rhce课程-rh253linux服务器架设笔记一-vsftpd的配置2.docVIP

RHCE课程-RH253Linux服务器架设笔记一-VSFTPD的配置（2）ftp服务器架设进阶设置 上季我们学习了vsftpd基于匿名用户的下载和上传功能，但是匿名始终是不安全的，所以今天我们就会讲到基于用户的访问和上传 要开启基于用户的访问控制，需要注意两个方面 1、配置文件的修改 2、selinux的修改? 接着上季我们的配置，现在我们来修改配置文件 vim? /etc/vsftpd/vsftpd.conf? 修改12行，是否允许匿名登陆改成NO 注释掉27和31行，意思是不允许匿名用户上传文件和目录 OK后，保存退出 第二步，修改selinux了哈 今天我们就不介绍图形界面了，直接使用命令来设置selinux 使用getsebool 找出关于ftp的selinux命令 getsebool -a | grep ftp 然后修改selinux，允许用户在家目录写入数据 setsebool -P allow_ftpd_anon_write off setsebool -P ftp_home_dir . 第三步、创建虚拟用户 先创建一个用户，然后修改用户的登陆shell为nologin，让用户不能登陆系统，只能使用ftp之内的服务，然后使用passwd? redhat修改密码? 三步完成以后，就可以重新启动vsftpd服务，然后测试 ? 我们先使用win来测试,打开资源管理器 现在提示输入用户和密码 登陆成功 ? 现在测试能否写入数据,测试成功 ? 现在ftp上去是可以删除的，在什么地方改，让他只能上传，不能删除呢？ 这个问题不错，我们可以实现 但是如果自己上传了不能删除，那么谁来删除文件呢？ 难道每次让服务器管理员来帮你删？好吧，我们来实现这个功能 把local umask 修改成222 然后保存，重新启动服务器 现在我们来测试，建立一个test vsftpd unmask222文件夹 我们删除他试试 ? 删除刚才我们建立的目录vsftpd文件夹和UNIXCcode.rar文件试试 被成功删除了 ? ? 就是本地用户上传文件的权限掩码，权限掩码是基础中文件权限的知识，参考RHCE课程-RH033Linux基础笔记八-文件强制位冒险位、ACL访问控制列表 一般我们都不这样设置,自己的目录自己有完全控制权限是正常，只是在一些公共目录里，我们需要设置强制位和冒险位，让其他用户不能 删除和更改自己的文件 好了，下面我们使用lftp测试? 像上季那样lftp 88登陆会失败 ? 正确的登陆方法是lftp redhat@88 现在大家使用pwd试试,是不是看见自己在 /home/redhat目录下啊？ 现在我们cd到/etc 下去试试 ,成功切换 现在我们下载系统的passwd 文件试试,下载成功，我们去看看 这样系统有多少用户都暴露在我们面前了 IE方式redhat登录的ftp界面 而且还可以下载shadow密码文件，进行破解。这样是不是很不安全啊,而且黑客还可以去看你服务器的配置文件，和你系统里的一些机密文件 下面我们就要使用chroot功能,修改配置文件,取消94行和96行的注释 意思是，开启chroot_list功能，而且chroot_list文件就在 /etc/vsftpd/目录下面 保存退出 chroot list默认是不存在的，需要我们手动建立,把redhat这个用户加到这个文件中,重新启动vsftpd服务 现在我们再来测试，现在使用pwd命令就看见自己已经在/下了 但是ls 发现这并不是真的/根目录 这里就是用户的家目录，这里没有etc目录，所以切换到etc就会失败 还有一点，提醒大家，匿名用户登陆，默认是choot了的 这个就是chroot_list的功能，大家明白了吗？这样就大大提高了我们系统的安全性 OK，下面我们把系统所有用户都加到chroot文件里 如果是很多用户每个都要加入chroot_list吗？可以使用cut命令 cut? -d? :? -f? 1? /etc/passwd? gt;gt; chroot_list cut命令是切去某一列，-d是每一列的分隔符，-f 是切取第几列，然后重定向到chroot文件 这样所有用户就进去了 我们现在测试的环境是RHEL5.1，防火墙默认是accept，selinux是强制 下面我们测试ftpusers 文件的功能，我们先看看ftpusers这个文件的内容 这里面都是些系统用户，ftpusers的功能是，阻止这个文件中的用户登陆 我们把redhat用户加进去,然后重启vsftpd服务 现在我们使用redhat登录试试 我输入了正确的密码，但是还是登陆失败了 OK，现在我