《linux就该这么学》第十三节课：第11章和第12章，vsftpd服务与samba和nfs服务

时间 2019-11-30

标签 linux就该这么学第十三节 vsftpd 服务 samba nfs 栏目 FTP 繁體版

原文原文链接

第十一章linux

（借鉴请改动）数据库

11.一、文件传输协议vim

FTP文件穿数协议，端口20用于数据传输，21端口用于传输相关FTP命令windows

ftp协议的两种工做模式：安全

主动模式：ftp向客户端发起服务器

被动模式（默认）：等待客户端发起dom

yun install vsftpd -y 安装vsftpd服务，并 iptables -F 清空防火墙测试

vsftpd的住配置文件 /etc/vsftpd/vsftpd.conf 其中大部分是注释ui

把配置文件改名 vsftpd.conf_bak 而后用 grep -v "#" /etc/vsftpd/vsftpd.conf_bak > /etc/vsftpd/vsftpd.conf 过滤注释，获得的经常使用参数：加密

listen=[YES|NO] //是否以独立运行的方式监听服务

listen_address=IP地址 //设置要监听的IP地址

listen_port=21 //设置FTP服务的监听端口

download_enable＝[YES|NO] // 是否容许下载文件

userlist_enable=[YES|NO] //设置用户列表为“容许”仍是“禁止”操做

userlist_deny=[YES|NO] //设置用户列表为“容许”仍是“禁止”操做

max_clients=0 // 最大客户端链接数，0为不限制

max_per_ip=0 // 同一IP地址的最大链接数，0为不限制

anonymous_enable=[YES|NO] //是否容许匿名用户访问

anon_upload_enable=[YES|NO] //是否容许匿名用户上传文件

anon_umask=022 // 匿名用户上传文件的umask值

anon_root=/var/ftp // 匿名用户的FTP根目录

anon_mkdir_write_enable=[YES|NO] //是否容许匿名用户建立目录

anon_other_write_enable=[YES|NO] // 是否开放匿名用户的其余写入权限（包括重命名、删除等操做权限）

anon_max_rate=0 // 匿名用户的最大传输速率（字节/秒），0为不限制

local_enable=[YES|NO] // 是否容许本地用户登陆FTP

local_umask=022 //本地用户上传文件的umask值

local_root=/var/ftp //本地用户的FTP根目录

chroot_local_user=[YES|NO] //是否将用户权限禁锢在FTP目录，以确保安全

local_max_rate=0 //本地用户最大传输速率（字节/秒），0为不限制

11.二、vsftpd服务程序

匿名开放模式：任何人均可以登陆，不安全

本地用户模式：经过服务器本地用户登陆

虚拟用户模式：三种中最安全的认证方式，创建用户数据库，虚拟出来用户登陆

需先安装：yum install ftp -y

匿名开放模式（/var/ftp）

一、修改配置文件中的部分参数:

anonymous_enable=YES //容许匿名访问模式

anon_umask=022 //匿名用户上传文件的umask值

anon_upload_enable=YES // 容许匿名用户上传文件

anon_mkdir_write_enable=YES //容许匿名用户建立目录

anon_other_write_enable=YES //容许匿名用户修改目录名称或删除目录

二、修改目录权限和selinux的域并重启服务

三、测试服务（ftp默认访问的是/var/ftp目录）

本地用户模式

一、修改部分配置文件:

anonymous_enable=NO //禁止匿名访问模式

local_enable=YES //容许本地用户模式

write_enable=YES //设置可写权限

local_umask=022 //本地用户模式建立文件的umask值

userlist_deny=YES // 启用“禁止用户名单”，名单文件为ftpusers和user_list

userlist_enable=YES // 开启用户做用名单文件功能

二、修改selinux域并重启服务

setsebool -p ftpd_full_access=on

三、本地用户模式默认不容许root用户登陆，如需登陆，须要把/etc/vsftpd/user_list和/etc/vsftpd/ftpusers中root用户去掉(死亡笔记)

虚拟用户模式

pam模块：可插拔认证模块。是一种认证机制，经过一些动态连接库和统一的API把系统服务与认证方式分开，灵活的调整不一样认证方式。

一、建立用于认证的用户数据库文件，并加密与受权，删除原文件

[root@linuxprobe vsftpd]# vim vuser.list //一行用户名一行密码交替
zhangsan
redhat
lisi
redhat

db_load -T -t hash -f vuser.list vuser.db //加密

chmod 600 vuser.db

rm -rf vuser.db

二、把建立的虚拟用户映射到本地用户

useradd -d /var/ftproot -s /sbin/nologin virtual //用于映射虚拟用户

chmod -Rf 755 /var/ftproot

三、创建用于认证的pam模块

vim /etc/pam.d/vsftpd.vu

auth required pam_userdb.so db=/etc/vsftpd/vuser

account required pam_userdb.so db=/etc/vsftpd/vuser

四、写入配置文件

anonymous_enable=NO //禁止匿名开放模式

local_enable=YES //容许本地用户模式

guest_enable=YES //开启虚拟用户模式

guest_username=virtual // 指定虚拟用户帐户

pam_service_name=vsftpd.vu // 指定PAM文件

allow_writeable_chroot=YES // 容许对禁锢的FTP根目录执行写入操做，并且不拒绝用户的登陆请求

五、为用户设置权限并写入配置文件

vim /etc/vsftpd/vusers_dir/zhangsan

anon_upload_enable=YES

anon_mkdir_write_enable=YES

anon_other_write_enable=YES

vim /etc/vsftpd/vsftpd.conf

user_config_dir=/etc/vsftpd/vusers_dir

六、设置selinux域并重启服务

11.三、简单文本传输协议

yum install tftp-server tftp -y //安装tftp

vim /etc/xinetd.d/tftp 把其中的disable 项改为yes

防火墙添加端口：

firewall-cmd --permanent --add-port=69/udp

firewall-cmd --reload

tftp的根目录为 /var/lib/tftpboot 相关参数解释：

? //帮助信息

put //上传文件

get //下载文件

verbose //显示详细的处理信息

status //显示当前的状态信息

binary //使用二进制进行传输

ascii //使用ASCII码进行传输

timeout //设置重传的超时时间

quit //退出

重启服务：systemctl restart xinetd

第十二章

samba和nfs（nfs只能linux之间）总结：

Windows和linux：(smb服务)

linux 服务端：安装Samba，将共享目录写入/etc/samba/smb.conf而且设置权限、selinux、防火墙。而后pdbedit建立smb登入用户，重启服务。

windows客户端：开始搜索栏直接：\\192.168.10.10

linux 和 linux ：（smb服务）

服务端：与上述同样正常配置Samba服务便可

linux客户端：yum安装cifs-utils并写入认证文件auth.smb，而后写入挂载文件/etc/fstab

例如：//192.168.10.10/database /database cifs credentials=/root/auth.smb 0 0

nfs的linux与linux（只能linux）：

服务端：安装nfs，把共享目录写入/etc/export，设置权限，selinux，防火墙，并重启服务（rpc-bind和nfs-server）

/etc/export的写入格式：共享目录路径容许访问nfs客户端（共享权限参数）

客户端：showmount -e 查看服务端共享目录，并挂载，使用mount -t 文件类型挂载

详细以下：

12.一、samba文件共享服务

yum install samba -y 安装Samba服务

主配置文件 /etc/samba/smb.conf 中的参数解释：

[global] #全局参数。

workgroup = MYGROUP //#工做组名称

server string = Samba Server Version %v //#服务器介绍信息，参数%v为显示SMB版本号

log file = /var/log/samba/log.%m //#定义日志文件的存放位置与名称，参数%m为来访的主机名

max log size = 50 //#定义日志文件的最大容量为50KB

security = user //#安全验证的方式，总共有4种

#share： //来访主机无需验证口令；比较方便，但安全性不好

#user： //需验证来访主机提供的口令后才能够访问；提高了安全性

#server： //使用独立的远程主机验证来访主机提供的口令（集中管理帐户）

#domain： //使用域控制器进行身份验证

passdb backend = tdbsam // #定义用户后台的类型，共有3种

#smbpasswd： //使用smbpasswd命令为系统用户设置Samba服务程序的密码

#tdbsam： //建立数据库文件并使用pdbedit命令创建Samba服务程序的用户

#ldapsam： //基于LDAP服务进行帐户验证

load printers = yes //#设置在Samba服务启动时是否共享打印机设备

cups options = raw //#打印机的选项

[homes] //#共享参数

comment = Home Directories //#描述信息

browseable = no //#指定共享信息是否在“网上邻居”中可见

writable = yes // #定义是否能够执行写入操做，与“read only”相反

[printers] //#打印机共享参数

comment = All Printers

path = /var/spool/samba //#共享文件的实际路径(重要)。

browseable = no

guest ok = no // #是否全部人可见，等同于"public"参数。

writable = no

printable = yes

（服务端配置）配置共享资源

一、写入配置文件而且创建smb用户

vim /etc/samba/smb.conf

[database] //共享名称为database

comment = Do not arbitrarily modify the database file //警告用户不要随意修改数据库

path = /home/database //共享目录为/home/database

public = no //关闭“全部人可见”

writable = yes // 容许写入操做

pdbedit -a -u linuxprobe

pdbedit 用于管理Samba用户。 pdbedit 【选项】【帐户】。

-a 用户名 // 创建Samba帐户 -x 用户名 //删除用户名

-L //列出帐户列表 -Lv //列出帐户详细列表

二、建立共享文件目录/home/database 并受权和selinux的安全上下文和selinux域

三、清空防火墙并重启服务

（客户端）配置共享

window端：直接在开始的搜索栏：\\192.168.10.10 并输入用户名密码

linux端：yum install cifs -y ，写认证文件并受权，建立挂载目录，写入/etc/fstab中，mount -a挂载使用

vim auth.smb

username=linuxprobe

password=redhat

domain=MYGROUP

chmod -Rf 600 auth.smb

vim /etc/fstab

//192.168.10.10/database /database cifs credentials=/root/auth.smb 0 0

复习：ftp的本地模式

预习：第十二章，第十三章 13.5