Linux运维笔记(就老男孩运维28期、马哥教育、学神IT、老段带你学Linux、Linux-Cast整理而来)
声明
- “-“ 后面接的是段落小节标题
- 笔记按照服务一般配置整理
- 本文采用软件为 MarkdownPad2进行编辑
- 本文记录时间 2/27/2017 5:38:32 PM
- 请将本文ip替换成自己的ip
本文大纲
1.开篇的话
2.FTP服务
1.开篇的话
学习Linux服务的大体流程如下
了解服务的作用:名称,功能,特点
安装
配置文件位置,端口
服务启动关闭的脚本
此服务的使用方法
修改配置文件,实战举例
排错(从下到上,从内到外)
2.FTP服务
简介
FTP服务器(File Transfer Protocol Server)是在互联网上提供文件存储和访问服务的计算机,它们依照FTP协议提供服务。
FTP(File Transfer Protocol: 文件传输协议)作用: Internet 上用来传送文件的协议
常见FTP服务器:
windows:Serv-U FTP Server
Linux:ProFTPD:(Professional FTP daemon)一个Unix平台上或是类Unix平台上(如Linux, FreeBSD等)的FTP服务器程序。
VSFTP是一个基于GPL发布的类Unix系统上使用的FTP服务器软件,它的全称是Very Secure FTP 从此名称可以看出来,编制者的初衷是代码的安全。
特点:
它是一个安全、高速、稳定的FTP服务器;
模式: C/S 模式
20 (传数据) 21 (传指令)
fsp(File Service Protocol): 文件服务协议。
ftp分为主动模式和被动模式
这里的主动和被动,是相对于的FTP server 端来判断的。无论是被动还是主动模式,首先的控制通道都是先建立起来的,只有在数据传输模式上有区别
工作原理
1.主动模式工作原理
FTP客户端链接到FTP服务器的21端口,发送用户名和密码,客户端随机开放一个端口(1024以上)发送PORT命令到FTP服务器,告诉服务器客户端采用主动模式开放端口;FTP服务器收到PORT主动模式命令和端口号后,通过服务器的20端口和客户端开放的端口链接,发送数据,原理如下:
客户端 服务器
FTP链接请求(用户名,密码,port端口)
-------------------------------------->
服务器相应(ACK) 服务端21号和客户端端口建立回话连接通道
<---------------------------------------
FTP服务器从自己的20号端口连接客户端指定端口连接请求为主动模式
<-------------------------------------------------
最后客户端发送ACK确认,开始数据传输
------------------------------------------------->
2.被动模式工作原理
FTP客户端链接到FTP服务器的21端口,发送用户名和密码,发送PASV命令到FTP服务器,服务器在本地随机开放一个端口(1024以上),然后把开放的端口告诉客户端,客户端在链接到服务器开放的端口进行连接。原理如下:
客户端 服务器
FTP连接请求(包括用户名,密码,发送被动链接PASV)
----------------------------------------->
ftp服务器响应ACK,服务器21号和客户端高位随机端口
进行回话连接,建立通道。同时服务器告诉了客户端服
务器开放的端口
<-----------------------------------------
客户端从自己中的一个高位端口链接服务器开放的端口
------------------------------------------------------>
服务器发送ACK响应给客户端,进行数据传输
<------------------------------------------------------
服务安装、启动和配置
服务安装
yum -y install vsftpd lftp
注:从RHEL6开始,系统镜像中默认没有ftp客户端命令。取而代之的是lftp命令
Linux客户端:
lftp 是一个功能强大的下载工具,它支持访问文件的协议: ftp, ftps, http, https, hftp, fish.(其中ftps和https需要在编译的时候包含openssl库)。llftp的界面非常好一个shell: 有命令补全,历史记录,允许多个后台任务执行等功能,使用起来非常方便。它还有书签、排队、镜像、断点续传、多进程下载等功能。
服务启动和端口检测(注意将防火墙和selinux关闭)
service vsftpd restart
chkconfig vsftpd on
netstat -antup | grep ftp
这里我们会发现看不到20端口,那是因为服务器和客户端没有进行通信
服务配置
/etc/vsftpd/vsftpd.conf:vsftpd 的核心配置文件
/etc/vsftpd/ftpusers:用于指定哪些用户不能访问FTP 服务器。 黑名单
/etc/vsftpd/user_list:指定允许使用vsftpd 的用户列表文件。 白名单
vim /etc/vsftpd/user_list
/etc/vsftpd/vsftpd_conf_migrate.sh:是vsftpd 操作的一些变量和设置脚本
/var/ftp/:默认情况下匿名用户的根目录
案例
例1:公司技术部准备搭建一台功能简单的FTP 服务器,允许所有员工上传和下载文件,并允许创建用户自己的目录
分析:
允许所有员工上传和下载文件需要设置成允许匿名用户登录并且需要将允许匿名用户上传功能开启,
方案:
cp vsftpd.conf vsftpd.conf.back
vim /etc/vsftpd/vsftpd.conf #修改以下内容
#允许匿名用户访问
anonymous_enable=YES
#允许匿名用户上传文件并可以创建目录
anon_upload_enable=YES
#字段可以控制是否允许匿名用户创建目录
anon_mkdir_write_enable=YES
例2:公司内部现在有一台FTP 和WEB 服务器,FTP 的功能主要用于维护公司的网站内容,包括上传文件、创建目录、更新网页等等。公司现有两个部门负责维护任务,他们分别适用team1 和team2
帐号进行管理。先要求仅允许team1 和team2 帐号登录FTP 服务器,但不能登录本地系统,并将
这两个帐号的根目录限制为/var/www/html,不能进入该目录以外的任何目录
分析:
将FTP 和WEB 服务器做在一起是企业经常采用的方法,这样方便实现对网站的维护,为了增强安
全性,首先需要使用仅允许本地用户访问,并禁止匿名用户登录。其次使用chroot 功能将team1
和team2 锁定在/var/www/html 目录下。如果需要删除文件则还需要注意本地权限
方案:
1)建立维护网站内容的ftp 帐号team1 和team2 并禁止本地登录,然后设置其密码
[root@xuegod63 ~]# useradd -s /sbin/nologin team1
[root@xuegod63 ~]# useradd -s /sbin/nologin team2
[root@xuegod63 ~]# echo "123456" | passwd --stdin team1
Changing password for user team1.
passwd: all authentication tokens updated successfully.
[root@xuegod63 ~]# echo "123456" | passwd --stdin team2
Changing password for user team2.
passwd: all authentication tokens updated successfully.
2)配置vsftpd.conf 主配置文件并作相应修改
[root@xuegod63 vsftpd]# cp vsftpd.conf.back vsftpd.conf
vim /etc/vsftpd/vsftpd.conf
anonymous_enable=NO:禁止匿名用户登录
local_enable=YES:允许本地用户登录
local_root=/var/www/html
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
#local_root=/var/www/html #设置本地用户的根目录为/var/www/html
#chroot_list_enable=YES #激活chroot功能
#chroot_list_file=/etc/vsftpd/chroot_list #设置锁定用户在根目录中的列表文件。此文件存放要锁定的用户名
3)建立/etc/vsftpd/chroot_list 文件,添加team1 和team2 帐号
[root@xuegod63 vsftpd]# touch /etc/vsftpd/chroot_list
[root@xuegod63 ~]# ll !$
ll /etc/vsftpd/chroot_list
-rw-r--r-- 1 root root 0 Nov 10 17:08 /etc/vsftpd/chroot_list
[root@xuegod63 ~]# vim /etc/vsftpd/chroot_list #写入以下内容,一行,一个用户名
team1
team2
4)重启vsftpd 服务使配置生效
service vsftpd restart
5)修改本地权限
[root@xuegod63 ~]# ll -d /var/www/html/
drwxr-xr-x. 2 root root 4096 Oct 6 2011 /var/www/html/
[root@xuegod63 ~]# chmod -R o+w /var/www/html/
[root@xuegod63 ~]# ll -d /var/www/html/
drwxr-xrwx. 2 root root 4096 Oct 6 2011 /var/www/html/
例3:公司为了宣传最新的产品信息,计划搭建FTP 服务器,为客户提供相关文档的下载。对所有互
联网开放共享目录,允许下载产品信息,禁止上传。公司的合作单位能够使用FTP 服务器进行上
传和下载,但不可以删除数据。需要保证服务器的稳定性并做优化。创建ftp虚拟帐号。允许客户使用ftp帐号下载文件。 但是,你们自己的合作伙伴帐号:vip可以上传一内部文件
分析:
根据企业的需求,对于不同用户进行不同的权限限制,FTP 服务器需要实现用户的审核。需考虑
到服务器的安全性,所以关闭实体用户登录,使用虚拟帐号验证机制,并对不同虚拟帐号设置不
同的权限。为了保证服务器的性能,还需要根据用户的等级,限制客户端的连接数及下载速度。
方案:
1、创建用户数据库
1)创建用户文本文件
先建立用户文本文件vsftpd_virtualuser.txt,添加两个虚拟帐号,公共帐号ftp 及客户帐号
vip
[root@xuegod63 vsftpd]# vim /etc/vsftpd/vsftpd_virtualuser.txt #写入以下内容。格式一行用户一行密码
ftp #客户用户
123456 #密码
vip #合作伙伴
123456
2)生成数据库
保存虚拟帐号和密码的文本文件无法被系统帐号直接调用。我们需要使用db_load 命令生成db数据库文件
[root@xuegod63 vsftpd]# rpm -qf `which db_load `
db4-utils-4.7.25-16.el6.x86_64
# db_load -T -t hash -f /etc/vsftpd/vsftpd_virtualuser.txt /etc/vsftpd/vsftpd_virtualuser.db
参数说明:
选项-T允许应用程序能够将文本文件转译载入进数据库。
由于我们之虚拟用户信息,以文本文件存储的。为让Vsftpd应用程序能够通过来载入用户数据,必须要使用选项来转译成vsftpd可以读懂的内容
-t hash使用hash码加密
-f 指定包含用户名和密码文本文件。此文件格式要示:奇数行用户名、偶数行密码
[root@xuegod63 vsftpd]# rm -rf /etc/vsftpd/vsftpd_virtualuser.txt #为了安全,删除此文件。后期不再使用此文件。
3)修改数据库文件访问权限
数据库文件中保存着虚拟帐号的密码信息,为了防止非法用户盗取哈,我们可以修改该文件的访问权限。生成的认证文件的权限应设置为只对root用户可读可写,即600
[root@xuegod63 vsftpd]# chmod 600 /etc/vsftpd/vsftpd_virtualuser.db
[root@xuegod63 vsftpd]# ll !$
ll /etc/vsftpd/vsftpd_virtualuser.db
-rw------- 1 root root 12288 Nov 10 21:16 /etc/vsftpd/vsftpd_virtualuser.db
2、配置PAM 文件
为了使服务器能够使用数据库文件,对客户端进行身份验证,需要调用系统的PAM 模块.
PAM(Plugable Authentication Module)为可插拔认证模块,不必重新安装应用系统,通过修
改指定的配置文件,调整对该程序的认证方式。PAM 模块配置文件路径为/etc/pam.d/目录,此
目录下保存着大量与认证有关的配置文件,并以服务名称命名。
修改vsftpd 对应的PAM 配置文件/etc/pam.d/vsftpd。将默认配置使用“#”全部注释,添加两行应字段。
[root@xuegod63 vsftpd]# cat /etc/pam.d/vsftpd
##%PAM-1.0
#session optional pam_keyinit.so force revoke
#auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
#auth required pam_shells.so
#auth include password-auth
#account include password-auth
#session required pam_loginuid.so
#session include password-auth
auth required /lib64/security/pam_userdb.so db=/etc/vsftpd/vsftpd_virtualuser
account required /lib64/security/pam_userdb.so db=/etc/vsftpd/vsftpd_virtualuser
注意:这里的db=/etc/vsftpd/vsftpd_virtualuser是pam文件的写法规范,不是真正指向db=/etc/vsftpd/vsftpd_virtualuser 这个文件,而是/etc/vsftpd/vsftpd_virtualuser.db 文件。与此同时还需要注意的是db=数据库中的数据库不用写出拓展名
3、创建虚拟帐号对应的系统用户及ftp共享的目录
对于公共帐号和客户帐号,因为需要配置不同的权限,所以可以将两个帐号的目录进行隔离,控
制用户的文件访问。公共帐号ftp 对应系统帐号ftpuser,并指定其主目录为/var/ftp/share,
而客户帐号vip 对应系统帐号ftpvip,指定主目录为/var/ftp/vip。
[root@xuegod63 vsftpd]# useradd -d /var/ftp/share ftpuser
[root@xuegod63 vsftpd]# useradd -d /var/ftp/vip ftpvip
[root@xuegod63 vsftpd]# chmod -R 500 /var/ftp/share/ #修改权限
[root@xuegod63 vsftpd]# chmod -R 700 /var/ftp/vip/
chmod -R 500 /var/ftp/share/ :公共帐号ftp 只允许下载,修改share 目录其他用户权限为rx 可读可执行。
chmod -R 700 /var/ftp/vip/ :客户帐号vip 允许上传和下载,所以对vip 目录权限设置为rwx,
可读可写可执行。
注:如果不设置可执行用户登录会出不能更改目录错误。
4、建立配置文件
互动:如何设置多个虚拟帐号的不同权限? 以前都配置好服务后,对所有用户有效。现在需要对不同用户配置不同的权限。 怎么办?
一个配置文件无法实现此功能,需要为每个虚拟帐号建立独立的配置文件,并根据需要进行相应的设置。
1)修改vsftpd.conf 主配置文件
配置主配置文件/etc/vsftpd/vsftpd.conf 添加虚拟帐号的共同设置并添加user_config_dir 字段,定义虚拟帐号的配置文件目录。
开始配置:
[root@xuegod63 vsftpd]# cp vsftpd.conf.back vsftpd.conf
禁用匿名用户登录并启用本地用户登录设置
vim vsftpd.conf
改:
anonymous_enable=YES
为:
anonymous_enable=NO
local_enable=YES #确认此选项打开,允许本地用户登录。 Uncomment :取消注释
chroot_local_user=YES #确认此选项打开。将所有本地用户限制在家目录中,NO 则不限制
pam_service_name=vsftpd #确认在文件的最后有选项。配置vsftpd 使用的PAM 模块为vsftpd
在此选项后面追加:
user_config_dir=/etc/vsftpd/vuserconfig #设置虚拟帐号的主目录为/vuserconfig
max_clients=300 #设置FTP 服务器最大接入客户端数为300 个
max_per_ip=10 #设置每个IP 地址最大连接数为10 个
2)建立虚拟帐号配置文件
在user_config_dir 指定路径下,建立与 **虚拟帐号** 同名 的配置文件并添加相应的配置字段
首先建立公共帐号ftp 的配置文件
[root@xuegod63 ~]# grep vuserconfig /etc/vsftpd/vsftpd.conf #查看要创建的目录名
user_config_dir=/etc/vsftpd/vuserconfig
[root@xuegod63 ~]# mkdir /etc/vsftpd/vuserconfig
[root@xuegod63 ~]# touch /etc/vsftpd/vuserconfig/ftp
[root@xuegod63 ~]# touch /etc/vsftpd/vuserconfig/vip
下面是客户的虚拟账号配置文件
[root@xuegod63 ~]# vim /etc/vsftpd/vuserconfig/ftp
guest_enable=yes
guest_username=ftpuser
anon_world_readable_only=no
anon_max_rate=50000
解释:
guest_enable=yes:开启虚拟帐号登录
guest_username=ftpuser:设置ftp 对应的系统帐号为ftpuser
anon_world_readable_only=no:允许匿名用户浏览整个服务器的文件系统
anon_max_rate=50000:限定传输速率为50KB/s
注意:
vsftpd 对于文件传输速度限制并不是绝对锁定在一个数值上哈,而是在80%~120%之间变化
比如设置100KB/s 则实际是速度在80KB/s~120KB/s 之间变化
下面是合作伙伴的虚拟账号配置文件
[root@xuegod63 ~]# vim /etc/vsftpd/vuserconfig/vip #写入以下内容
guest_enable=yes
guest_username=ftpvip
anon_world_readable_only=no
write_enable=yes
anon_mkdir_write_enable=yes
anon_upload_enable=yes
anon_max_rate=100000
解释:
guest_enable=yes:开启虚拟帐号登录
guest_username=ftpvip:设置ftp 对应的系统帐号为ftpvip
anon_world_readable_only=no:允许匿名用户浏览器整个服务器的文件系统
write_enable=yes:允许在文件系统写入权限
anon_mkdir_write_enable=yes:允许创建文件夹
anon_upload_enable=yes:开启匿名帐号的上传功能
anon_max_rate=100000:限定传输速度为100KB/s
5、重启 vsftpd 使配置生效
[root@xuegod63 ~]# service vsftpd restart
回顾配置文件参数
anonymous_enable=YES #启用匿名用户(anonymous、ftp)
local_enable=YES #本地用户、启用
write_enable=YES #本地用户、可写
#anon_upload_enable=YES #匿名用户可写
#anon_mkdir_write_enable=YES #匿名用户可以创建目录
#idle_session_timeout=600 #超时时间
#data_connection_timeout=120 #超时时间
listen=YES #是否监听
pam_service_name=vsftpd #开启pam支持
userlist_enable=YES #用户列表功能开启
tcp_wrappers=YES #开始tcp_wrappers支持
userlist_deny=NO #黑名单变白名单
#锁定用户访问的目录:
chroot_local_user=NO
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list #写谁锁谁
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list #写谁不锁谁
#其他功能:
#匿名用户可以重命名和删除:
#虚拟账号 pam认证
anon_other_write_enable=YES
bind IP
listen_address=IP
local_max_rate=N
anon_max_rate=N
max_client=N
max_per_ip=N
