[RHEL5企業(yè)級Linux服務(wù)攻略]--第6季(這季是高級配置和.doc

企業(yè)環(huán)境公司為了宣傳最新的產(chǎn)品信息，計劃搭建FTP服務(wù)器，為客戶提供相關(guān)文檔的下載。對所有權(quán)互聯(lián)網(wǎng)開放共享目錄，允許下載產(chǎn)品信息，禁止上傳。公司的合作單位能夠使用FTP服務(wù)器進(jìn)行上傳和下載，但不可以刪除數(shù)據(jù)。并且保證服務(wù)器的穩(wěn)定性，進(jìn)行適當(dāng)優(yōu)化設(shè)置哈需求分析根據(jù)企業(yè)的需求，對于不同用戶進(jìn)行不同的權(quán)限限制，F(xiàn)TP服務(wù)器需要實現(xiàn)用戶的審核。需考慮到服務(wù)器的安全性，所以關(guān)閉實體用戶登錄，使用虛擬帳號驗證機制，并對不同虛擬帳號設(shè)置不同的權(quán)限。為了保證服務(wù)器的性能，還需要根據(jù)用戶的等級，限制客戶端的連接數(shù)及下載速度。解決方案1、創(chuàng)建用戶數(shù)據(jù)庫（1）創(chuàng)建用戶文本文件先建立用戶文本文件vsftpd_virtualuser.txt，添加兩個虛擬帳號，公共帳號ftp及客戶帳號viptouch /etc/vsftpd/vsftpd_virtualuser.txtvim /etc/vsftpd/vsftpd_virtualuser.txt格式：虛擬帳號1密碼虛擬帳號2密碼保存退出哈（2）生成數(shù)據(jù)庫保存虛擬帳號和密碼的文本文件無法被系統(tǒng)帳號直接調(diào)用哈我們需要使用db_load命令生成db數(shù)據(jù)庫文件db_load -T -t hash -f /etc/vsftpd/vsftpd_virtualuser.txt /etc/vsftpd/vsftpd_virtualuser.db注意：rhel5默認(rèn)只安裝db4-4.3.29-9.fc6.i386.rpm和db4-devel-4.3.29-9.fc6.i386.rpm，要使用db_load需要將db4-utils-4.3.29-9.fc6.i386.rpm包安裝上哈否則會出現(xiàn)下圖的錯誤：找不到db_load命令。（3）修改數(shù)據(jù)庫文件訪問權(quán)限數(shù)據(jù)庫文件中保存著虛擬帳號的密碼信息，為了防止非法用戶盜取哈，我們可以修改該文件的訪問權(quán)限。生成的認(rèn)證文件的權(quán)限應(yīng)設(shè)置為只對root用戶可讀可寫，即600chmod 600 /etc/vsftpd/vsftpd_virtualuser2、配置PAM文件為了使服務(wù)器能夠使用數(shù)據(jù)庫文件，對客戶端進(jìn)行身份驗證，需要調(diào)用系統(tǒng)的PAM模塊.PAM(Plugable Authentication Module)為可插拔認(rèn)證模塊，不必重新安裝應(yīng)用系統(tǒng)，通過修改指定的配置文件，調(diào)整對該程序的認(rèn)證方式。PAM模塊配置文件路徑為/etc/pam.d/目錄，此目錄下保存著大量與認(rèn)證有關(guān)的配置文件，并以服務(wù)名稱命名。修改vsftpd對應(yīng)的PAM配置文件/etc/pam.d/vsftpd，將默認(rèn)配置使用“#”全部注釋，添加相應(yīng)字段。修改成下圖效果：3、創(chuàng)建虛擬帳號對應(yīng)的系統(tǒng)用戶對于公共帳號和客戶帳號，因為需要配置不同的權(quán)限，所以可以將兩個帳號的目錄進(jìn)行隔離，控制用戶的文件訪問。公共帳號ftp對應(yīng)系統(tǒng)帳號ftpuser，并指定其主目錄為/var/ftp/share，而客戶帳號vip對應(yīng)系統(tǒng)帳號ftpvip，指定主目錄為/var/ftp/vipchmod -R 500 /var/ftp/share/ ：公共帳號ftp只允許下載，修改share目錄其他用戶權(quán)限為rx可讀可執(zhí)行。 chmod -R 700 /var/ftp/vip/ ：客戶帳號vip允許上傳和下載，所以對vip目錄權(quán)限設(shè)置為rwx，可讀可寫可執(zhí)行。 如果不設(shè)置可執(zhí)行用戶登錄會出不能更改目錄錯誤。 4、建立配置文件設(shè)置多個虛擬帳號的不同權(quán)限，若使用一個配置文件無法實現(xiàn)此功能，需要為每個虛擬帳號建立獨立的配置文件，并根據(jù)需要進(jìn)行相應(yīng)的設(shè)置。（1）修改vsftpd.conf主配置文件配置主配置文件/etc/vsftpd/vsftpd.conf添加虛擬帳號的共同設(shè)置并添加user_config_dir字段，定義虛擬帳號的配置文件目錄禁用匿名用戶登錄并啟用本地用戶登錄設(shè)置anonymous_enable=NO local_enable=YES將所有本地用戶限制在家目錄中，NO則不限制chroot_local_user=YESpam_service_name=vsftpd：配置vsftpd使用的PAM模塊為vsftpd user_config_dir=/etc/vsftpd/vuserconfig：設(shè)置虛擬帳號的主目錄為/vuserconfig max_clients=300：設(shè)置FTP服務(wù)器最大接入客戶端數(shù)為300個 max_per_ip=10：設(shè)置每個IP地址最大連接數(shù)為10個（2）建立虛擬帳號配置文件在user_config_dir指定路徑下，建立與虛擬帳號同名的配置文件并添加相應(yīng)的配置字段哈首先建立公共帳號ftp的配置文件guest_enable=yes：開啟虛擬帳號登錄 guest_username=ftpuser：設(shè)置ftp對應(yīng)的系統(tǒng)帳號為ftpuser anon_world_readable_only=no：允許匿名用戶瀏覽器整個服務(wù)器的文件系統(tǒng)anon_max_rate=50000：限定傳輸速率為50KB/s注意：vsftpd對于文件傳輸速度限制并不是絕對鎖定在一個數(shù)值上哈，而是在80%120%之間變化哈比如設(shè)置100KB/s則實際是速度在80KB/s120KB/s之間變化哈下面是客戶帳號的配置文件vipguest_enable=yes：開啟虛擬帳號登錄 guest_username=ftpvip：設(shè)置ftp對應(yīng)的系統(tǒng)帳號為ftpvip anon_world_readable_only=no：允許匿名用戶瀏覽器整個服務(wù)器的文件系統(tǒng) write_enable=yes：允許在文件系統(tǒng)寫入權(quán)限 anon_mkdir_write_enable=yes：允許創(chuàng)建文件夾 anon_upload_enable=yes：開啟匿名帳號的上傳功能 anon_max_rate=100000：限定傳輸速度為100KB/s5、重啟vsftpd使配置生效6、測試（1）公共帳號ftp測試在公共帳號測試前，我們先建立個產(chǎn)品信息文件哈公共帳號登錄ftp服務(wù)器哈登錄成功測試