网络操作系统—Linux配置与管理.ppt

8.5 FTP服务器 vsftpd安全设置 用户访问控制 userlist_enable：设置是否启用用户列表 userlist_file：配置userlist_enable选项，设置用户列表文件 userlist_deny：只有启用userlist_enable选项，才需设置此选项 目录访问控制 默认情况下匿名用户会被锁定在默认的FTP目录中，而本地用户却可以访问到自己的FTP目录以外的内容 出于安全的考虑，建议将本地用户也锁定在FTP目录中 文件系统操作控制 新增文件的权限控制 anon_umask：设置匿名用户新增文件的默认权限掩码 local_umask：设置本地用户新增文件的默认权限掩码 file_open_mode：设置上传文件的权限 客户端主机限制 vsftpd也具备控制特定IP地址或主机名的客户端访问的功能，这需要借助Tcp_wrappers来实现 8.5 FTP服务器 配置FTP虚拟用户访问 创建虚拟用户数据库 需要使用PAM用户数据库来验证虚拟用户，建立一个采用通用数据库格式（db）的文件来存储用户名和密码。 （1）建立包含虚拟用户名和密码的文本文件。文件中奇数行为用户名，偶数行为对应的密码 （2）执行以下命令将包含虚拟用户的文本文件转换成数据库文件。 db_load -T -t hash -f /etc/vsftpd/login.txt /etc/vsftpd/login.db （3）执行以下命令以限制该数据库文件的访问权限。 chmod 600 /etc/vsftpd/login.db 修改vsftpd的PAM配置文件 安装vsftpd时创建一个相应的PAM配置文件/etc/pam.d/vsftpd 对该文件进行修改，将所有的行加上#使其成为注释行，或者直接删除，然后添加以下两行内容。 auth required /lib/security/pam_userdb.so db=/etc/vsftpd/login account required /lib/security/pam_userdb.so db=/etc/vsftpd/login 这两行内容告知PAM使用新的数据库（/etc/vsftpd_login.db）来验证用户 8.5 FTP服务器 创建或修改vsftpd.conf配置文件 创建虚拟用户数据库 anonymous_enable=NO # 启用非匿名访问（包括虚拟用户） local_enable=YES write_enable=NO anon_upload_enable=NO anon_mkdir_write_enable=NO anon_other_write_enable=NO # 启用用户目录锁定（将虚拟用户锁定在其主目录中） chroot_local_user=YES # 启用虚拟用户功能 guest_enable=YES # 设置所有虚拟用户要映射的真实用户 guest_username=virtual # 设置vsftpd进行PAM认证时所用的PAM配置文件名 pam_service_name=vsftpd listen=YES # 设置vsftpd监听非标准端口8021的FTP请求 listen_port=8021 # 将被动模式端口设置为高端范围 pasv_min_port=30000 pasv_max_port=30999 相关命令的复习 创建一个名为testsmb的组 groupadd testsmb 增加一个名为zhongxp的账户 useradd –c “zhongxp” –m –g testsmb –p zxp123 zhongxp 相关命令的复习 mkdir –p /home/testsmb 创建一个目录 chown zhongxp:testsmb /home/testsmb 修改目录所有者和所属组 chmod u=rwx,g=rwx,o=rwx /home/testsmb 修改目录读写权限 Samba主配置文件示例 #======= Global Settings（全局设置）========= [global] workgroup = WORKGROUP server string = Samba Server security = user log file = /var/log/samba/%m.log username map=/etc/samba/smbusers