Linux講稿(第8課)

1、linux講稿(第8課)linux講稿(第8課) 編輯整理：尊敬的讀者朋友們：這里是精品文檔編輯中心，本文檔內(nèi)容是由我和我的同事精心編輯整理后發(fā)布的，發(fā)布之前我們對(duì)文中內(nèi)容進(jìn)行仔細(xì)校對(duì)，但是難免會(huì)有疏漏的地方，但是任然希望（linux講稿(第8課)）的內(nèi)容能夠給您的工作和學(xué)習(xí)帶來(lái)便利。同時(shí)也真誠(chéng)的希望收到您的建議和反饋，這將是我們進(jìn)步的源泉，前進(jìn)的動(dòng)力。本文可編輯可修改，如果覺(jué)得對(duì)您有幫助請(qǐng)收藏以便隨時(shí)查閱，最后祝您生活愉快 業(yè)績(jī)進(jìn)步，以下為linux講稿(第8課)的全部?jī)?nèi)容。第8課講稿：ftp服務(wù)器一、 上次實(shí)驗(yàn)的典型問(wèn)題1. vmware虛擬機(jī)的網(wǎng)絡(luò)連接方式?jīng)]有改為“橋接：這種問(wèn)題最隱蔽,

2、如果不改為橋接,linux將不能連接到網(wǎng)絡(luò)中，即便linux的ip地址沖突也很難知道.2. linux的ip沒(méi)有生效：設(shè)置完ifcfgeth0配置文件后，必須用service network restart重啟網(wǎng)絡(luò)服務(wù)，使ip地址生效;重啟服務(wù)后,再用ifconfig命令確認(rèn)linux的ip是否是ifcfgeth0配置文件中設(shè)定的ip;3. networkmanager：在重啟network服務(wù)，一旦有和networkmanager相關(guān)的提示，不論是紅色的“錯(cuò)誤”還是綠色的“確定，都表示networkmanager服務(wù)正在阻止網(wǎng)絡(luò)，【解決方法】關(guān)閉networkmanager服務(wù)：servic

3、e networkmanager stop,然后再重啟network服務(wù)service network restart4. ip地址沖突：在linux中用service network restart重啟網(wǎng)絡(luò)服務(wù)時(shí)，注意看提示，如果提示“error，some other hosts already uses address xxx.xxx.xxx。xxx”，表示ip沖突，需要修改ifcfg-eth0配置文件中的ip地址，并再重啟network服務(wù)；二、 安裝和卸載ftp服務(wù)器端及客戶端1. 安裝和卸載ftp服務(wù)器端1) 查看是否安裝ftp服務(wù)器端【rpm軟件包管理】rpm q vsftpd查看

4、是否安裝vsftpd軟件包（也可用rpm qa grep vsftpd查看)2) 安裝vsftpd軟件包 查看光驅(qū)掛載情況，進(jìn)入光驅(qū)掛載目錄 cd /media/rhel_6。1 i386 disc 1#進(jìn)入光驅(qū)（因?yàn)槟夸浀拿种杏锌崭?，所以在空格前需要用“連接,也可以用tab鍵自動(dòng)完成） ls#查看當(dāng)前目錄，可以找到packages目錄,所有的rpm軟件包都在該目錄下 cd packages#進(jìn)入該目錄 ls |grep vsftpd查看vsftpd軟件包的完整名稱(chēng) rpm -ivh vsftpd-2.2.2-6。el6_0。1.i686.rpm用rpm命令安裝vsftpd（用tab鍵自動(dòng)完

5、成) rpm q vsftpd#查看是否安裝成功，顯示文件名則表示安裝成功3) 卸載軟件包rpm -e vsftpd#卸載軟件包【注意】若卸載時(shí)提示有關(guān)聯(lián)文件,即存在依賴(lài)關(guān)系，則需要帶上參數(shù)“-nodeps”，此時(shí)不考慮關(guān)聯(lián)文件，僅卸載指定的軟件：rpm -nodeps -e vsftpd2. 安裝和卸載ftp客戶端1) 查看是否安裝ftp客戶端rpm -q ftp查看是否安裝ftp軟件包2) 安裝vsftpd軟件包 cd /media/rhel_6.1 i386 disc 1/packages#進(jìn)入光驅(qū)的packages目錄 ls |grep ftp#查看ftp的完整名稱(chēng) rpm ivh f

6、tp0.17-51。1。el6。i686。rpm#用rpm命令安裝ftp rpm q ftp查看是否安裝成功,顯示文件名則表示安裝成功三、 配置ftp服務(wù)器端1. 與vsftpd服務(wù)器相關(guān)的文件和目錄1) vsftpd.conf該文件為vsftpd服務(wù)器的主配置文件,具體路徑/etc/vsftpd/vsftpd.conf。配置vsftpd服務(wù)器主要是通過(guò)對(duì)配置文件/etc/vsftpd /vsftpd.conf中選項(xiàng)的設(shè)定來(lái)實(shí)現(xiàn),配置文件vsftpd。conf的內(nèi)容非常單純，每一行即為一項(xiàng)設(shè)定。若是空白行或是開(kāi)頭為“的一行，將會(huì)被忽略.對(duì)每一項(xiàng)的描述都是由代表該項(xiàng)的名稱(chēng)和值兩部分組成，如：op

7、tion=value,其中option代表要設(shè)定項(xiàng)的名稱(chēng)，value代表為該項(xiàng)所賦的值,設(shè)定時(shí)需注意等號(hào)兩邊不能加空格。簡(jiǎn)單地說(shuō)其格式有如下規(guī)則：配置語(yǔ)句的語(yǔ)法規(guī)則形式為：“參數(shù)名稱(chēng)=參數(shù)值”。配置語(yǔ)句中除了參數(shù)值以外，所有選項(xiàng)都不區(qū)分大小寫(xiě)。可以使用“”標(biāo)注該行為注釋信息。vsftpd.conf 文件中可定義多個(gè)配置參數(shù),常用的部分配置參數(shù)如下表所示：參數(shù)名說(shuō)明anonymous_enable設(shè)定是否允許匿名登入,默認(rèn)值為yeslocal_enable設(shè)定是否允許本機(jī)使用者登入，默認(rèn)值為yeslocal_umask設(shè)定本機(jī)登入者新增檔案時(shí)的umask 數(shù)值,默認(rèn)值為077write_enab

8、le指定是否開(kāi)放寫(xiě)權(quán)限，默認(rèn)值為yesdirmessage_enable指定是否能瀏覽目錄內(nèi)的信息listen=yes/no指定vsftpd 服務(wù)器的運(yùn)行方式,默認(rèn)為yes 以獨(dú)立運(yùn)作的方式運(yùn)行data_connection_timeout指定數(shù)據(jù)連接空閑多長(zhǎng)時(shí)間(以秒為單位）后自動(dòng)斷開(kāi),默認(rèn)值為300idle_session_timeout指定用戶會(huì)話空閑多次時(shí)間（以秒為單位）后自動(dòng)斷開(kāi)，默認(rèn)值為300xferlog_enable指定是否啟用日志功能，默認(rèn)取值為yesxferlog_file指定日志文件所在的位置，默認(rèn)取值為/var/log/vsftpd.loguserlist_enable

9、指定是否啟用user_list 文件,默認(rèn)取值為nopam_service_name指定驗(yàn)證方式，默認(rèn)取值為vsftpdtcp_wrapper指定是否啟用防火墻【注意】用vi編輯器打開(kāi)vsftpd。conf文件，可以查看到其默認(rèn)內(nèi)容如下所示:12：anonymous_enable=yes /允許匿名訪問(wèn)這是匿名服務(wù)器必需的15:local_enable=yes18：write_enable=yes22:local_umask=02235：dirmessage_enable=yes38:xferlog_enable=yes41：connect_from_port_20=yes55：xferlog

10、_std_format=yes109：listen=yes116:pam_service_name=vsftpd117：userlist_enable=yes118：tcp_wrappers=yes根據(jù)vsftpd服務(wù)器的默認(rèn)設(shè)置，本地用戶和匿名用戶都可以登錄。本地用戶默認(rèn)進(jìn)入其個(gè)人主目錄，并可以切換到其他有權(quán)訪問(wèn)的目錄，還可以上傳和下載文件.匿名用戶只能下載/var/ftp目錄下的文件。默認(rèn)情況下/var/ftp沒(méi)有任何文件。2) ftpusers/etc/vsftpd/ftpusers用于指定不能訪問(wèn)vsftpd服務(wù)器的用戶列表。此文件在格式上采用每個(gè)用戶一行的形式，其包含的用戶通常是li

11、nux系統(tǒng)的超級(jí)用戶和系統(tǒng)用戶。3) user_list同樣處于/etc/vsftpd目錄的user-list文件中也保留用戶列表，其是否起效取決于vsftpd。conf文件中的userlist_enable和userlist_deny參數(shù)。4) vsftpd 服務(wù)器用戶一般情況下，用戶必須經(jīng)過(guò)身份驗(yàn)證才能登錄vsftpd服務(wù)器，然后訪問(wèn)和傳輸ftp服務(wù)器上的資源。vsftpd服務(wù)器的用戶主要可以分為兩類(lèi)：本地用戶和匿名用戶。本地用戶是vsftpd服務(wù)器上擁有賬戶的用戶。本地用戶輸入自己的用戶名和密碼可以登錄vsftpd服務(wù)器，并且直接進(jìn)入該用戶的主目錄。匿名用戶是vsftpd 服務(wù)器上沒(méi)有賬

12、號(hào)的用戶。如果vsftpd服務(wù)器提供匿名訪問(wèn)功能,那么就可以輸入匿名用戶名（ftp或者anonymous），然后輸入用戶的e-mail地址作為密碼進(jìn)行登錄.甚至不輸入口令也可以登錄.當(dāng)匿名用戶登錄系統(tǒng)后，進(jìn)入匿名ftp服務(wù)目錄/var/ftp.2. 配置vsftpd服務(wù)器1) 允許和禁止匿名用戶登錄 允許匿名用戶登錄：將vsftpd.conf文件中的anonymous的值設(shè)置為yes； 禁止匿名用戶登錄:將vsftpd。conf文件中的anonymous的值設(shè)置為no；2) 設(shè)置匿名用戶的權(quán)限匿名用戶訪問(wèn)ftp 服務(wù)器在很多場(chǎng)合都會(huì)使用到，比如公共的資源等。默認(rèn)情況下，匿名用戶可以下載/var

13、/ftp/目錄下的所有文件，但是不能上傳文件。vsftpd。conf 文件中有“write_enable=yes”設(shè)置語(yǔ)句存在的情況下，可增加匿名用戶的寫(xiě)權(quán)限。27:anon_upload_enable=yes /允許匿名用戶上傳文件31：anon_mkdir_write_enable=yes /允許匿名用戶創(chuàng)建目錄【例1】配置一臺(tái)簡(jiǎn)單的ftp服務(wù)器，要求只允許匿名用戶登錄，匿名用戶可以在/var/ftp/pub目錄中新建目錄、上傳和下載文件。 配置vsftpd.conf 主配置文件，使其包括下列參數(shù)：12：anonymous_enable=yes/允許匿名用戶訪問(wèn)15：local_enabl

14、e= no/禁止本地用戶登錄18：write_enable= yes27:anon_upload_enable=yes/允許匿名用戶上傳文件31：anon_mkdir_write_enable=yes/允許匿名用戶可以創(chuàng)建目錄41：connect_from_port_20=yes109：listen=yes /獨(dú)立的vsftpd 服務(wù)器118:tcp_wrappers= yes 修改/var/ftp/pub 目錄的權(quán)限，允許其他用戶寫(xiě)入文件chmod 777 /var/ftp/pub 重新啟動(dòng)vsftpd 服務(wù)器service vsftpd restart 按照上次課的方法設(shè)置網(wǎng)絡(luò)，使虛擬機(jī)中

15、的linux操作系統(tǒng)和實(shí)體機(jī)的windows操作系統(tǒng)可以相互通信（可以相互ping通） 測(cè)試,匿名登錄ftp服務(wù)器【方法一】測(cè)試本地ftp服務(wù)器（服務(wù)器ip：，確保ftp服務(wù)器已經(jīng)打開(kāi))ftp 127.0。0.1#使用匿名用戶登錄,用戶名為anonymous,密碼為空pwd#查看當(dāng)前目錄ls#查看目錄中的內(nèi)容cd pub切換到pub子目錄put /home/rjxy/x x#把本地/home/rjxy目錄下的文件x上傳到ftp的pub目錄中，并命名為x（必須要命名，否則無(wú)法上傳）【方法二】測(cè)試遠(yuǎn)程ftp服務(wù)器（在實(shí)體機(jī)的winxp或win7系統(tǒng)中測(cè)試連接ftp服務(wù)器，假設(shè)服務(wù)

16、器ip為00）a) 確保在winxp或win7中能ping通ftp服務(wù)器b) ftp 00#在winxp或win7的命令提示符中輸入該命令，連接ftp服務(wù)器若出現(xiàn)未知錯(cuò)誤號(hào)的提示,表示linux的iptables服務(wù)沒(méi)有清空,需要先清空iptables,然后保存iptables即可?！厩蹇読ptalbes】iptables f【保存iptables】service iptables savec) ftp 192。168。1。100再次連接ftp服務(wù)器，并用匿名用戶anonymous登錄3) 限定本地用戶vsftpd 服務(wù)器提供多種方法限制某些本地用戶

17、登錄服務(wù)器。具體包括以下三種方法。a) 直接編輯/etc/vsftpd/ftpuser 文件,將禁止登錄的用戶名寫(xiě)入到ftpuser 文件.b) 直接編輯/etc/vsftpd/user_list 文件，將禁止登錄的用戶名寫(xiě)入到user_list 文件。同時(shí)vsftpd。conf文件應(yīng)設(shè)置“userlist_enable=yes和“userlist_deny=yes”語(yǔ)句，則user_list 文件中指定的用戶不能訪問(wèn)ftp 服務(wù)器。c) 直接編輯/etc/vsftpd/user_list文件，將允許登錄的用戶名寫(xiě)入到user_list 文件。同時(shí)vsftpd.conf文件應(yīng)設(shè)置“userli

18、st_enable=yes”和“userlist_deny=no”語(yǔ)句,則只允許user_list 文件中指定的用戶訪問(wèn)ftp 服務(wù)器。如果某用戶同時(shí)出現(xiàn)在user_list 和ftpuser 文件中，那么該用戶將不被允許登錄。這是因?yàn)関sftpd 總是先執(zhí)行user_list 文件，再執(zhí)行ftpuser 文件.【例2】驗(yàn)證vsftpd.conf文件中userlist_enable和userlist_deny參數(shù)的值與user_list中用戶登錄狀態(tài)的對(duì)應(yīng)關(guān)系。（在本地測(cè)試，即測(cè)試) 添加新用戶test并設(shè)置密碼useradd testpasswd test 修改/etc/v

19、sftpd/user_list,將用戶test添加到該文件中 由于【例1】中修改了local_enable，所以要將該參數(shù)恢復(fù)為local_enable=yes 設(shè)置userlist_enable=yes（默認(rèn)值），此時(shí)配置文件中沒(méi)有userlist_deny參數(shù)，相當(dāng)于其默認(rèn)值為yesvi /etc/vsftpd/vsftpd.confservice vsftpd restart#重啟vsftpd服務(wù)修改配置文件后,必須重啟服務(wù)，使配置文件生效ftp #test用戶不能登錄 設(shè)置userlist_enable=yes,添加userlist_deny=novi /etc/vs

20、ftpd/vsftpd。confservice vsftpd restart重啟vsftpd服務(wù)ftp 127。0.0.1#test用戶可以登錄即user_list中的用戶可以登錄，不在user_list中的用戶不能登錄 設(shè)置userlist_enable=no，userlist_deny=yesvi /etc/vsftpd/vsftpd。confservice vsftpd restart重啟vsftpd服務(wù)ftp 127.0。0.1#所有用戶都可以登錄，不論是否在user_list中 設(shè)置userlist_enable=no,userlist_deny=novi /etc/vsftpd/v

21、sftpd。confservice vsftpd restart#重啟vsftpd服務(wù)ftp 127.0.0。1#所有用戶都可以登錄,不論是否在user_list中【總結(jié)】userlist_enable和userlist_deny參數(shù)的值與user_list中用戶登錄狀態(tài)的對(duì)應(yīng)關(guān)系userlist_enable=yesuserlist_deny=yesuser_list中的用戶不能登錄，其他用戶可以登錄userlist_deny=nouser_list中的用戶可以登錄，其他用戶不能登錄userlist_enable=nouserlist_deny=yes所有用戶都可以登錄userlist_de

22、ny=no4) 允許root用戶登錄 將/etc/vsftpd/ftpuser和/etc/vsftpd/user_list文件中的root前面加“”注釋掉 測(cè)試用root用戶連接ftp服務(wù)器，如果出現(xiàn)錯(cuò)誤提示“500 oops:cannot change directory：/root，說(shuō)明selinux防火墻沒(méi)有關(guān)閉，將selinux防火墻關(guān)閉即可. 將selinux防火墻關(guān)閉后，再次測(cè)試root用戶登錄5) 禁止切換到其他目錄在vsftpd服務(wù)器的默認(rèn)設(shè)置里,本地用戶可以切換到其主目錄以外的其他目錄進(jìn)行瀏覽，并在權(quán)限允許的范圍內(nèi)進(jìn)行上傳和下載資料。這樣的默認(rèn)設(shè)置是不安全的，用戶可以通過(guò)設(shè)置

23、chroot相關(guān)參數(shù)，禁止用戶切換到主目錄以外的目錄（注意:這里的主目錄指需要通過(guò)local_root=/var/ftp設(shè)置的站點(diǎn)根目錄,當(dāng)用戶不允許切換到其他目錄時(shí)，有登錄后ftp站點(diǎn)的根目錄“/”是該ftp帳戶的主目錄,即local_root所設(shè)置的文件系統(tǒng)中/var/ftp目錄。）.a) 設(shè)置所有的本地用戶的主目錄.需要在vsftpd.conf文件中添加“l(fā)ocal_root=/var/ftp”配置語(yǔ)句。b) 根據(jù)下面的表格編輯vsftpd.conf，添加以下語(yǔ)句，指定只有/etc/vsftpd/chroot_list文件中的用戶才不能切換到主目錄以外的目錄。95：chroot_list

24、_enable=xxx96：chroot_local_user=xxx98：chroot_list_file =/etc/vsftpd/chroot_list【總結(jié)】chroot_list_enable 和chroot_local_user參數(shù)的值與chroot_list中用戶切換狀態(tài)的對(duì)應(yīng)關(guān)系chroot_list_enable =yeschroot_local_user =yeschroot_list中列出的用戶可切換到站點(diǎn)的其他目錄，未在chroot_list中列出的用戶不可以切換;chroot_local_user =nochroot_list中列出的用戶不可切換到站點(diǎn)的其他目錄，未在

25、chroot_list中列出的用戶可以切換；chroot_list_enable =nochroot_local_user=yes所有用戶均不可切換到站點(diǎn)的其他目錄;chroot_local_user =no所有用戶均可切換到站點(diǎn)的其他目錄；c） 然后，在/etc目錄下創(chuàng)建chroot_list文件，其文件格式同user_list相同,要求每個(gè)用戶占一行?！纠?】配置一臺(tái)ftp服務(wù)器，要求禁止test用戶切換到其他目錄,其他本地用戶可以切換到其他目錄，并在本地測(cè)試該服務(wù)器。 由于【例2】中修改了userlist_enable和userlist_deny,需要先把這兩項(xiàng)恢復(fù)成默認(rèn)設(shè)置，即userlist_enable=yes，userlist_deny=yes 由于【例2】中把test用戶添加到了user_list文件中，需要先把該文件中的test刪除 vi /etc/vsftpd/vsftpd。conf啟用chroot_list_enable=yes和chroot_list_file=/etc/vsftpd/chroot_list touch /etc/vsftpd/chroot_list#創(chuàng)建chroot_list文件 vi /etc/vsft