域名服务器IP地址allow-transfer {189989023;};
//允许动态更新的客户端IP地址(none表示全部禁止)
allow-update {none;};
添加如下区域配置:
zone “mycom” IN {type master; //主区域
file “mycom”; //该区域对应的区域数据配置文件名
allow-transfer {1921681531;}; //允许下载区域数据库的从域名服务器IP地址
allow-update {none;};
};
zone “153168192in-addrarpa” IN { //表示针对IP192168153130反向解析
type master; //主区域
file “192168153myarpa”; //该区域对应的区域数据配置文件名
};
5)、配置完了,可以执行如下命令对namedconf文件进行语法检查。
#named-checkconf注意:倒序网络地址in-addrarpa 表示反向区域
主配置文件最后还有一行是:
//该文件包含/etc/namedrfc1912zones文件include “/etc/namedrfc1912zones”
区域数据配置文件:
先看一下namedlocalhost的内容:
$TTL 1D //time to live 生存时间@ IN SOA @ rnameinvalid ( //”rnameinvalid”DNS区域地址
0 ; serial //更新序列号
1D ; refresh //更新时间
1H ; retry //重试延时
1W ; expire //失效时间
3H ) ; minimum //无效地址解析记录的默认缓存时间
NS @ //name server 域名服务记录
A 127001 //address 只用在正向解析的区域数据文件中
AAAA ::1
新建2个对应的区域数据配置文件:
#touch mycom#touch 192168153myarpa
#vim mycom
$TTL 86400
@ IN SOA mycom adminmycom ( //adminmycm为该区域管理员的邮箱地址
200900201
3H
15M
1W
1D
)
@ IN NS ns1mycom //当前域的DNS服务器地址
IN MX 10 mailmycom //用于设置当前域的邮件服务器域名地址,数字10表示优先级别,数字越大优先级越低
ns1 IN A 192168153130
mail IN A 192168153130
启动DNS服务
[root@localhost ~]# service named start4、测试:
配置一台ftp服务器用于测试:
#service vsftpd start //启动vsftpd服务当前网卡的配置:eth0: 19216801/24
eth1: 192168153130/24[root@localhost named]# nslookup 192168153130
Server: 127001
Address: 127001#53
130153168192in-addrarpa name = >1samba服务器目录:
企业数据目录:/companydata
公共目录:/companydata/share
销售部目录:/companydata/sales
技术部:/companydata/tech
2企业员工情况:
总经理:gm
销售部:销售部经理 redking、员工 sky、员工 jane
技术部:技术部经理 michael、员工 bill、员工 joy
3搭建samba文件服务器,建立公共共享目录,允许所有人访问,权限为只读,为销售部和技术部分别建立单独的目录,只可以总经理和相应部门员工访问,并且公司员工禁止访问非本部门的共享目录。
案例解析:
1需求分析
对于建立公共目录public字段就可以实现匿名访问,员工只能访问本部门的共享目录,禁止访问非本部门的共享目录,可以通过设置目录共享字段“browseable = no”及字段“valid users”来实现其隐藏功能和相应的访问权限。这样设置不能很好得解决同一目录多种需求的权限设置,所以需要建立独立配置文件,为每个部门建立一个组后并为每个组建立配置文件来实现隔离用户权限会比较灵活。
2 解决方案
1)建立各部门专用共享目录
使用mkdir建立需求的共享目录以便分门别类的存储相应资料。
[root@RHEL ~]#mkdir /companydata
[root@RHEL ~]#mkdir /companydata/share
[root@RHEL ~]#mkdir /companydata/sales
[root@RHEL ~]#mkdir /companydata/tech
同时设置/companydata共享目录的用户权限
[root@RHEL ~]#chmod –R 777 /companydata
2)添加samba服务器描述及设置smbpasswd文件
默认/etc/samba/目录下没有smbpasswd文件,要先关闭samba的tdbsam验证。
解决方法:在smbconf文件中注释掉passdb backend = tdbsam 一行,为了指定samba用户的验证我们加上这一条smb passwd file = /etc/samba/smbpasswd,然后保存退出。
3)添加用户和组
先建立销售部组sales,技术部组tech,然后使用useradd命令添加总经理帐号gm及各个员工的帐号并加入相应的用户组。
[root@RHEL ~]#groupadd sales
[root@RHEL ~]#groupadd tech
[root@RHEL ~]#useradd gm
[root@RHEL ~]#useradd –g sales redking
[root@RHEL ~]#useradd –g sales sky
[root@RHEL ~]#useradd –g sales jane
[root@RHEL ~]#useradd –g tech michael
[root@RHEL ~]#useradd –g tech bill
[root@RHEL ~]#useradd –g tech joy
接着使用smbpasswd命令添加samba用户:
[root@RHEL ~]#smbpasswd –a gm
New SMB password:
Retype new SMB password:
Added user gm
[root@RHEL ~]#smbpasswd –a redking
New SMB password:
Retype new SMB password:
Added user reding
[root@RHEL ~]#smbpasswd –a sky
New SMB password:
Retype new SMB password:
Added user syk
[root@RHEL ~]#smbpasswd –a jane
New SMB password:
Retype new SMB password:
Added user jane
[root@RHEL ~]#smbpasswd –a michael
New SMB password:
Retype new SMB password:
Added user michael
[root@RHEL ~]#smbpasswd –a bill
New SMB password:
Retype new SMB password:
Added user bill
[root@RHEL ~]#smbpasswd –a joy
New SMB password:
Retype new SMB password:
Added user joy
4)配置smbconf文件
(1)建立单独配置文件
用户配置文件使用用户名命令,组配置文件使用组名命令。
[root@RHEL ~]#cp /etc/samba/smbconf /etc/samba/gmsmbconf
[root@RHEL ~]#cp /etc/samba/smbconf /etc/samba/salessmbconf
[root@RHEL ~]#cp /etc/samba/smbconf /etc/samba/techsmbconf
(2)设置主配置文件smbconf
配置smbconf主配置文件,在global节点中添加相应字段,确保samba服务器的主配置文件可以调用独立的用户配置文件和组配置文件。
include = /etc/samba/%Usmbconf表示使samba服务器加载/etc/samba目录下格式为“用户名smbconf”的配置文件。
include = /etc/samba/%Gsmbconf表示使samba服务器加载/etc/samba目录下格式为“组名smbconf”的配置文件。
设置共享目录/companydata/share
添加如下内容:
[public]
comment=public data
path=/companydata/share
public=yes
5)设置总经理gm配置文件
[root@RHEL ~]#vim /etc/samba/gmsmbconf
添加如下内容:
[sales]
comment=sales data
path=/companydata/sales
writable=yes
valid users=gm
[tech]
comment=tech data
path=/companydata/tech
writable=yes
valid users=gm
6)设置销售部组sales配置文件
[root@RHEL ~]#vim /etc/samba/salessmbconf
添加如下内容:
[sales]
comment=sales data
path=/companydata/sales
writable=yes
valid users=@sales,gm
7)设置技术部组tech配置文件
[root@RHEL ~]#vim /etc/samba/techsmbconf
添加如下内容:
[tech]
comment=tech data
path=/companydata/tech
writable=yes
valid users=@tech,gm
8)开启samba服务
[root@RHEL ~]#service smb start
9)测试
分别用所设置账号进行测试。一 FTP 说明
linux 系统下常用的FTP 是vsftp, 即Very Security File Transfer Protocol 还有一个是proftp(Profession ftp)。 我们这里也是简单的说明下vsftp的配置。
vsftp提供3种远程的登录方式:
(1)匿名登录方式
就是不需要用户名,密码。就能登录到服务器电脑里面
(2)本地用户方式
需要帐户名和密码才能登录。而且,这个帐户名和密码,都是在你linux系统里面,已经有的用户。
(3)虚拟用户方式
同样需要用户名和密码才能登录。但是和上面的区别就是,这个用户名和密码,在你linux系统中是没有的(没有该用户帐号)
二 Vsftp的安装配置
21 安装
vsftp 的安装包,可以在安装里找到。 用yum 安装过程也很简单。
安装命令:yum install vsftpd
22 相关命令
221 启动与关闭
[root@singledb ~]# service vsftpd start
Starting vsftpd for vsftpd: [ OK ]
[root@singledb ~]# service vsftpd stop
Shutting down vsftpd: [ OK ]
[root@singledb ~]# service vsftpd restart
Shutting down vsftpd: [FAILED]
Starting vsftpd for vsftpd: [ OK ]
[root@singledb ~]# /etc/initd/vsftpd start
Starting vsftpd for vsftpd: [FAILED]
[root@singledb ~]# /etc/initd/vsftpd stop
Shutting down vsftpd: [ OK ]
[root@singledb ~]# /etc/initd/vsftpd restart
Shutting down vsftpd: [FAILED]
Starting vsftpd for vsftpd: [ OK ]
[root@singledb ~]# /etc/initd/vsftpd status
vsftpd (pid 3931) is running
[root@singledb ~]#
222 其他命令
--查看vsftpd 启动状态
[root@singledb ~]# chkconfig --list vsftpd
vsftpd 0:off 1:off 2:off 3:off 4:off 5:off 6:off
[root@singledb ~]# chkconfig vsftpd on
[root@singledb ~]# chkconfig --list vsftpd
vsftpd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
这里看到,默认情况下从2到5设置为on了。2到5是多用户级别。 这个对应的是linux不同的运行级别。
我们也可以加level 选项来指定:
[root@singledb ~]# chkconfig --level 0 vsftpd on
[root@singledb ~]# chkconfig --list vsftpd
vsftpd 0:on 1:off 2:on 3:on 4:on 5:on 6:off
我们看到0已经设置为on了。
我们可以使用man chkconfig 来查看帮助:
--level levels
Specifies the run levels an operation should pertain to It is given as a string of numbers from 0 to 7 For example, --level 35 specifies runlevels 3 and 5
传统的init 定义了7个运行级(run level),每一个级别都代表系统应该补充运行的某些特定服务:
(1)0级是完全关闭系统的级别
(2)1级或者S级代表单用户模式
(3)2-5 级 是多用户级别
(4)6级 是 重新引导的级别
(1)查看防火墙
我一般都是把系统的防火墙关闭了。 因为开了会有很多限制。
[root@singledb ~]# /etc/initd/iptables status
Table: nat
Chain PREROUTING (policy ACCEPT)
num target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
num target prot opt source destination
1 MASQUERADE all -- 1921681220/24 !1921681220/24
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
Table: filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT udp -- 0000/0 0000/0 udp dpt:53
2 ACCEPT tcp -- 0000/0 0000/0 tcp dpt:53
3 ACCEPT udp -- 0000/0 0000/0 udp dpt:67
4 ACCEPT tcp -- 0000/0 0000/0 tcp dpt:67
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all -- 0000/0 1921681220/24 state RELATED,ESTABLISHED
2 ACCEPT all -- 1921681220/24 0000/0
3 ACCEPT all -- 0000/0 0000/0
4 REJECT all -- 0000/0 0000/0 reject-with icmp-port-unreachable
5 REJECT all -- 0000/0 0000/0 reject-with icmp-port-unreachable
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
You have new mail in /var/spool/mail/root
--添加开放21号端口:
[root@singledb ~]# /sbin/iptables -I INPUT -p tcp --dport 21 -j ACCEPT
[root@singledb ~]# /etc/initd/iptables status
Table: nat
Chain PREROUTING (policy ACCEPT)
num target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
num target prot opt source destination
1 MASQUERADE all -- 1921681220/24 !1921681220/24
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
Table: filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT tcp -- 0000/0 0000/0 tcp dpt:21
2 ACCEPT udp -- 0000/0 0000/0 udp dpt:53
3 ACCEPT tcp -- 0000/0 0000/0 tcp dpt:53
4 ACCEPT udp -- 0000/0 0000/0 udp dpt:67
5 ACCEPT tcp -- 0000/0 0000/0 tcp dpt:67
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all -- 0000/0 1921681220/24 state RELATED,ESTABLISHED
2 ACCEPT all -- 1921681220/24 0000/0
3 ACCEPT all -- 0000/0 0000/0
4 REJECT all -- 0000/0 0000/0 reject-with icmp-port-unreachable
5 REJECT all -- 0000/0 0000/0 reject-with icmp-port-unreachable
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
--保存配置
[root@singledb ~]# /etc/rcd/initd/iptables save
Saving firewall rules to /etc/sysconfig/iptables: [ OK ]
--重启防火墙:
[root@singledb ~]# service iptables {start|stop|restart}
(2)查看关闭selinux
[root@singledb ~]# sestatus
SELinux status: disabled
我这里在安装 *** 作系统的时候就关闭了selinux,如果没有关闭,可以修改如下文件来关闭:
[root@singledb ~]# cat /etc/sysconfig/selinux
# This file controls the state of SELinux on the system
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced
# permissive - SELinux prints warnings instead of enforcing
# disabled - SELinux is fully disabled
SELINUX=disabled
# SELINUXTYPE= type of policy in use Possible values are:
# targeted - Only targeted network daemons are protected
# strict - Full SELinux protection
SELINUXTYPE=targeted
[root@singledb ~]#
保存退出并重启系统reboot
三 FTP配置文件
FTP 安装好之后,在/etc/vsftpd/目录下会有如下文件:
[root@singledb ~]# cd /etc/vsftpd/
[root@singledb vsftpd]# ls
ftpusers user_list vsftpdconf vsftpd_conf_migratesh
[root@singledb vsftpd]#
vsftpdconf: 主配置文件
ftpusers: 指定哪些用户不能访问FTP服务器
user_list: 指定的用户是否可以访问ftp服务器由vsftpdconf文件中的userlist_deny的取值来决定。
[root@singledb vsftpd]# cat user_list
# vsftpd userlist
# If userlist_deny=NO, only allow users in this file
# If userlist_deny=YES (default), never allow users in this file, and
# do not even prompt for a password
# Note that the default vsftpd pam config also checks /etc/vsftpd/ftpusers
# for users that are denied
我们过滤掉#的注释后,查看一下vsftpdconf 文件:
[root@singledb ftp]# cat /etc/vsftpd/vsftpdconf |grep -v '^#';
anonymous_enable=YES
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=YES
pam_service_name=vsftpd
userlist_enable=yes
tcp_wrappers=YES
至于这些参数的意思,在注释里有详细的说明。
我们可以在vsftpdconf 文件设置如下参数:
(1)ftpd_banner=welcome to ftp service :设置连接服务器后的欢迎信息
(2)idle_session_timeout=60 :限制远程的客户机连接后,所建立的控制连接,在多长时间没有做任何的 *** 作就会中断(秒)
(3)data_connection_timeout=120 :设置客户机在进行数据传输时,设置空闲的数据中断时间
(4)accept_timeout=60 设置在多长时间后自动建立连接
(5)connect_timeout=60 设置数据连接的最大激活时间,多长时间断开,为别人所使用;
(6)max_clients=200 指明服务器总的客户并发连接数为200
(7)max_per_ip=3 指明每个客户机的最大连接数为3
(8)local_max_rate=50000(50kbytes/sec) 本地用户最大传输速率限制
(9)anon_max_rate=30000匿名用户的最大传输速率限制
(10)pasv_min_port=端口
(11)pasv-max-prot=端口号 定义最大与最小端口,为0表示任意端口;为客户端连接指明端口;
(12)listen_address=IP地址 设置ftp服务来监听的地址,客户端可以用哪个地址来连接;
(13)listen_port=端口号 设置FTP工作的端口号,默认的为21
(14)chroot_local_user=YES 设置所有的本地用户可以chroot
(15)chroot_local_user=NO 设置指定用户能够chroot
(16)chroot_list_enable=YES
(17)chroot_list_file=/etc/vsftpd/chroot_list(只有/etc/vsftpd/chroot_list中的指定的用户才能执行 )
(18)local_root=path 无论哪个用户都能登录的用户,定义登录帐号的主目录, 若没有指定,则每一个用户则进入到个人用户主目录;
(19)chroot_local_user=yes/no 是否锁定本地系统帐号用户主目录(所有);锁定后,用户只能访问用户的主目录/home/user,不能利用cd命令向上转;只能向下;
(20)chroot_list_enable=yes/no 锁定指定文件中用户的主目录(部分),文件:/chroot_list_file=path 中指定;
(21)userlist_enable=YES/NO 是否加载用户列表文件;
(22)userlist_deny=YES 表示上面所加载的用户是否允许拒绝登录;
(23)userlist_file=/etc/vsftpd/user_list 列表文件
限制IP 访问FTP:
#vi /etc/hostsallow
vsftpd:1921685128:DENY 设置该IP地址不可以访问ftp服务
FTP 访问时间限制:
#cp /usr/share/doc/vsftpd-113/vsftpdxinetd /etc/xinetdd/vsftpd
#vi /etc/xinetdd/vsftpd/
修改 disable = no
access_time = hour:min-hour:min (添加配置访问的时间限制(注:与vsftpdconf中listen=NO相对应)
例: access_time = 8:30-11:30 17:30-21:30 表示只有这两个时间段可以访问ftp
ftp的配置基本上只有这些了。
默认情况下,ftp根目录是/var/ftp。 如果要修改这个目录位置,可以更改/etc/passwd 文件:
[root@singledb ftp]# cat /etc/passwd | grep ftp
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
创建一个用户来访问FTP,并指定该用户的FTP 目录:
[root@singledb u02]# useradd -d /u02/qsftp qs
[root@singledb u02]# passwd qs
Changing password for user qs
New UNIX password:
BAD PASSWORD: it is WAY too short
Retype new UNIX password:
passwd: all authentication tokens updated successfully
这里指定的是/u02/qsftp 这个目录,要注意个目录的权限。
更改用户不能telnet,只能ftp:
usermod -s /sbin/nologin username //用户只能ftp,不能telnet
usermod -s /sbin/bash username //用户恢复正常
禁止用户ssh登陆
useradd username -s /bin/false
更改用户主目录:
usermod -d /bbb username //把用户的主目录定为/bbb
然后用qs这个用户就可以访问了。
以上只是一些简单的设置。 在用户权限这块还有很多内容可以研究。 比如特定用户的特定权限。 安全性等。 以后在研究了。Linux 系统服务器 很多,要配置哪个
ssh, xdmcp, vnc, xrdp
DHCP, NFS, NIS,NTP,SAMBA,Proxy,iSCSI ,
常用的
Web(>端口映射 使用xshell访问。
互联网ip:端口
1、首先检查设置的端口影射是否正确映射到内网的服务器。即设置的转发规则的IP地址是否为服务器的IP地址。
2、无法访问内网的服务器,请检查服务器是否开启了。可以在局域网内使用其他的计算机访问一下服务器,确认服务器是否开启,并能成功访问。
3、检查是否映射了服务器所需的所有端口,有可能没有完全设置访问服务器所需的端口,导致访问失败。可以通过开启“DMZ主机”来检测一下,是否端口没有映射完全。若开启DMZ主机后,能正常访问服务器,则可能是端口添加不完全。vsftpd是UNIX类 *** 作系统上运行的服务器名称,它的名字代表“very secure FTP daemon”,安全性是其设计与开发的一个重要目标。它可运行在Linux、Solaris等系统中,支持很多其他的FTP 服务器不支持的特征:
非常高的安全性需求
带宽限制
良好的可伸缩性
创建虚拟用户的可能性
分配虚拟IP地址的可能性
一、vsftpd的启动
#service vsftpd start
如果允许用户匿名访问,需创建用户ftp和目录/var/ftp
# mkdir /var/ftp
# useradd –d /var/ftp ftp
二、vsftpd的配置
Vsftpd的配置文件存放在/etc/vsftpd/vsftpdconf 我们可根据实际数要对如下信息进行配置:
1 连接选项
☆监听地址和控制端口
(1) listen_address=ip address
定义主机在哪个IP 地址上监听FTP请求。即在哪个IP地址上提供FTP服务。
(2) listen_port=port_value
指定FTP服务器监听的端口号。默认值为21。
2 性能与负载控制
☆超时选项
(1) idle_session_timeout=
空闲用户会话的超时时间,若是超过这段时间没有数据的传送或是指令的输入,则会被迫断线。默认值是300s
(2) accept_timeout=numerical value
接受建立联机的超时设定。默认值为60s
☆负载选项
(1) max_clients= numerical value
定义FTP服务器最大的兵法连接数。当超过此连接数时,服务器拒绝客户端连接。默认值为0,表示不限最大连接数。
(2) max_per_ip= numerical value
定义每个IP地址最大的并发连接数目。超过这个数目将会拒绝连接。此选项的设置将会影响到网际快车、迅雷之类的多线程下载软件。默认值为0,表示不限制。
(3) anon_max_rate=value
设定匿名用户的最大数据传输速度,以B/s为单位。默认无。
(4) local_max_rate=value
设定用户的最大数据传输速度。以B/s为单位。默认无。此选项对所有的用户都生效。
3 用户选项
vsftpd的用户分为3类:匿名用户、本地用户(local user)及虚拟用户(guest)
☆ 匿名用户
(1) anonymous_enable=YES|NO
控制是否允许匿名用户登录
(2) ftp_username=
匿名用户使用的系统用户名。默认情况下,值为ftp
(3) no_anon_password= YES|NO
控制匿名用户登录时是否需要密码。
(4) anon_root=
设定匿名用户的根目录,即匿名用户登录后,被定位到此目录下。主配置文件中默认无此项,默认值为/var/ftp/
(5) anon_world_readable_only= YES|NO
控制是否只允许匿名用户下载可阅读的文档。YES,只允许匿名用户下载可阅读的文件。NO,允许匿名用户浏览整个服务器的文件系统。
(6) anon_upload_enable= YES|NO
控制是否允许匿名用户上传文件。除了这个参数外,匿名用户要能上传文件,还需要两个条件,write_enable参数为YES;在文件系统上,FTP匿名用户对某个目录有写权限。
(7) anon_mkdir_wirte_enable= YES|NO
控制是否允许匿名用户创建新目录。在文件系统上,FTP匿名用户必须对新目录的上层目录拥有写权限。
(8) anon_other_write_enbale= YES|NO
控制匿名用户是否拥有除了上传和新建目录之外的其他权限。如删除、更名等。
(9) chown_uploads= YES|NO
是否修改匿名用户所上传文件的所有权。YES,匿名用户上传得文件所有权改为另一个不同的用户所有,用户由chown_username参数指定。
(10) chown_username=whoever
指定拥有匿名用户上传文件所有权的用户。
☆本地用户
(1) local_enable= YES|NO
控制vsftpd所在的系统的用户是否可以登录vsftpd。
(2) local_root=
定义本地用户的根目录。当本地用户登录时,将被更换到此目录下。
☆虚拟用户
(1) guest_enable= YES|NO
启动此功能将所有匿名登入者都视为guest
(2) guest_username=
定义vsftpd的guest用户在系统中的用户名。
4 安全措施
☆用户登录控制
(1) /etc/vsftpdftpusers
Vsftpd禁止列在此文件中的用户登录FTP服务器。此机制是默认设置的。
(2) userlist_enable= YES|NO
此选项激活后,vsftpd将读取userlist_file参数所指定的文件中的用户列表。
(3) userlist_file=/etc/vsftpduser_list
指出userlist_enable选项生效后,被读取的包含用户列表的文件。默认值是/etc/vsftpduser_list
(4) userlist_deny= YES|NO
决定禁止还是只允许由userlist_file指定文件中的用户登录FTP服务器。userlist_enable选项启动后才能生效。默认值为YES,禁止文中的用户登录,同时不向这些用户发出输入口令的指令。NO,只允许在文中的用户登录FTP服务器。
☆目录访问控制
(1) chroot_list_enable= YES|NO
锁定某些用户在自己的目录中,而不可以转到系统的其他目录。
(2) chroot_list_file=/etc/vsftpd/chroot_list
指定被锁定在主目录的用户的列表文件。
(3) chroot_local_users= YES|NO
将本地用户锁定在主目中。
三、vsftpd服务器的配置实例:
基于IP的虚拟FTP服务器配置
假设服务器有两个IP地址,1921681199和1921681200。vsftpd是建立在1921681199上的。现在在1921681200上再提供一个虚拟FTP服务器。
☆创建虚拟FTP服务器根目录
# mkdir –p /var/ftp2/pub
确保/var/ftp2和/var/ftp2/pub目录的所有者和组均为root,掩码为755
# chmod 755 /var/ftp2 # chmod 755 /var/ftp2/pub
# chown –R root /var/ftp2 # chown –R : root /var/ftp2
☆ 增加虚拟FTP服务器的匿名用户帐号ftp2
# useradd –d /var/ftp2 –M ftp2
☆ 创建虚拟FTP服务器的配置文件
复制原来的vsftpdconf作为虚拟FTP服务器的配置文件,并修改相关参数
# cp /etc/vsftpd/vsftpdconf /etc/vsftpd/vsftpd2conf
# vi /etc/vsftpd/vsftpd2conf
添加或修改参数:
Listen=YES
Listen_address=1921681200
ftp_username=ftp2
anon_root=/var/ftp2
并可参考vsftpd的配置部分的说明做其他配置,如:
允许匿名用户上传文件
Write_enable=YES
Anon_world_readable_only=NO
Anon_upload_enable=YES
Anon_mkdir_write_enable=YES
创建匿名用户上传文件的目录,并设置权限:
# mkdir /var/ftp/incoming # chmod o+w /var/ftp/incoming
取消写权限
Write_enable=NO
Anon_upload_enable=NO
Anon_mkdir_write_enable=NO
Anon_other_write_enable=NO
限制下载速度为80KB/s
Anon_max_rate=8000
控制并发数,以及每个IP地址的并发数
Max_clients=100
Max_per_ip=3
☆启动虚拟FTP服务器
# /usr/sbin/vsftpd /etc/vsftpd/vsftpd2comf &你先进入敲setup 进入后选择system service (通过tab键切换)
进入后看看有没有tftp选项 []内如果是空的表示安装了 但是没有启动, 如果是[]表示已经正常启动了
如果是空的话 vi /etc/xinetdd/tftp 进入配置文件, 看看disable那个选项是不是yes了,把它改成no,就好了,欢迎提问
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)