《linux就该这么学》第十三节课：第11章和第12章，vsftpd服务与samba和nfs服务

第十一章

（借鉴请改动）

11.1、文件传输协议

FTP文件穿数协议，端口20用于数据传输，21端口用于传输相关FTP命令

ftp协议的两种工作模式：

主动模式：ftp向客户端发起

被动模式（默认）：等待客户端发起

yun   install   vsftpd    -y    安装vsftpd服务，并 iptables   -F   清空防火墙

vsftpd的住配置文件   /etc/vsftpd/vsftpd.conf  其中大部分是注释

把配置文件更名  vsftpd.conf_bak  然后用  grep -v "#" /etc/vsftpd/vsftpd.conf_bak > /etc/vsftpd/vsftpd.conf  过滤注释，得到的常用参数：

listen=[YES|NO]                                        //是否以独立运行的方式监听服务

listen_address=IP地址                               //设置要监听的IP地址

listen_port=21                                        //设置FTP服务的监听端口

download_enable＝[YES|NO]                  // 是否允许下载文件

userlist_enable=[YES|NO]                       //设置用户列表为“允许”还是“禁止”操作

userlist_deny=[YES|NO]                        //设置用户列表为“允许”还是“禁止”操作

max_clients=0                                       // 最大客户端连接数，0为不限制

max_per_ip=0                                        // 同一IP地址的最大连接数，0为不限制

anonymous_enable=[YES|NO]                  //是否允许匿名用户访问

anon_upload_enable=[YES|NO]               //是否允许匿名用户上传文件

anon_umask=022                              // 匿名用户上传文件的umask值

anon_root=/var/ftp                              // 匿名用户的FTP根目录

anon_mkdir_write_enable=[YES|NO]     //是否允许匿名用户创建目录

anon_other_write_enable=[YES|NO]       // 是否开放匿名用户的其他写入权限（包括重命名、删除等操作权限）

anon_max_rate=0                              // 匿名用户的最大传输速率（字节/秒），0为不限制

local_enable=[YES|NO]                            // 是否允许本地用户登录FTP

local_umask=022                                      //本地用户上传文件的umask值

local_root=/var/ftp                                    //本地用户的FTP根目录

chroot_local_user=[YES|NO]                     //是否将用户权限禁锢在FTP目录，以确保安全

  local_max_rate=0                                        //本地用户最大传输速率（字节/秒），0为不限制

11.2、vsftpd服务程序

匿名开放模式：任何人都可以登录，不安全

本地用户模式：通过服务器本地用户登录

虚拟用户模式：三种中最安全的认证方式，建立用户数据库，虚拟出来用户登录

需先安装：yum  install   ftp   -y

匿名开放模式  （/var/ftp）

        1、修改配置文件中的部分参数:

anonymous_enable=YES               //允许匿名访问模式

anon_umask=022                          //匿名用户上传文件的umask值

anon_upload_enable=YES            // 允许匿名用户上传文件

anon_mkdir_write_enable=YES    //允许匿名用户创建目录

anon_other_write_enable=YES    //允许匿名用户修改目录名称或删除目录

2、修改目录权限和selinux的域并重启服务

            

    3、测试服务（ftp默认访问的是/var/ftp目录）

            

        本地用户模式

        1、修改部分配置文件:

anonymous_enable=NO               //禁止匿名访问模式

local_enable=YES                       //允许本地用户模式

write_enable=YES                       //设置可写权限

local_umask=022                        //本地用户模式创建文件的umask值

userlist_deny=YES                     // 启用“禁止用户名单”，名单文件为ftpusers和user_list

userlist_enable=YES                  // 开启用户作用名单文件功能

2、修改selinux域并重启服务

            setsebool  -p  ftpd_full_access=on

        3、本地用户模式默认不允许root用户登录，如需登录，需要把/etc/vsftpd/user_list和/etc/vsftpd/ftpusers中root用户去掉(死亡笔记)

        虚拟用户模式

        pam模块：可插拔认证模块。是一种认证机制，通过一些动态链接库和统一的API把系统服务与认证方式分开，灵活的调整不同认证方式。

        1、创建用于认证的用户数据库文件，并加密与授权，删除原文件

[root@linuxprobe vsftpd]# vim vuser.list              //一行用户名一行密码交替
             zhangsan
             redhat
             lisi
             redhat

db_load -T -t hash -f vuser.list vuser.db              //加密

chmod  600  vuser.db

rm  -rf  vuser.db

2、把创建的虚拟用户映射到本地用户

useradd -d /var/ftproot -s /sbin/nologin virtual      //用于映射虚拟用户

chmod -Rf 755  /var/ftproot

3、建立用于认证的pam模块

vim /etc/pam.d/vsftpd.vu

auth required pam_userdb.so db=/etc/vsftpd/vuser

account required pam_userdb.so db=/etc/vsftpd/vuser

4、写入配置文件

anonymous_enable=NO                           //禁止匿名开放模式

local_enable=YES                                       //允许本地用户模式

guest_enable=YES                                   //开启虚拟用户模式

guest_username=virtual                          // 指定虚拟用户账户

pam_service_name=vsftpd.vu                    // 指定PAM文件

allow_writeable_chroot=YES                       // 允许对禁锢的FTP根目录执行写入操作，而且不拒绝用户的登录请求

5、为用户设置权限并写入配置文件

vim  /etc/vsftpd/vusers_dir/zhangsan

anon_upload_enable=YES

anon_mkdir_write_enable=YES

anon_other_write_enable=YES

vim /etc/vsftpd/vsftpd.conf

user_config_dir=/etc/vsftpd/vusers_dir

6、设置selinux域并重启服务

11.3、简单文本传输协议

yum  install  tftp-server  tftp   -y      //安装tftp

vim  /etc/xinetd.d/tftp   把其中的disable  项改成yes

            

防火墙添加端口：

firewall-cmd --permanent --add-port=69/udp

firewall-cmd --reload

tftp的根目录为  /var/lib/tftpboot  相关参数解释：

?                           //帮助信息

put                       //上传文件

get                      //下载文件

verbose              //显示详细的处理信息

status                 //显示当前的状态信息

binary                 //使用二进制进行传输

ascii                   //使用ASCII码进行传输

timeout              //设置重传的超时时间

quit                   //退出

重启服务：systemctl  restart  xinetd

第十二章

samba和nfs（nfs只能linux之间）总结：

Windows和linux：(smb服务)

         linux 服务端：安装Samba，将共享目录写入/etc/samba/smb.conf并且设置权限、selinux、防火墙。然后pdbedit创建smb登入用户，重启服务。

        windows客户端：开始搜索栏直接：\\192.168.10.10

linux  和  linux   ：（smb服务）

        服务端：与上述一样正常配置Samba服务即可

        linux客户端：yum安装cifs-utils并写入认证文件auth.smb，然后写入挂载文件/etc/fstab

        例如：//192.168.10.10/database   /database   cifs   credentials=/root/auth.smb   0   0

nfs的linux与linux（只能linux）：

        服务端：安装nfs，把共享目录写入/etc/export，设置权限，selinux，防火墙，并重启服务（rpc-bind和nfs-server）

        /etc/export的写入格式：共享目录路径         允许访问nfs客户端（共享权限参数）

        客户端：showmount   -e   查看服务端共享目录，并挂载，使用mount   -t  文件类型挂载

详细如下：

12.1、samba文件共享服务

yum install  samba  -y    安装Samba服务

主配置文件  /etc/samba/smb.conf  中的参数解释：

[global] #全局参数。

 workgroup = MYGROUP               //#工作组名称

server string = Samba Server Version %v           //#服务器介绍信息，参数%v为显示SMB版本号

log file = /var/log/samba/log.%m                       //#定义日志文件的存放位置与名称，参数%m为来访的主机名

max log size = 50                                             //#定义日志文件的最大容量为50KB

security = user                                                    //#安全验证的方式，总共有4种

#share：                                                         //来访主机无需验证口令；比较方便，但安全性很差

#user：                                    //需验证来访主机提供的口令后才可以访问；提升了安全性

#server：                             //使用独立的远程主机验证来访主机提供的口令（集中管理账户）

#domain：                          //使用域控制器进行身份验证

passdb backend = tdbsam              // #定义用户后台的类型，共有3种

#smbpasswd：                         //使用smbpasswd命令为系统用户设置Samba服务程序的密码

#tdbsam：                                //创建数据库文件并使用pdbedit命令建立Samba服务程序的用户

#ldapsam：                              //基于LDAP服务进行账户验证

load printers = yes                         //#设置在Samba服务启动时是否共享打印机设备

cups options = raw                          //#打印机的选项

[homes]                                        //#共享参数

comment = Home Directories             //#描述信息

browseable = no                                  //#指定共享信息是否在“网上邻居”中可见

writable = yes                                           // #定义是否可以执行写入操作，与“read only”相反

[printers]                                     //#打印机共享参数

comment = All Printers

 path = /var/spool/samba                     //#共享文件的实际路径(重要)。

 browseable = no

guest ok = no                                 // #是否所有人可见，等同于"public"参数。

writable = no

printable = yes

             

（服务端配置）配置共享资源

1、写入配置文件并且建立smb用户

vim  /etc/samba/smb.conf

[database]                          //共享名称为database

comment = Do not arbitrarily modify the database file         //警告用户不要随意修改数据库

path = /home/database                 //共享目录为/home/database

public = no                            //关闭“所有人可见”

writable = yes                         // 允许写入操作

pdbedit   -a  -u  linuxprobe

pdbedit   用于管理Samba用户 。    pdbedit  【选项】 【账户】。

  -a   用户名     // 建立Samba账户                            -x  用户名        //删除用户名

  -L                  //列出账户列表                                 -Lv                   //列出账户详细列表

  2、创建共享文件目录/home/database   并授权和selinux的安全上下文和selinux域

  3、清空防火墙并重启服务

（客户端）配置共享

  window端：直接在开始的搜索栏：\\192.168.10.10  并输入用户名密码

  linux端：yum  install  cifs  -y ，写认证文件并授权，创建挂载目录，写入/etc/fstab中，mount  -a挂载使用

vim auth.smb

username=linuxprobe

password=redhat

domain=MYGROUP

chmod -Rf 600 auth.smb

vim /etc/fstab

//192.168.10.10/database /database cifs credentials=/root/auth.smb 0 0

 

复习：ftp的本地模式

预习：第十二章，第十三章  13.5