[RHEL5企業(yè)級Linux服務攻略]--第6季(這季是高級配置和.doc

企業(yè)環(huán)境公司為了宣傳最新的產品信息，計劃搭建FTP服務器，為客戶提供相關文檔的下載。對所有權互聯網開放共享目錄，允許下載產品信息，禁止上傳。公司的合作單位能夠使用FTP服務器進行上傳和下載，但不可以刪除數據。并且保證服務器的穩(wěn)定性，進行適當優(yōu)化設置哈需求分析根據企業(yè)的需求，對于不同用戶進行不同的權限限制，FTP服務器需要實現用戶的審核。需考慮到服務器的安全性，所以關閉實體用戶登錄，使用虛擬帳號驗證機制，并對不同虛擬帳號設置不同的權限。為了保證服務器的性能，還需要根據用戶的等級，限制客戶端的連接數及下載速度。解決方案1、創(chuàng)建用戶數據庫（1）創(chuàng)建用戶文本文件先建立用戶文本文件vsftpd_virtualuser.txt，添加兩個虛擬帳號，公共帳號ftp及客戶帳號viptouch /etc/vsftpd/vsftpd_virtualuser.txtvim /etc/vsftpd/vsftpd_virtualuser.txt格式：虛擬帳號1密碼虛擬帳號2密碼保存退出哈（2）生成數據庫保存虛擬帳號和密碼的文本文件無法被系統(tǒng)帳號直接調用哈我們需要使用db_load命令生成db數據庫文件db_load -T -t hash -f /etc/vsftpd/vsftpd_virtualuser.txt /etc/vsftpd/vsftpd_virtualuser.db注意：rhel5默認只安裝db4-4.3.29-9.fc6.i386.rpm和db4-devel-4.3.29-9.fc6.i386.rpm，要使用db_load需要將db4-utils-4.3.29-9.fc6.i386.rpm包安裝上哈否則會出現下圖的錯誤：找不到db_load命令。（3）修改數據庫文件訪問權限數據庫文件中保存著虛擬帳號的密碼信息，為了防止非法用戶盜取哈，我們可以修改該文件的訪問權限。生成的認證文件的權限應設置為只對root用戶可讀可寫，即600chmod 600 /etc/vsftpd/vsftpd_virtualuser2、配置PAM文件為了使服務器能夠使用數據庫文件，對客戶端進行身份驗證，需要調用系統(tǒng)的PAM模塊.PAM(Plugable Authentication Module)為可插拔認證模塊，不必重新安裝應用系統(tǒng)，通過修改指定的配置文件，調整對該程序的認證方式。PAM模塊配置文件路徑為/etc/pam.d/目錄，此目錄下保存著大量與認證有關的配置文件，并以服務名稱命名。修改vsftpd對應的PAM配置文件/etc/pam.d/vsftpd，將默認配置使用“#”全部注釋，添加相應字段。修改成下圖效果：3、創(chuàng)建虛擬帳號對應的系統(tǒng)用戶對于公共帳號和客戶帳號，因為需要配置不同的權限，所以可以將兩個帳號的目錄進行隔離，控制用戶的文件訪問。公共帳號ftp對應系統(tǒng)帳號ftpuser，并指定其主目錄為/var/ftp/share，而客戶帳號vip對應系統(tǒng)帳號ftpvip，指定主目錄為/var/ftp/vipchmod -R 500 /var/ftp/share/ ：公共帳號ftp只允許下載，修改share目錄其他用戶權限為rx可讀可執(zhí)行。 chmod -R 700 /var/ftp/vip/ ：客戶帳號vip允許上傳和下載，所以對vip目錄權限設置為rwx，可讀可寫可執(zhí)行。 如果不設置可執(zhí)行用戶登錄會出不能更改目錄錯誤。 4、建立配置文件設置多個虛擬帳號的不同權限，若使用一個配置文件無法實現此功能，需要為每個虛擬帳號建立獨立的配置文件，并根據需要進行相應的設置。（1）修改vsftpd.conf主配置文件配置主配置文件/etc/vsftpd/vsftpd.conf添加虛擬帳號的共同設置并添加user_config_dir字段，定義虛擬帳號的配置文件目錄禁用匿名用戶登錄并啟用本地用戶登錄設置anonymous_enable=NO local_enable=YES將所有本地用戶限制在家目錄中，NO則不限制chroot_local_user=YESpam_service_name=vsftpd：配置vsftpd使用的PAM模塊為vsftpd user_config_dir=/etc/vsftpd/vuserconfig：設置虛擬帳號的主目錄為/vuserconfig max_clients=300：設置FTP服務器最大接入客戶端數為300個 max_per_ip=10：設置每個IP地址最大連接數為10個（2）建立虛擬帳號配置文件在user_config_dir指定路徑下，建立與虛擬帳號同名的配置文件并添加相應的配置字段哈首先建立公共帳號ftp的配置文件guest_enable=yes：開啟虛擬帳號登錄 guest_username=ftpuser：設置ftp對應的系統(tǒng)帳號為ftpuser anon_world_readable_only=no：允許匿名用戶瀏覽器整個服務器的文件系統(tǒng)anon_max_rate=50000：限定傳輸速率為50KB/s注意：vsftpd對于文件傳輸速度限制并不是絕對鎖定在一個數值上哈，而是在80%120%之間變化哈比如設置100KB/s則實際是速度在80KB/s120KB/s之間變化哈下面是客戶帳號的配置文件vipguest_enable=yes：開啟虛擬帳號登錄 guest_username=ftpvip：設置ftp對應的系統(tǒng)帳號為ftpvip anon_world_readable_only=no：允許匿名用戶瀏覽器整個服務器的文件系統(tǒng) write_enable=yes：允許在文件系統(tǒng)寫入權限 anon_mkdir_write_enable=yes：允許創(chuàng)建文件夾 anon_upload_enable=yes：開啟匿名帳號的上傳功能 anon_max_rate=100000：限定傳輸速度為100KB/s5、重啟vsftpd使配置生效6、測試（1）公共帳號ftp測試在公共帳號測試前，我們先建立個產品信息文件哈公共帳號登錄ftp服務器哈登錄成功測試