《Linux操作系統(tǒng)》課件-服務(wù)配置和管理

DHCP服務(wù)配置和管理目錄/CONTENTS01安裝和配置ISCDHCP服務(wù)02配置DHCP租約和范圍03DHCP安全實踐安裝和配置ISCDHCP服務(wù)初識DHCPDHCP（動態(tài)主機(jī)配置協(xié)議）是一種客戶端/服務(wù)器協(xié)議，其中客戶端設(shè)備向DHCP服務(wù)器發(fā)出請求，請求獲取IP地址和其他網(wǎng)絡(luò)參數(shù)。DHCP服務(wù)器接收請求并分配可用的IP地址和其他參數(shù)。DHCP服務(wù)器可以配置為為每個客戶端設(shè)備分配固定的IP地址（稱為靜態(tài)IP地址），也可以為客戶端設(shè)備分配動態(tài)IP地址，這些地址在每次客戶端設(shè)備重新連接到網(wǎng)絡(luò)時都會更改。DHCP通常在局域網(wǎng)中使用，因為在這種情況下，DHCP服務(wù)器可以輕松地管理和分配IP地址和其他網(wǎng)絡(luò)參數(shù)。DHCP服務(wù)器通常由網(wǎng)絡(luò)管理員配置和管理，而客戶端設(shè)備則通過DHCP客戶端軟件來請求和接收網(wǎng)絡(luò)參數(shù)。安裝和配置ISCDHCP服務(wù)DHCP的工作原理如下：DHCPDiscover：客戶端設(shè)備通過廣播消息向網(wǎng)絡(luò)中所有的DHCP服務(wù)器發(fā)送請求，請求獲取可用的IP地址和其他網(wǎng)絡(luò)參數(shù)。DHCPOffer：DHCP服務(wù)器接收到客戶端設(shè)備的請求后，向客戶端設(shè)備發(fā)送一個包含可用IP地址和其他網(wǎng)絡(luò)參數(shù)的DHCPOffer消息。DHCPRequest：客戶端設(shè)備接收到DHCPOffer消息后，向DHCP服務(wù)器發(fā)送DHCPRequest消息，請求分配指定的IP地址和其他網(wǎng)絡(luò)參數(shù)。DHCPAcknowledge：DHCP服務(wù)器接收到客戶端設(shè)備的DHCPRequest消息后，向客戶端設(shè)備發(fā)送DHCPAcknowledge消息，確認(rèn)分配給客戶端設(shè)備的IP地址和其他網(wǎng)絡(luò)參數(shù)。安裝和配置ISCDHCP服務(wù)安裝DHCP服務(wù)yuminstall-ydhcpyumlistinstalled|grepdhcp查詢是否安裝成功安裝和配置ISCDHCP服務(wù)配置DHCP服務(wù)配置文件在/etc/dhcp/dhcpd.conf配置文件模板在/usr/share/doc/dhcp*/dhcp.conf.example右邊是一個基礎(chǔ)的DHCP配置示例DHCP服務(wù)器將會分配IP地址范圍0-00啟動服務(wù)systemctlstartdhcpdsystemctlenabledhcpd配置DHCP租約和范圍配置DHCP租約和范圍DHCP租約是客戶機(jī)能保持特定IP地址的時間。你可以在DHCP服務(wù)器配置文件中設(shè)置默認(rèn)和最大租約時間。范圍是DHCP服務(wù)器可分配的IP地址范圍。這些選項可以在你的DHCP服務(wù)器配置文件的子網(wǎng)定義部分中配置。vi/etc/dhcp/dhcpd.conf安裝和配置ISCDHCP服務(wù)配置DHCP租約和范圍subnetnetmask定義了你的局域網(wǎng)子網(wǎng)。每個局域網(wǎng)（LAN）都應(yīng)有一個單獨的子網(wǎng)定義。range000;定義了這個子網(wǎng)的動態(tài)IP范圍，DHCP服務(wù)器將在這個范圍內(nèi)分配IP地址。optionsubnet-mask;定義了這個子網(wǎng)的子網(wǎng)掩碼。optionbroadcast-address55;定義了這個子網(wǎng)的廣播地址。optionrouters;定義了這個子網(wǎng)的默認(rèn)網(wǎng)關(guān)（通常是路由器的IP地址）。optiondomain-name-servers,;定義了這個子網(wǎng)的DNS服務(wù)器地址（此例中是Google的公共DNS）。optiondomain-name"";定義了這個子網(wǎng)的域名。default-lease-time600;定義了默認(rèn)租約時間，單位為秒。如果客戶機(jī)未指定租約時間，那么就使用此時間。max-lease-time7200;定義了最大租約時間，單位為秒。即使客戶機(jī)請求的租約時間超過這個時間，DHCP服務(wù)器也只會分配這個時間長度的租約。重啟dhcpd服務(wù)生效systemctlrestartdhcpdDHCP安全實踐DHCP安全實踐1、限制IP地址池限制IP地址池可以避免未經(jīng)授權(quán)的設(shè)備獲得IP地址。在DHCP配置文件（通常為/etc/dhcp/dhcpd.conf）中，定義一個精確的IP地址范圍：subnetnetmask{range00;...}2、使用DHCP保留對于需要固定IP地址的設(shè)備，可以設(shè)置DHCP保留。在DHCP配置文件中，為特定設(shè)備保留IP地址：subnetnetmask{...}hostPrinter{hardwareethernet00:1A:2B:3C:4D:5E;fixed-address1;}DHCP安全實踐DHCP安全實踐3、關(guān)閉不需要的服務(wù)systemctllist-units--typeservice--staterunning使用systemctlstop[service-name]來停止不需要的服務(wù)，并使用systemctldisable[service-name]來防止它們在啟動時啟動。4、定期更新和升級yumupdate5、使用防火墻確保防火墻開放了DHCP服務(wù)所需的端口。你可以使用firewall-cmd命令來管理你的防火墻規(guī)則：sudofirewall-cmd--permanent--add-port=67-68/udpsudofirewall-cmd--reloadDHCP安全實踐DHCP安全實踐6、監(jiān)視網(wǎng)絡(luò)活動使用工具來監(jiān)視你的網(wǎng)絡(luò)活動，包括tcpdump，這是一個強(qiáng)大的命令行網(wǎng)絡(luò)分析工具：sudotcpdump-ieth0port67orport68上述命令將捕獲所有到達(dá)或離開eth0接口的DHCP流量。7、備份DHCP配置定期備份你的DHCP配置文件至安全的位置：cp/etc/dhcp/dhcpd.conf/path/to/backup/directory/DNS服務(wù)配置和管理目錄/CONTENTS01安裝和配置Bind服務(wù)02配置DNS區(qū)域和記錄03DNS安全實踐安裝和配置Bind服務(wù)初識DNSDNS，全稱為域名系統(tǒng)（DomainNameSystem），是互聯(lián)網(wǎng)的一項核心服務(wù)。它作為將域名和IP地址相互映射的一個分布式數(shù)據(jù)庫，能夠使人更方便地訪問互聯(lián)網(wǎng)，而不用記住能夠被機(jī)器直接讀取的IP數(shù)串。在互聯(lián)網(wǎng)上，每個接入網(wǎng)絡(luò)的設(shè)備都有一個唯一的IP地址，它們對應(yīng)著網(wǎng)絡(luò)上的一個唯一地址。然而，IP地址是一串?dāng)?shù)字，比如""或"2001:0db8:85a3:0000:0000:8a2e:0370:7334"，這對人來說并不易于記憶。相反，域名例如""則更容易記憶和識別。當(dāng)你在瀏覽器中輸入一個URL（例如，）時，你的電腦會向DNS服務(wù)器發(fā)送一個請求，詢問這個域名對應(yīng)的IP地址是什么。DNS服務(wù)器會回應(yīng)這個請求，提供相應(yīng)的IP地址。然后，你的電腦就會使用這個IP地址與遠(yuǎn)程服務(wù)器建立連接。安裝和配置Bind服務(wù)Bind安裝yuminstallbindbind-utils-ysystemctlstatusnamed安裝和配置Bind服務(wù)配置BINDBIND的主配置文件是/etc/named.conf，你可以使用文本編輯器打開并修改它。在這個文件中，你可以設(shè)置一些全局選項，以及區(qū)域（也就是你要服務(wù)的域名）的配置。vi/etc/named.conf在配置文件中，最重要的部分是options和zone。options部分定義了全局設(shè)置，例如監(jiān)聽的IP地址，允許查詢的客戶端等。zone部分定義了DNS區(qū)域，并指定了這個區(qū)域的區(qū)域文件位置。安裝和配置Bind服務(wù)創(chuàng)建區(qū)域文件每個域都有一個對應(yīng)的區(qū)域文件，它描述了這個域中所有的記錄。這個文件通常放在/var/named目錄下。例如，如果你有一個域名為，你可以創(chuàng)建一個區(qū)域文件/var/named/.db。vi/var/named/.db在這個文件中，你需要添加你的DNS記錄，例如A記錄（主機(jī)記錄），MX記錄（郵件交換記錄），CNAME記錄（別名記錄）等安裝和配置Bind服務(wù)啟動和啟用BIND安裝和配置完成后，你可以啟動BIND服務(wù)，并設(shè)置為開機(jī)啟動systemctlstartnamedsystemctlenablenamed安裝和配置Bind服務(wù)測試BIND配置你可以使用named-checkconf工具來檢查你的BIND配置是否正確。你也可以使用dig或nslookup工具來測試你的DNS服務(wù)器是否正常工作。named-checkconfdig@localhost配置DNS區(qū)域和記錄修改配置文件配置DNS區(qū)域和記錄涉及到創(chuàng)建一個zone文件，該文件包含DNS區(qū)域中所有的記錄。每個域都對應(yīng)一個zone文件。該文件通常放在/var/named目錄下。假設(shè)你要為配置一個DNS區(qū)域，首先你需要在/etc/named.conf中定義這個區(qū)域：vi/etc/named.conf在該文件中添加以下區(qū)域定義：zone""IN{typemaster;file"";allow-update{none;};};配置DNS區(qū)域和記錄修改配置文件""是你要定義的區(qū)域的域名。typemaster;指定這個服務(wù)器作為這個區(qū)域的主服務(wù)器。file"";指定保存區(qū)域記錄的文件名。BIND默認(rèn)會在/var/named目錄下查找這個文件。allow-update{none;};禁止對這個區(qū)域的動態(tài)更新。如果你需要動態(tài)DNS，可以改變這個設(shè)置。接下來，你需要創(chuàng)建相應(yīng)的區(qū)域文件/var/named/forward.fzmky.com：vi/var/named/forward.fzmky.com在這個文件中，你可以添加DNS記錄，例如：配置DNS區(qū)域和記錄修改配置文件$TTL86400@INSOAns1.fzmky.com.admin.fzmky.com.(3;Serial3600;Refresh1800;Retry604800;Expire86400;MinimumTTL)@INNSns1.fzmky.com.@INAns1INAwwwINAmailINA@INMX10mail.fzmky.com.配置DNS區(qū)域和記錄修改配置文件$TTL86400設(shè)置了默認(rèn)的TTL（TimetoLive）為86400秒，也就是一天。SOA記錄定義了權(quán)威DNS服務(wù)器的基本屬性，包括主DNS服務(wù)器、管理員的電子郵件地址（替換@為.）、序列號（每次修改zone文件時，都需要增加序列號）、刷新時間、重試時間、過期時間和最小TTL。NS記錄定義了該區(qū)域的DNS服務(wù)器。A記錄將一個域名映射到一個IPv4地址。MX記錄定義了接收該域郵件的服務(wù)器。systemctlrestartnamed重啟生效DNS安全實踐DNS安全實踐1、升級到最新版本：總是確保BIND和你的操作系統(tǒng)都保持在最新版本，以獲取最新的安全補(bǔ)丁和更新。在CentOS7上，你可以使用下列命令更新系統(tǒng)和BIND：yumupdate2、禁止遞歸查詢：BIND默認(rèn)允許遞歸查詢，這可能被攻擊者用來放大攻擊。如果你的DNS服務(wù)器不需要為公共互聯(lián)網(wǎng)提供遞歸解析服務(wù)，可以禁止遞歸查詢。在你的named.conf配置文件中，你可以在options部分添加recursionno;來禁止遞歸查詢。3、限制區(qū)域傳送：你可以限制只有特定的IP地址或者地址范圍可以請求區(qū)域傳送，避免信息泄露。在named.conf文件的options部分，你可以使用allow-transfer選項來限制區(qū)域傳送：DNS安全實踐DNS安全實踐4、使用訪問控制列表(ACL)：訪問控制列表（ACL）可以用來限制哪些客戶端可以查詢你的DNS服務(wù)器。例如，你可以創(chuàng)建一個ACL限制只有你的內(nèi)部網(wǎng)絡(luò)可以查詢你的服務(wù)器：5、啟用DNSSEC：DNSSEC可以提供DNS記錄的源頭驗證，避免DNS欺騙攻擊。啟用DNSSEC需要在你的DNS區(qū)域中添加DNSSEC記錄，并在named.conf中啟用DNSSEC支持。DNS安全實踐DNS安全實踐6、開啟日志記錄：開啟BIND的日志記錄功能，可以幫助你檢測和診斷問題。你可以在named.conf文件中配置日志：Email服務(wù)配置和管理目錄/CONTENTS01安裝和配置Postfix服務(wù)02配置郵件用戶和別名03郵件安全實踐和垃圾郵件防護(hù)安裝和配置Postfix服務(wù)Postfix服務(wù)介紹Postfix是一種郵件傳輸代理（MTA），用于在計算機(jī)網(wǎng)絡(luò)上路由和傳遞電子郵件。它是一種開源軟件，可在多種操作系統(tǒng)上運行，包括Linux、Unix和macOS等。Postfix是一種高性能、穩(wěn)定、安全的MTA，被廣泛用于企業(yè)和個人郵件服務(wù)器中。它支持多種郵件協(xié)議，包括SMTP、POP3和IMAP等。通過配置Postfix，您可以在自己的服務(wù)器上托管電子郵件服務(wù)。安裝和配置Postfix服務(wù)安裝Postfix和Mailx(這是一個發(fā)送和接收郵件的命令行工具)安裝和配置Postfix服務(wù)安裝完P(guān)ostfix后，啟動并將其設(shè)置為開機(jī)啟動。運行以下命令：systemctlstartpostfixsystemctlenablepostfixsystemctlstatuspostfix安裝和配置Postfix服務(wù)配置Postfix文件vi/etc/postfix/main.cfmyhostname=mydomain=myorigin=$mydomaininet_interfaces=allmydestination=$myhostname,localhost.$mydomain,localhost,$mydomainmynetworks=/24,/8home_mailbox=Maildir/myhostname應(yīng)為您的完全限定域名(FQDN)。mydomain和myorigin通常設(shè)置為您的域名。mydestination是您的Postfix服務(wù)器接收郵件的域名列表。mynetworks是可以無檢查地向Postfix發(fā)送郵件的IP地址列表。home_mailbox定義郵件存儲的位置安裝和配置Postfix服務(wù)保存文件重啟Postfix服務(wù)使得修改設(shè)置生效systemctlrestartpostfix配置郵件用戶和別名創(chuàng)建郵件用戶如果您想為郵件服務(wù)創(chuàng)建單獨的用戶，您可以使用useradd命令。例如，如果您想創(chuàng)建一個名為mailuser的用戶，您可以運行以下命令：useraddmailuser然后，您可以使用passwd命令為新用戶設(shè)置密碼：passwdmailuser安裝和配置Postfix服務(wù)設(shè)置郵件別名在Postfix中，郵件別名的設(shè)置存儲在/etc/aliases文件中。您可以通過編輯這個文件來添加新的郵件別名。比如，如果您想創(chuàng)建一個名為info的別名，指向mailuser，您可以打開別名文件并添加以下行：vi/etc/aliases然后添加以下行:info:mailuser保存并關(guān)閉文件。對/etc/aliases文件做出的任何更改需要運行newaliases命令或postalias/etc/aliases命令來生效。這將刷新系統(tǒng)的別名數(shù)據(jù)庫：newaliasespostalias/etc/aliases郵件安全實踐和垃圾郵件防護(hù)郵件安全實踐和垃圾郵件防護(hù)1、安裝和配置SpamAssassin：SpamAssassin是一個高效的垃圾郵件過濾器，它可以分析傳入的郵件，并根據(jù)不同的規(guī)則給郵件打分，通過閾值來判斷郵件是否為垃圾郵件。你可以使用yum包管理器來安裝：yuminstallspamassassin-ysystemctlenablespamassassinsystemctlstartspamassassin郵件安全實踐和垃圾郵件防護(hù)郵件安全實踐和垃圾郵件防護(hù)2、安裝和配置ClamAV：ClamAV是一個開源的防病毒引擎，可以用于檢測惡意軟件和電子郵件威脅。可以和SpamAssassin配合使用：yuminstallclamavclamd-yfreshclamsystemctlstartclamdsystemctlenableclamd郵件安全實踐和垃圾郵件防護(hù)郵件安全實踐和垃圾郵件防護(hù)3、使用Fail2ban：Fail2ban可以監(jiān)視系統(tǒng)日志，如果它發(fā)現(xiàn)過多的失敗嘗試，就會封鎖來源IP地址。這對防止暴力破解嘗試非常有用。yuminstallfail2ban-ysystemctlenablefail2bansystemctlstartfail2ban4、配置SPF、DKIM和DMARC：在DNS記錄中配置SPF(SenderPolicyFramework)、DKIM(DomainKeysIdentifiedMail)和DMARC(Domain-basedMessageAuthentication,ReportingandConformance)記錄可以幫助減少釣魚和欺詐郵件。這需要在你的DNS提供商處完成。郵件安全實踐和垃圾郵件防護(hù)郵件安全實踐和垃圾郵件防護(hù)5、郵件加密：你可以使用像STARTTLS這樣的協(xié)議，在郵件服務(wù)器之間發(fā)送加密的郵件。6、使用強(qiáng)密碼和啟用二步驗證：為用戶設(shè)置強(qiáng)密碼策略，并啟用二步驗證可以進(jìn)一步提高帳戶安全。7、定期更新和打補(bǔ)?。憾ㄆ诟锣]件服務(wù)器的軟件，應(yīng)用安全補(bǔ)丁，防止利用已知漏洞的攻擊。FTP服務(wù)配置和管理目錄/CONTENTS01安裝和配置Vsftpd服務(wù)02配置FTP用戶和目錄03FTP安全實踐安裝和配置Vsftpd服務(wù)初識FTPFTP是一種在互聯(lián)網(wǎng)中進(jìn)行文件傳輸?shù)膮f(xié)議，基于C/S模式，默認(rèn)服務(wù)端口號是20、2120端口用于數(shù)據(jù)傳輸、21端口用于接收客戶端的FTP命令與參數(shù)。安裝和配置Vsftpd服務(wù)初識FTPFTP服務(wù)器按照FTP協(xié)議在互聯(lián)網(wǎng)上提供文件存儲于文件訪問的服務(wù)FTP客戶端用于向服務(wù)器索要資源FTP工作模式主要分為兩種主動模式（PORT）：FTP服務(wù)器主動向客戶端發(fā)起連接請求被動模式（PASV）：FTP服務(wù)器等待客戶端發(fā)起連接請求。安裝和配置Vsftpd服務(wù)安裝vsftpd服務(wù)FTP是一種傳輸協(xié)議，實現(xiàn)了這種協(xié)議的工具，有一款Linux平臺上的程序，名為vsftpd（versecureftpdaemon，非常安全的FTP守護(hù)進(jìn)程）yuminstallvsftpd-yiptables-F安裝和配置Vsftpd服務(wù)配置vsftpd服務(wù)配置文件路徑/etc/vsftpd/vsftpd.conf過濾出非注釋行，非空行g(shù)rep-Ev‘^#|^$’/etc/vsftpd/vsftpd.conf安裝和配置Vsftpd服務(wù)配置vsftpdanonymous_enable=YES#是否開啟匿名用戶允許訪問local_enable=YES#是否允許本地用戶登錄FTPwrite_enable=YES#write_enable=YES#全局設(shè)置，是否容許寫入，開啟允許上傳的權(quán)限local_umask=022#本地用戶上傳文件的umaskdirmessage_enable=YES#允許為目錄配置顯示信息,顯示每個目錄下面的message_file文件的內(nèi)容xferlog_enable=YES#開啟日志功能，以及存放路徑xferlog_file=/var/log/vsftpd.log#日志路徑connect_from_port_20=YES#使用20端口進(jìn)行連接xferlog_std_format=YES#標(biāo)準(zhǔn)日志格式listen=YES#綁定到監(jiān)聽端口listen_ipv6=YES#開啟ipv6pam_service_name=vsftpd#設(shè)置PAM的名稱userlist_enable=YES#設(shè)置用戶已列表，允許或是禁止tcp_wrappers=YES#控制主機(jī)訪問，檢查/etc/hosts.allowhosts.deny的配置達(dá)到防火墻作用配置FTP用戶和目錄配置FTP用戶和目錄vsftpd允許用戶三種認(rèn)證的模式登錄到FTP服務(wù)器。本地用戶模式，基于Linux本地賬號密碼進(jìn)行認(rèn)證，配置簡單，但是一旦被破解，服務(wù)器信息就很危險匿名用戶模式，任何人無需密碼直接登錄虛擬用戶模式，單獨為FTP創(chuàng)建用戶數(shù)據(jù)庫，基于口令驗證賬戶信息，只適用于FTP，不會影響其他用戶信息，最為安全。配置FTP用戶和目錄匿名用戶模式grep‘^anon’/etc/vsftpd/vsftpd.confsystemctlrestartvsftpdsystemctlenablevsftpd此時可以使用ftp命令連接到FTP服務(wù)器了。連接了FTP服務(wù)端，其實連接的是目錄/var/ftp/配置FTP用戶和目錄由于pub文件夾，屬于root用戶，因此ftp無法向其寫入內(nèi)容，可以修改文件夾的user、group#檢查系統(tǒng)用戶ftp[root@mkyftp]#idftpuid=14(ftp)gid=50(ftp)組=50(ftp)#更改pub的屬主[root@mkyftp]#chown-Rfftp/var/ftp/pub/#遞歸處理所有的文件及子目錄去除錯誤信息[root@mkyftp]#ll總用量4drwxr-xr-x2ftproot409610月312018pub配置FTP用戶和目錄本地用戶模式使用Linux本地用戶模式，比匿名用戶來的安全，修改配置文件，關(guān)閉匿名模式，開啟本地用戶模式相關(guān)配置文件修改配置文件/etc/vsftpd/vsftpd.confanonymous_enable=NO#關(guān)閉匿名用戶模式local_enable=YES#開啟本地用戶模式write_enable=YES#設(shè)置可寫權(quán)限local_umask=022#文件umask值userlist_enable=YES#啟用【禁止登錄的用戶名單】文件名是，ftpusers，user_listuserlist_deny=YES#開啟禁止登錄名單配置FTP用戶和目錄本地用戶模式使用Linux本地用戶模式，比匿名用戶來的安全，修改配置文件，關(guān)閉匿名模式，開啟本地用戶模式相關(guān)配置文件ls/etc/vsftpd/ftpusersuser_listvsftpd.confvsftpd_conf_migrate.sh修改配置文件如下/etc/vsftpd/vsftpd.confanonymous_enable=NO#關(guān)閉匿名用戶模式local_enable=YES#開啟本地用戶模式write_enable=YES#設(shè)置可寫權(quán)限local_umask=022#文件umask值userlist_enable=YES#啟用【禁止登錄的用戶名單】文件名是，ftpusers，user_listuserlist_deny=YES#開啟禁止登錄名單重啟vsftpd服務(wù)，加載配置systemctlrestartvsftpdsystemctlenablevsftpd配置FTP用戶和目錄本地用戶模式有些用戶是無法登錄ftp，是因為vsftp有一個名單，寫上了禁止誰登錄ftpusers，user_list配置FTP用戶和目錄本地用戶模式設(shè)置了禁止登錄名單，名單上的用戶無法登錄，不在名單上的用戶能夠登錄成功配置FTP用戶和目錄虛擬用戶模式了解了有匿名用戶、本地用戶、再來了解下虛擬用戶模式，顧名思義是虛擬創(chuàng)建出的用戶，也是最為安全的一種。首先安裝BerkeleyDB工具yuminstalldb4db4-utils-y創(chuàng)建用于進(jìn)行FTP認(rèn)證的用戶數(shù)據(jù)庫，奇數(shù)行賬戶名、偶數(shù)行是密碼touchftp_user.txt由于這樣的明文信息很不安全，vsftpd也無法加載該格式的數(shù)據(jù)，因此還得用db_load命令對ftp_user.txt文件數(shù)據(jù)加密，且設(shè)置權(quán)限使得普通用戶無權(quán)限查閱。db_load-T-thash-f/etc/vsftpd/ftp_user.txt/etc/vsftpd/ftp_user.db配置FTP用戶和目錄虛擬用戶模式檢查文件屬性fileftp_user.db降低文件權(quán)限chmod600ftp_user.db刪除舊的數(shù)據(jù)文件rm-rfftp_user.txt創(chuàng)建當(dāng)虛擬用戶登錄后默認(rèn)訪問的文件夾路徑，且和linux中的一個本地用戶做一個映射關(guān)系，防止匿名用戶登錄后，創(chuàng)建了文件夾，但是系統(tǒng)沒有此用戶報錯權(quán)限問題新建一個用戶，指定用戶家目錄，且禁止登錄useradd-d/var/ftpdir-s/sbin/nologinvirtual_chao檢查此ftpdir的屬性ls-ld/var/ftpdir/配置FTP用戶和目錄虛擬用戶模式更改文件夾權(quán)限chmod-Rf755/var/ftpdir/添加virtual_fzmky用戶至ftpusers禁止用戶登錄文件，增大系統(tǒng)安全，但是不會影響虛擬用戶登錄echo'virtual_chao'>>ftpusers此時需要創(chuàng)建支持虛擬用戶的PAM文件，PAM是一組安全機(jī)制的模塊，編輯認(rèn)證文件/etc/pam.d/vsftpdcat/etc/pam.d/vsftpdauthrequiredpam_userdb.sodb=/etc/vsftpd/ftp_useraccountrequiredpam_userdb.sodb=/etc/vsftpd/ftp_user配置FTP用戶和目錄虛擬用戶模式grep-Ev'^$|^#'/etc/vsftpd/vsftpd.confanonymous_enable=NO#禁止匿名模式local_enable=YES#允許本地用戶write_enable=YESlocal_umask=022anon_upload_enable=YESanon_mkdir_write_enable=YESanon_other_write_enable=YESdirmessage_enable=YESxferlog_enable=YESconnect_from_port_20=YESxferlog_std_format=YES配置FTP用戶和目錄虛擬用戶模式listen=NOlisten_ipv6=YESpam_service_name=vsftpd#指定PAM認(rèn)證文件userlist_enable=YESuserlist_deny=YEStcp_wrappers=YESguest_enable=YES#開啟虛擬用戶guest_username=virtual_chao#指定虛擬用戶賬號allow_writeable_chroot=YES#如果用戶被限制只能在其家目錄，允許用戶可以對家目錄寫入數(shù)據(jù)FTP安全實踐FTP安全實踐1、使用FTPoverSSL/TLS(也稱為FTPS)FTP協(xié)議原生的問題是數(shù)據(jù)傳輸不加密，所以如果可能，你應(yīng)該使用FTPoverSSL/TLS，即FTPS。首先，你需要創(chuàng)建一個SSL證書。可以使用OpenSSL生成一個自簽名的SSL證書：sudoopensslreq-x509-nodes-days365-newkeyrsa:2048-keyout/etc/vsftpd/vsftpd.pem-out/etc/vsftpd/vsftpd.pem然后，在vsftpd的配置文件/etc/vsftpd/vsftpd.conf中添加以下幾行：ssl_enable=YESallow_anon_ssl=NOforce_local_data_ssl=YESforce_local_logins_ssl=YESssl_tlsv1=YESssl_sslv2=NOssl_sslv3=NOrsa_cert_file=/etc/vsftpd/vsftpd.pem重啟vsftpd服務(wù) systemctlrestartvsftpdFTP安全實踐FTP安全實踐1、使用FTPoverSSL/TLS(也稱為FTPS)FTP協(xié)議原生的問題是數(shù)據(jù)傳輸不加密，所以如果可能，你應(yīng)該使用FTPoverSSL/TLS，即FTPS。首先，你需要創(chuàng)建一個SSL證書?？梢允褂肙penSSL生成一個自簽名的SSL證書：sudoopensslreq-x509-nodes-days365-newkeyrsa:2048-keyout/etc/vsftpd/vsftpd.pem-out/etc/vsftpd/vsftpd.pem然后，在vsftpd的配置文件/etc/vsftpd/vsftpd.conf中添加以下幾行：ssl_enable=YESallow_anon_ssl=NOforce_local_data_ssl=YESforce_local_logins_ssl=YESssl_tlsv1=YESssl_sslv2=NOssl_sslv3=NOrsa_cert_file=/etc/vsftpd/vsftpd.pem重啟vsftpd服務(wù) systemctlrestartvsftpdFTP安全實踐FTP安全實踐1、使用FTPoverSSL/TLS(也稱為FTPS)FTP協(xié)議原生的問題是數(shù)據(jù)傳輸不加密，所以如果可能，你應(yīng)該使用FTPoverSSL/TLS，即FTPS。首先，你需要創(chuàng)建一個SSL證書。可以使用OpenSSL生成一個自簽名的SSL證書：sudoopensslreq-x509-nodes-days365-newkeyrsa:2048-keyout/etc/vsftpd/vsftpd.pem-out/etc/vsftpd/vsftpd.pem然后，在vsftpd的配置文件/etc/vsftpd/vsftpd.conf中添加以下幾行：ssl_enable=YESallow_anon_ssl=NOforce_local_data_ssl=YESforce_local_logins_ssl=YESssl_tlsv1=YESssl_sslv2=NOssl_sslv3=NOrsa_cert_file=/etc/vsftpd/vsftpd.pem重啟vsftpd服務(wù) systemctlrestartvsftpdFTP安全實踐FTP安全實踐1、使用FTPoverSSL/TLS(也稱為FTPS)FTP協(xié)議原生的問題是數(shù)據(jù)傳輸不加密，所以如果可能，你應(yīng)該使用FTPoverSSL/TLS，即FTPS。首先，你需要創(chuàng)建一個SSL證書?？梢允褂肙penSSL生成一個自簽名的SSL證書：sudoopensslreq-x509-nodes-days365-newkeyrsa:2048-keyout/etc/vsftpd/vsftpd.pem-out/etc/vsftpd/vsftpd.pem然后，在vsftpd的配置文件/etc/vsftpd/vsftpd.conf中添加以下幾行：ssl_enable=YESallow_anon_ssl=NOforce_local_data_ssl=YESforce_local_logins_ssl=YESssl_tlsv1=YESssl_sslv2=NOssl_sslv3=NOrsa_cert_file=/etc/vsftpd/vsftpd.pem重啟vsftpd服務(wù) systemctlrestartvsftpdFTP安全實踐FTP安全實踐2、禁用匿名訪問在vsftpd的配置文件/etc/vsftpd/vsftpd.conf中，設(shè)置anonymous_enable=NO可以禁止匿名訪問。3、限制用戶到其主目錄設(shè)置chroot_local_user=YES可以將用戶限制在其主目錄中，他們無法訪問系統(tǒng)的其他部分。這個選項可以增加系統(tǒng)的安全性。4、使用強(qiáng)密碼5、使用防火墻用防火墻來限制對FTP服務(wù)器的訪問。只有那些需要訪問FTP服務(wù)器的IP地址才應(yīng)被允許。在使用以上的所有安全實踐之后，你的FTP服務(wù)器應(yīng)該相對安全。HTTP服務(wù)配置和管理目錄/CONTENTS01安裝和配置Nginx服務(wù)02站點和虛擬主機(jī)配置03SSL和HTTPS配置安裝和配置Nginx服務(wù)常見Web服務(wù)器介紹Web服務(wù)器常指的是（worldwideweb，www）服務(wù)器、也是HTTP服務(wù)器，主要用于提供網(wǎng)上信息瀏覽。我們大部分人接觸互聯(lián)網(wǎng)，都基本上是通過瀏覽器訪問互聯(lián)網(wǎng)中各種資源。Web網(wǎng)絡(luò)服務(wù)是一種被動訪問的服務(wù)程序，即只有接收到互聯(lián)網(wǎng)中其他主機(jī)發(fā)出的請求后才會響應(yīng)，最終用于提供服務(wù)程序的Web服務(wù)器會通過HTTP(超文本傳輸協(xié)議)或HTTPS(安全超文本傳輸協(xié)議)把請求的內(nèi)容傳送給用戶。Unix和Linux平臺下的常用Web服務(wù)器常見有：ApacheNginxLighttpdTomcatIBMWebSphere其中最為廣泛的是Nginx，在Windows平臺上最常用的是微軟的IIS(InternetInformationServer，互聯(lián)網(wǎng)信息服務(wù))是Windows系統(tǒng)中默認(rèn)的Web服務(wù)程序。安裝和配置Nginx服務(wù)YUMnginx的安裝添加Centosnginxyum資源庫rpm-Uvh/packages/centos/7/noarch/RPMS/nginx-release-centos-7-0.el7.ngx.noarch.rpm安裝和配置Nginx服務(wù)安裝nginxyum-yinstallnginxsystemctlstartnginxsystemctlstatusnginx安裝和配置Nginx服務(wù)瀏覽器輸入ip地址，能夠顯示網(wǎng)頁，表示服務(wù)正常啟動。注意：如不能正常訪問，請檢查cnetos系統(tǒng)中selinux、iptables、firewalld是否關(guān)閉。安裝和配置Nginx服務(wù)selinux禁用iptables規(guī)則清空firewalld防火墻是否關(guān)閉站點和虛擬主機(jī)配置Nginx虛擬主機(jī)虛擬主機(jī)指的就是一個獨立的站點，具有獨立的域名，有完整的www服務(wù)，例如網(wǎng)站、FTP、郵件等。Nginx支持多虛擬主機(jī)，在一臺機(jī)器上可以運行完全獨立的多個站點。一些個人站點搭建服務(wù)進(jìn)行資源分享交流，并且可能有多個不同業(yè)務(wù)的站點，如果每臺服務(wù)器只運行一個網(wǎng)站，那么將造成資源浪費，成本浪費。利用虛擬主機(jī)的功能，就不用為了運行一個網(wǎng)站而單獨配置一個Nginx服務(wù)器，或是單獨再運行一組Nginx進(jìn)程。虛擬主機(jī)可以在一臺服務(wù)器，同一個Nginx進(jìn)程上運行多個網(wǎng)站。nginx.conf主配置文件中，最簡單的一段虛擬主機(jī)配置如下站點和虛擬主機(jī)配置http{

server{

#監(jiān)聽端口

listen80;

#填寫域名匹配

server_namelocalhost;

#訪問日志

access_loglogs/host.access.logmain;

#url匹配

location/{

roothtml;

indexindex.htmlindex.htm;

}

}}站點和虛擬主機(jī)配置網(wǎng)站文件存放默認(rèn)位置（Welcometonginx頁面）/usr/share/nginx/html

網(wǎng)站默認(rèn)站點配置/etc/nginx/conf.d/default.conf

自定義nginx站點配置文件存放目錄/etc/nginx/conf.d/

nginx全局配置文件/etc/nginx/nginx.conf站點和虛擬主機(jī)配置對/usr/share/nginx/html/index.html進(jìn)行修改也可以把自己的站點上傳至服務(wù)器，修改配置文件指向站點目錄在/usr/share/nginx/目錄底下存在不同文件也可以通過http進(jìn)行訪問站點和虛擬主機(jī)配置基于IP多虛擬主機(jī)Linux操作系統(tǒng)都能夠支持給網(wǎng)卡綁定多個IP地址，可以使得一塊網(wǎng)卡上運行多個基于IP的虛擬主機(jī)。添加ip別名[root@mky~]#ifconfigens33:1192.168.200.130broadcast55netmaskup#此時機(jī)器有2個ip，確保都可以通信即可[root@mky~]#ifconfig|grep192inet29netmaskbroadcast55inet192.168.200.130netmaskbroadcast55[root@mky~]#curl192.168.200.129

[root@mky~]#curl192.168.200.130站點和虛擬主機(jī)配置修改nginx.conf支持多虛擬主機(jī)#第一個虛擬主機(jī)

server{

#監(jiān)聽的端口和ip

listen29:80;

#主機(jī)域名

server_name29;

charsetutf-8;

access_loglogs/host.access.log;

#url匹配

location/{

#HTML文件存放的目錄

root/website/s1;

#默認(rèn)首頁文件，從左往右尋找，index.html或是index.htm文件

indexindex.htmlindex.htm;

}

}}#第二個ip虛擬主機(jī)

#第二個虛擬主機(jī)server{listen30:80;server_name30;location/{

indexindex.htmlindex.htm;

root/website/s2;}站點和虛擬主機(jī)配置分別準(zhǔn)備好網(wǎng)站資源[root@bogonnginx]#echo"我是來自于29的站點s1.html">/website/s1/index.html[root@bogonnginx]#echo"我是來自于30的站點s2.html">/website/s2/index.htmlNginx訪客日志功能日志對于程序員很重要，可用于問題排錯，記錄程序運行狀態(tài)，一個好的日志能夠給與精確的問題定位。Nginx日志功能需要在nginx.conf中打開相關(guān)指令log_format，設(shè)置日志格式，以及設(shè)置日志的存儲位置access_log，指定日志的格式，路徑，緩存大小。站點和虛擬主機(jī)配置nginx.conf中有關(guān)訪客日志定義如下log_formatmain'$remote_addr-$remote_user[$time_local]"$request"'

'$status$body_bytes_sent"$http_referer"'

'"$http_user_agent""$http_x_forwarded_for"';

access_loglogs/access.logmain;參數(shù)解釋$remote_addr：記錄訪問網(wǎng)站的客戶端地址$remote_user：記錄遠(yuǎn)程客戶端用戶名稱$time_local：記錄訪問時間與時區(qū)$request：記錄用戶的http請求起始行信息$status：記錄http狀態(tài)碼，即請求返回的狀態(tài)，例如200、404、502等$body_bytes_sent：記錄服務(wù)器發(fā)送給客戶端的響應(yīng)body字節(jié)數(shù)$http_referer：記錄此次請求是從哪個鏈接訪問過來的，可以根據(jù)referer進(jìn)行防盜鏈設(shè)置$http_user_agent：記錄客戶端訪問信息，如瀏覽器、手機(jī)客戶端等$http_x_forwarded_for：當(dāng)前端有代理服務(wù)器時，設(shè)置Web節(jié)點記錄客戶端地址的配置，此參數(shù)生效的前提是代理服務(wù)器上也進(jìn)行了相關(guān)的x_forwarded_for設(shè)置站點和虛擬主機(jī)配置查看日志格式tail-2/var/log/nginx/access.log站點和虛擬主機(jī)配置使用ab命令，進(jìn)行nginx壓力測試yum-yinstallhttpd-toolsab-kc1000-n100000/#開啟會話保持，1000個并發(fā)，發(fā)送十萬個請求-nrequests#執(zhí)行的請求數(shù)，即一共發(fā)起多少請求。-cconcurrency#請求并發(fā)數(shù)。-k#啟用HTTPKeepAlive功能，即在一個HTTP會話中執(zhí)行多個請求。SSL和HTTPS配置安裝OpenSSLyuminstall-yopenssl生成SSL證書和密鑰sudoopensslreq-x509-nodes-days365-newkeyrsa:2048-keyout/etc/nginx/cert.key-out/etc/nginx/cert.crtSSL和HTTPS配置配置Nginx在Nginx的配置文件中添加以下內(nèi)容：server{listen443ssl;server_name;ssl_certificate/etc/nginx/cert.crt;ssl_certificate_key/etc/nginx/cert.key;location/{root/var/www/html;indexindex.html;}}Samba服務(wù)配置和管理目錄/CONTENTS01安裝和配置Samba服務(wù)02配置共享文件夾和用戶03Samba安全實踐安裝和配置Samba服務(wù)初識Samba微軟為了解決局域網(wǎng)的文件共享，制定了SMB協(xié)議，也就是（ServerMessagesBlock，服務(wù)器消息塊），后來SMB通信協(xié)議應(yīng)用到了Linux系統(tǒng)上，就形成了現(xiàn)在的Samba軟件Samba最大的功能就是可以用于Linux與windows系統(tǒng)直接的文件共享和打印共享Samba既可以用于windows與Linux之間的文件共享也可以用于Linux與Linux之間的資源共享由于NFS(網(wǎng)絡(luò)文件系統(tǒng)）可以很好的完成Linux與Linux之間的數(shù)據(jù)共享因而Samba較多的用在了Linux與windows之間的數(shù)據(jù)共享上面安裝和配置Samba服務(wù)安裝Sambayuminstallsamba-y默認(rèn)主配置文件cat/etc/samba/smb.conf-nsmb的配置文件，主要分為全局配置和共享配置[global]全局共享[home][printers]安裝和配置Samba服務(wù)配置Sambaworkgroup=MYGROUPSamba服務(wù)器加入的工作組名，一個局域網(wǎng)內(nèi)，必須有相同的工作組名。serverstring=SambaServerVersion%vSamba服務(wù)器注釋，可以不選，%v代表顯示Samba版本號netbiosname=samba主機(jī)NetBIOS名interfaces=loeth0設(shè)置Samba服務(wù)器端監(jiān)聽網(wǎng)卡，可以寫網(wǎng)卡名稱或者IP地址hostsallow/deny=允許連接到Sambaserver客戶端IP，多個參數(shù)用空格分開?？梢杂靡粋€IP表示，也可以用一個網(wǎng)段表示。安裝和配置Samba服務(wù)配置Sambamaxconnections=0用來指定連接Sambaserver服務(wù)器最大連接數(shù)如果操作則連接請求被拒絕。0表示不限制。deadtime=0來設(shè)置斷掉一個沒有任何文件的鏈接時間。單位十分鐘，0代表Sambaserver不自動斷開任何連接timeserver=yes/no用來設(shè)置讓nmdb成為Windows客戶端的時間服務(wù)器logfile=/var/log/samba/%m.log設(shè)置Sambaserver日志文件存儲位置和日志名稱。文件后面加一個%m（主機(jī)名），每個主機(jī)都會有一個主機(jī)名.log日志文件maxlogsize=50限制每個日志文件的最大容量為50KB，0代表不限制配置共享文件夾和用戶配置Samba共享參數(shù)comment=任意字符串

comment是對該共享的描述，可以是任意字符串。browseable=yes/no

browseable用來指定該共享是否可以瀏覽。path=共享目錄路徑

path用來指定共享目錄的路徑。writable=yes/no

用來指定該共享路徑是否可寫invalidusers=禁止訪問該共享的用戶invalidusers用來指定不允許訪問該共享資源的用戶。例如：invalidusers=root，@bob（多個用戶或者組中間用逗號隔開。）public=yes/no

用來指定該共享是否允許guest賬戶訪問。guestok=yes/no

用來指定該共享是否允許guest賬戶訪問。配置共享文件夾和用戶配置Samba共享資源samba的配置文件，全局配置參數(shù)是針對整體的資源共享設(shè)置，生效于每一個獨立的共享資源。區(qū)域配置參數(shù)可以設(shè)置單獨的共享資源，僅僅對該資源有效。vi/etc/samba/smb.conf配置共享文件夾和用戶pdbedit命令pdbedit是samba的用戶管理命令pdbedit-ausername：新建Samba賬戶。pdbedit-rusername：修改Samba賬戶。pdbedit-xusername：刪除Samba賬戶。pdbedit-u,--user=USERuseusernamepdbedit-L：列出Samba用戶列表，讀取passdb.tdb數(shù)據(jù)庫文件。pdbedit-Lv：列出Samba用戶列表詳細(xì)信息。pdbedit-c“[D]”-uusername：暫停該Samba用戶賬號。pdbedit-c“[]”-uusername：恢復(fù)該Samba用戶賬號。配置共享文件夾和用戶創(chuàng)建用于訪問samba共享資源的賬戶信息注意samba創(chuàng)建的用戶數(shù)據(jù)庫必須在當(dāng)前系統(tǒng)中存在配置共享文件夾和用戶windows運行\(zhòng)\29通過smbtest用戶能供共享Linux中smb服務(wù)中的文件Samba安全實踐Samba安全實踐Samba是一個在Linux和UNIX系統(tǒng)上實現(xiàn)SMB/CIFS網(wǎng)絡(luò)協(xié)議的軟件，可提供Windows和Linux之間的文件和打印服務(wù)。1、最小權(quán)限原則：盡可能只提供用戶或用戶組所需要的最小權(quán)限。例如，如果用戶只需要讀取文件，那么就不要給他們寫權(quán)限。2