[RHEL5企業(yè)級(jí)Linux服務(wù)攻略]--第6季(這季是高級(jí)配置和.doc

企業(yè)環(huán)境公司為了宣傳最新的產(chǎn)品信息，計(jì)劃搭建FTP服務(wù)器，為客戶提供相關(guān)文檔的下載。對(duì)所有權(quán)互聯(lián)網(wǎng)開(kāi)放共享目錄，允許下載產(chǎn)品信息，禁止上傳。公司的合作單位能夠使用FTP服務(wù)器進(jìn)行上傳和下載，但不可以刪除數(shù)據(jù)。并且保證服務(wù)器的穩(wěn)定性，進(jìn)行適當(dāng)優(yōu)化設(shè)置哈需求分析根據(jù)企業(yè)的需求，對(duì)于不同用戶進(jìn)行不同的權(quán)限限制，F(xiàn)TP服務(wù)器需要實(shí)現(xiàn)用戶的審核。需考慮到服務(wù)器的安全性，所以關(guān)閉實(shí)體用戶登錄，使用虛擬帳號(hào)驗(yàn)證機(jī)制，并對(duì)不同虛擬帳號(hào)設(shè)置不同的權(quán)限。為了保證服務(wù)器的性能，還需要根據(jù)用戶的等級(jí)，限制客戶端的連接數(shù)及下載速度。解決方案1、創(chuàng)建用戶數(shù)據(jù)庫(kù)（1）創(chuàng)建用戶文本文件先建立用戶文本文件vsftpd_virtualuser.txt，添加兩個(gè)虛擬帳號(hào)，公共帳號(hào)ftp及客戶帳號(hào)viptouch /etc/vsftpd/vsftpd_virtualuser.txtvim /etc/vsftpd/vsftpd_virtualuser.txt格式：虛擬帳號(hào)1密碼虛擬帳號(hào)2密碼保存退出哈（2）生成數(shù)據(jù)庫(kù)保存虛擬帳號(hào)和密碼的文本文件無(wú)法被系統(tǒng)帳號(hào)直接調(diào)用哈我們需要使用db_load命令生成db數(shù)據(jù)庫(kù)文件db_load -T -t hash -f /etc/vsftpd/vsftpd_virtualuser.txt /etc/vsftpd/vsftpd_virtualuser.db注意：rhel5默認(rèn)只安裝db4-4.3.29-9.fc6.i386.rpm和db4-devel-4.3.29-9.fc6.i386.rpm，要使用db_load需要將db4-utils-4.3.29-9.fc6.i386.rpm包安裝上哈否則會(huì)出現(xiàn)下圖的錯(cuò)誤：找不到db_load命令。（3）修改數(shù)據(jù)庫(kù)文件訪問(wèn)權(quán)限數(shù)據(jù)庫(kù)文件中保存著虛擬帳號(hào)的密碼信息，為了防止非法用戶盜取哈，我們可以修改該文件的訪問(wèn)權(quán)限。生成的認(rèn)證文件的權(quán)限應(yīng)設(shè)置為只對(duì)root用戶可讀可寫，即600chmod 600 /etc/vsftpd/vsftpd_virtualuser2、配置PAM文件為了使服務(wù)器能夠使用數(shù)據(jù)庫(kù)文件，對(duì)客戶端進(jìn)行身份驗(yàn)證，需要調(diào)用系統(tǒng)的PAM模塊.PAM(Plugable Authentication Module)為可插拔認(rèn)證模塊，不必重新安裝應(yīng)用系統(tǒng)，通過(guò)修改指定的配置文件，調(diào)整對(duì)該程序的認(rèn)證方式。PAM模塊配置文件路徑為/etc/pam.d/目錄，此目錄下保存著大量與認(rèn)證有關(guān)的配置文件，并以服務(wù)名稱命名。修改vsftpd對(duì)應(yīng)的PAM配置文件/etc/pam.d/vsftpd，將默認(rèn)配置使用“#”全部注釋，添加相應(yīng)字段。修改成下圖效果：3、創(chuàng)建虛擬帳號(hào)對(duì)應(yīng)的系統(tǒng)用戶對(duì)于公共帳號(hào)和客戶帳號(hào)，因?yàn)樾枰渲貌煌臋?quán)限，所以可以將兩個(gè)帳號(hào)的目錄進(jìn)行隔離，控制用戶的文件訪問(wèn)。公共帳號(hào)ftp對(duì)應(yīng)系統(tǒng)帳號(hào)ftpuser，并指定其主目錄為/var/ftp/share，而客戶帳號(hào)vip對(duì)應(yīng)系統(tǒng)帳號(hào)ftpvip，指定主目錄為/var/ftp/vipchmod -R 500 /var/ftp/share/ ：公共帳號(hào)ftp只允許下載，修改share目錄其他用戶權(quán)限為rx可讀可執(zhí)行。 chmod -R 700 /var/ftp/vip/ ：客戶帳號(hào)vip允許上傳和下載，所以對(duì)vip目錄權(quán)限設(shè)置為rwx，可讀可寫可執(zhí)行。 如果不設(shè)置可執(zhí)行用戶登錄會(huì)出不能更改目錄錯(cuò)誤。 4、建立配置文件設(shè)置多個(gè)虛擬帳號(hào)的不同權(quán)限，若使用一個(gè)配置文件無(wú)法實(shí)現(xiàn)此功能，需要為每個(gè)虛擬帳號(hào)建立獨(dú)立的配置文件，并根據(jù)需要進(jìn)行相應(yīng)的設(shè)置。（1）修改vsftpd.conf主配置文件配置主配置文件/etc/vsftpd/vsftpd.conf添加虛擬帳號(hào)的共同設(shè)置并添加user_config_dir字段，定義虛擬帳號(hào)的配置文件目錄禁用匿名用戶登錄并啟用本地用戶登錄設(shè)置anonymous_enable=NO local_enable=YES將所有本地用戶限制在家目錄中，NO則不限制chroot_local_user=YESpam_service_name=vsftpd：配置vsftpd使用的PAM模塊為vsftpd user_config_dir=/etc/vsftpd/vuserconfig：設(shè)置虛擬帳號(hào)的主目錄為/vuserconfig max_clients=300：設(shè)置FTP服務(wù)器最大接入客戶端數(shù)為300個(gè) max_per_ip=10：設(shè)置每個(gè)IP地址最大連接數(shù)為10個(gè)（2）建立虛擬帳號(hào)配置文件在user_config_dir指定路徑下，建立與虛擬帳號(hào)同名的配置文件并添加相應(yīng)的配置字段哈首先建立公共帳號(hào)ftp的配置文件guest_enable=yes：開(kāi)啟虛擬帳號(hào)登錄 guest_username=ftpuser：設(shè)置ftp對(duì)應(yīng)的系統(tǒng)帳號(hào)為ftpuser anon_world_readable_only=no：允許匿名用戶瀏覽器整個(gè)服務(wù)器的文件系統(tǒng)anon_max_rate=50000：限定傳輸速率為50KB/s注意：vsftpd對(duì)于文件傳輸速度限制并不是絕對(duì)鎖定在一個(gè)數(shù)值上哈，而是在80%120%之間變化哈比如設(shè)置100KB/s則實(shí)際是速度在80KB/s120KB/s之間變化哈下面是客戶帳號(hào)的配置文件vipguest_enable=yes：開(kāi)啟虛擬帳號(hào)登錄 guest_username=ftpvip：設(shè)置ftp對(duì)應(yīng)的系統(tǒng)帳號(hào)為ftpvip anon_world_readable_only=no：允許匿名用戶瀏覽器整個(gè)服務(wù)器的文件系統(tǒng) write_enable=yes：允許在文件系統(tǒng)寫入權(quán)限 anon_mkdir_write_enable=yes：允許創(chuàng)建文件夾 anon_upload_enable=yes：開(kāi)啟匿名帳號(hào)的上傳功能 anon_max_rate=100000：限定傳輸速度為100KB/s5、重啟vsftpd使配置生效6、測(cè)試（1）公共帳號(hào)ftp測(cè)試在公共帳號(hào)測(cè)試前，我們先建立個(gè)產(chǎn)品信息文件哈公共帳號(hào)登錄ftp服務(wù)器哈登錄成功測(cè)試