Linux網(wǎng)絡操作系統(tǒng)項目式教程（統(tǒng)信UOS）（微課版） 課件 張運嵩 項目7、8 部署基礎網(wǎng)絡服務、部署文件共享服務

項目7部署基礎網(wǎng)絡服務Linux網(wǎng)絡服務器配置與管理（統(tǒng)信UOS版）任務11DHCP服務概述部署DHCP服務2DHCP服務端配置3DHCP客戶端驗證1DHCP服務概述1DHCP的功能DHCP服務概述IP地址分配更加安全可靠非常適合移動辦公環(huán)境減輕網(wǎng)絡管理員的管理負擔緩解IP地址資源緊張的問題1DHCP的工作過程DHCP服務概述DHCP客戶端以廣播方式發(fā)送一個DHCP發(fā)現(xiàn)報文DHCP服務器收到DHCP發(fā)現(xiàn)報文后，從IP地址池中選取一個未租用的IP地址，以DHCP提供報文的形式廣播發(fā)送給DHCP客戶端DHCP客戶端收到DHCP提供報文后，以廣播方式向DHCP服務器發(fā)送DHCP請求報文被選擇的DHCP服務器收到DHCP請求報文后，以廣播方式向DHCP客戶端發(fā)送一個DHCP確認報文2DHCP服務端配置DHCP安裝與啟停軟件名稱：dhcp后臺守護進程：dhcpd[root@uosv20~]#yuminstalldhcp-y //一鍵安裝DHCP軟件[root@uosv20~]#rpm-qa|grepdhcp

//安裝后再次檢查dhcp-4.2.5-68.el7.centos.1.x86_64dhcp-common-4.2.5-68.el7.centos.1.x86_64dhcp-libs-4.2.5-68.el7.centos.1.x86_64systemctlstart|stop|restart|status|enabledhcpd2DHCP服務端配置2主配置文件－/etc/dhcp/dhcpd.confDHCP服務端配置注釋信息以“#”開頭，可以出現(xiàn)在文件的任意位置除了右大括號“}”之外，其他每一行都以“;”結(jié)尾包括參數(shù)、選項和聲明三種要素#全局配置參數(shù)或選項;

#局部配置聲明{

參數(shù)或選項;}參數(shù)：主要用來設定DHCP服務器和客戶端的基本屬性，格式是“參數(shù)名參數(shù)值;”選項：配置分配給DHCP客戶端的可選網(wǎng)絡參數(shù)，以“option”關鍵字開頭，如“option參數(shù)名參數(shù)值;”聲明：以某個關鍵字開頭，后跟一對大括號，用來設置IP地址空間，以及綁定IP地址和DHCP客戶端MAC地址2主配置文件－聲明DHCP服務端配置subnet聲明用于定義IP地址空間host聲明實現(xiàn)IP地址和DHCP客戶端MAC地址的綁定，用于為DHCP客戶端分配固定的IP地址subnet

subnet_id

netmask

netmask{

……}

host

hostname{

……}2主配置文件－參數(shù)和選項DHCP服務端配置通過不同的參數(shù)和選項為聲明指定具體的行為參數(shù)或選項說明rangeIP地址池地址范圍default-lease-time默認租約時間max-lease-time最大租約時間optiondomain-nameDNS域名optiondomain-name-servers域名服務器optionrouters默認網(wǎng)關optionbroadcast-address子網(wǎng)廣播地址fixed-address為客戶端分配的固定IP地址hardwareDHCP客戶端的MAC地址server-nameDHCP服務器的主機名[root@appsrv~]#vim/etc/dhcp/dhcpd.confsubnetnetmask{range9;range0100;optionrouters54;optiondomain-name"";optiondomain-name-servers00;}

hostclient1{hardwareethernet00:0C:29:B3:41:89;fixed-address88;}3DHCP客戶端驗證3DHCP客戶端驗證－Windows客戶端DHCP客戶端驗證3DHCP客戶端驗證－Linux客戶端DHCP客戶端驗證在網(wǎng)卡配置文件中設置DHCP獲取IP地址，重啟網(wǎng)絡服務[root@dhcpcli~]#vim/etc/sysconfig/network-scripts/ifcfg-ens33BOOTPROTO=dhcp#IPADDR=00#PREFIX=24#GATEWAY=#DNS1=[root@dhcpcli~]#systemctlrestartnetwork[root@dhcpcli~]#ifconfigens33ens33:flags=4163<UP,BROADCAST,RUNNING,MULTICAST>mtu1500inet

netmask

broadcast55任務21DNS服務概述部署DNS服務2DNS服務端配置3DNS客戶端驗證1DNS服務概述1主機名和域名DNS服務概述域名：由一串用點號分隔的名稱組成的命名空間的名稱主機名：計算機在局域網(wǎng)中的唯一的名稱域名空間是分級的，最上面一層被稱為根域，用“.”表示從根域向下依次劃分為頂級域、二級域等子域，最下面一級是主機完全限定域名（FullyQualifiedDomainName，F(xiàn)QDN）是計算機的主機名和域名的組合FQDN主機名域名1域名解析歷史DNS服務概述早期，在文件中保存域名和IP地址的對應關系，內(nèi)容更新不靈活現(xiàn)在，基于分布式數(shù)據(jù)庫的域名系統(tǒng)（DomainNameSystem，DNS），將域名解析的功能分散到不同層級的DNS服務器中，可靠性和靈活性較高[zys@uosv20~]$cat/etc/hostslocalhostlocalhost.localdomainlocalhost4localhost4.localdomain4::1localhostlocalhost.localdomainlocalhost6localhost6.localdomain61DNS工作原理－分級管理DNS服務概述DNS域名空間是分級的，DNS服務器也是分級每一個DNS服務器只記錄管理它的下一級域名的各個DNS服務器的IP地址根域位于最頂層，管理根域的DNS服務器稱為根域服務器頂級域位于根域的下一層，頂級域服務器負責管理頂級域名的解析，如.com、.org、.gov、.cn、.usDNS把域名的解析權限層層向下授權給下一級DNS服務器，即分級管理1DNS服務器類型DNS服務概述主DNS服務器（Primary?Name?Server）對它所管理區(qū)域的域名解析提供最權威和最精確的響應，是所管理區(qū)域域名信息的初始來源從DNS服務器（Secondary?Name?Server）主DNS服務器中獲得完整的域名信息備份，也可以對外提供權威和精確的域名解析高速緩存DNS服務器（Caching-only?Server）把從其他DNS服務器獲得的域名信息保存在自己的高速緩存中，從而為用戶提供域名解析服務轉(zhuǎn)發(fā)DNS服務器（ForwarderNameServer）優(yōu)先從本地緩存中查找，如果沒有的話就把請求轉(zhuǎn)發(fā)給其他DNS服務器2DNS服務端配置DNS安裝與啟停軟件名稱：bind后臺守護進程：named[root@uosv20~]#

yuminstallbind-y[root@uosv20~]#rpm-qa|grepbindbind-9.11.4-26.P2.el7.x86_64bind-utils-9.11.4-26.P2.el7.x86_64systemctlstart|stop|restart|status|enablenamed2DNS服務端配置2配置文件的關系DNS服務端配置全局配置文件通過include指示符指定主配置文件主配置文件的zone聲明中，通過file選項指定區(qū)域文件2全局配置文件－/etc/named.confDNS服務端配置options配置段的配置項對整個DNS服務器有效zone聲明用來定義區(qū)域，的“.”表示根域。一般在主配置后面文件中定義區(qū)域信息include指示符用來引入其他相關配置文件。一般不使用默認的主配置文件，而是根據(jù)實際需要創(chuàng)建新的主配置文件options{

listen-onport53{;};

directory "/var/named";};

logging{……};

zone"."IN{

typehint;

file"named.ca";};

include"/etc/named.rfc1912.zones";include"/etc/named.root.key";2全局配置文件－options配置段DNS服務端配置listenonport：指定named守護進程監(jiān)聽的端口和IP地址directory：指定DNS守護進程的工作目錄allow-query：指定允許哪些主機發(fā)起域名解析請求forward：有only和first兩個值。值為only表示將DNS服務器配置為高速緩存服務器，值為first表示先請求轉(zhuǎn)發(fā)服務器解析。如果轉(zhuǎn)發(fā)服務器無法解析就自己嘗試解析forwarders：指定轉(zhuǎn)發(fā)DNS服務器，可以將DNS查詢請求轉(zhuǎn)發(fā)給這些轉(zhuǎn)發(fā)DNS服務器進行處理2主配置文件－/etc/named.rfc1912.zonesDNS服務端配置在全局配置文件中通過include指導符引入通過zone聲明設置區(qū)域相關信息，包括正向區(qū)域和反向區(qū)域正向和反向解析區(qū)域的zone聲明格式相同a.b.c網(wǎng)段對應的反向區(qū)域名為zone聲明的關鍵屬性type：DNS服務器的類型file：區(qū)域配置文件allow-update：允許更新區(qū)域信息的從DNS服務器地址masters：主服務器地址，當type的值取slave時有效zone"區(qū)域名稱“IN{

typeDNS服務器類型;

file"區(qū)域文件名";

allow-update{none;};

masters{主域名服務器地址;}};2正向區(qū)域文件DNS服務端配置位于/var/named目錄，從named.localhost中復制cp-pnamed.localhost資源類型NS：區(qū)域的DNS服務器地址MX：區(qū)域的郵件服務器A：域名和IP地址的對應關系CNAME：A資源記錄別名NS @A 00@ IN MX 10 .www IN A 00mail IN A 10web IN CNAME .2反向區(qū)域文件DNS服務端配置位于/var/named目錄，從named.loopback中復制cp-pnamed.loopbacknamed.192.168.100資源類型PTR：IP地址和域名的對應關系，用于DNS反向解析NS @A 00@ IN MX 10 .100 IN PTR .3DNS客戶端驗證3客戶端驗證DNS客戶端驗證[root@dnscli~]#vim/etc/sysconfig/network-scripts/ifcfg-ens33BOOTPROTO=noneONBOOT=yesIPADDR=10PREFIX=24GATEWAY=DNS1=00[root@dnscli~]#systemctlrestartnetwork[root@dnscli~]#cat/etc/resolv.confnameserver00Windows客戶端Linux客戶端謝謝項目8部署文件共享服務Linux網(wǎng)絡服務器配置與管理（統(tǒng)信UOS版）任務11Samba服務概述部署Samba服務2Samba服務端配置3Samba客戶端驗證1Samba服務概述1Samba的由來Samba服務概述早期共享文件使用FTP服務，不能直接修改服務器上的文件FTP要求先把文件下載到本機，修改后再提交到服務器解決方案：Windows：通用網(wǎng)絡文件系統(tǒng)（CommonInternetFileSystem，CIFS）UNIX：網(wǎng)絡文件系統(tǒng)（NetworkFileSystem，NFS）1Samba工作原理Samba服務概述Samba基于NetBIOS協(xié)議，在小型局域網(wǎng)內(nèi)部進行網(wǎng)絡通信根據(jù)NetBIOS協(xié)議，主機必須有一個唯一的名字，即NetBIOSNameNetBIOS協(xié)議的通過包括兩個步驟加入到相同的群組并登錄對方主機根據(jù)擁有的權限訪問共享資源Samba使用兩個守護進程實現(xiàn)主機的通信nmbd：負責名稱解析及文件瀏覽，工作在137,138/UDP端口smbd：提供文件和打印機共享及用戶驗證服務，工作在139,445/TCP端口1Samba聯(lián)機模式－對等模式Samba服務概述各臺主機之間沒有主從關系，彼此獨立每臺主機都獨立地管理自己的賬號和密碼在主機A上輸入主機B的賬號和密碼，并交由主機B進行賬戶驗證主機多了會有什么問題？1Samba聯(lián)機模式－主控模式Samba服務概述所有主機的賬號和密碼都保存在主域控制器（PrimaryDomainController，PDC）上主域控制器進行用戶驗證，并根據(jù)驗證結(jié)果給予用戶適當?shù)脑L問權限所有的驗證操作都交給主域控制器2Samba服務端配置2Samba安裝與啟停Samba服務端配置軟件名稱：samba后臺守護進程：smb[root@uosv20~]#yuminstallsamba-y //一鍵安裝Samba[root@uosv20~]#rpm-qa|grepsamba //安裝后再次查看samba-4.10.16-5.el7.x86_64samba-client-libs-4.10.16-5.el7.x86_64systemctlstart|stop|restart|status|enablesmb2Samba服務器的搭建步驟Samba服務端配置安裝Samba軟件配置Samba服務端創(chuàng)建共享目錄添加Samba用戶啟動Samba服務在Samba客戶端訪問共享資源2Samba主配置文件－smb.confSamba服務端配置位于/etc/samba目錄參數(shù)配置的基本格式是“參數(shù)名=參數(shù)值”以“#”開頭的行表示注釋以“;”開頭的行表示Samba參數(shù)，可忽略[global]workgroup=SAMBAsecurity=user[homes]comment=HomeDirectoriesvalidusers=%S,%D%w%S2Samba主配置文件－全局參數(shù)Samba服務端配置全局參數(shù)的配置對整個Samba服務器有效“[global]”之后的部分表示全局參數(shù)Samba全局參數(shù)功能說明workgroup=工作組名稱設置工作組名稱，使用Samba服務的主機的工作組名稱要相同netbiosname=NetBIOSName同一工作組內(nèi)的主機擁有唯一的NetBIOSNameserverstring=服務器描述信息默認顯示Samba版本，改為有實際意義的服務器描述信息interfaces=網(wǎng)絡接口指定Samba監(jiān)聽哪些網(wǎng)絡接口hostsallow=允許主機列表設置主機白名單，白名單里的主機可以訪問Samba服務器資源hostsdeny=禁止主機列表設置主機黑名單，黑名單里的主機禁止訪問Samba服務器資源logfile=日志文件名設置Samba服務器上日志文件的存儲位置和日志文件名稱maxlogsize=最大容量設置日志文件的最大容量，以KB為單位，值為0表示不做限制security=安全性級別設置Samba客戶端的身份驗證方式2Samba主配置文件－共享參數(shù)Samba服務端配置共享參數(shù)用來設置共享域的屬性共享域的格式是“[共享名]”，表示共享資源對外顯示的名稱Samba共享參數(shù)功能說明comment共享目錄的描述信息path共享目錄的絕對路徑browseable共享目錄是否可以瀏覽public是否允許用戶匿名訪問共享目錄readonly共享目錄是否只讀writable共享目錄是否可寫validusers允許訪問Samba服務的用戶和組invalidusers禁止訪問Samba服務的用戶和組readlist對共享目錄只有讀權限的用戶和組writelist可以在共享目錄內(nèi)進行寫操作的用戶和組hostsallow允許訪問該Samba服務器的主機IP或網(wǎng)絡hostsdeny不允許訪問該Samba服務器的主機IP或網(wǎng)絡[docs]comment=PublicResourcepath=/ito/pubbrowseable=yeswritable=noadminusers=ssvalidusers=@ito2Samba主配置文件－參數(shù)變量Samba服務端配置參數(shù)變量就是“占位符”，會被實際的參數(shù)值取代Samba參數(shù)變量功能說明%S當前服務名%LSamba服務器的NetBIOSName%mSamba客戶端的NetBIOSName%hSamba服務器的主機名（hostname）%MSamba客戶端的主機名（hostname）%HSamba用戶的主目錄%ISamba客戶端的IP地址%U當前連接Samba服務的用戶名%g當前用戶所屬的用戶組%D當前用戶所屬的域或工作組名稱%TSamba服務器的日期與時間%vSamba服務器的版本[homes]comment=HomeDirectorybrowseable=nowritable=yesvalidusers=%S2添加Samba用戶Samba服務端配置Samba用戶必須對應一個同名的Linux系統(tǒng)用戶先創(chuàng)建Linux用戶，然后使用smbpasswd命令添加Samba用戶[root@uosv20~]#useraddsmbuser[root@uosv20~]#passwdsmbuser新的密碼：

重新輸入新的密碼：

passwd：所有的身份驗證令牌已經(jīng)成功更新。[root@uosv20~]#smbpasswd-asmbuserNewSMBpassword:RetypenewSMBpassword:Addedusersmbuser.smbpasswd[-axden][用戶名]選項功能說明-a增加Samba用戶并設置密碼-x刪除Samba用戶-d凍結(jié)Samba用戶-e解凍（恢復）Samba用戶-n將Samba用戶密碼置空密碼可以不同3Samba客戶端驗證3Linux客戶端驗證－smbclientSamba客戶端驗證yuminstallsamba-client-y[zys@smbcli~]$smbclient//00/docs-UzsuserEnterSAMBA\zsuser'spassword: <==輸入zsuser的Samba密碼smb:\>putfile1 <==上傳測試文件smb:\>ls <==查看服務器中文件file1A0SunDec419:41:552022smb:\>quit <==退出交互環(huán)境3Windows客戶端驗證－方式一Samba客戶端驗證依次選擇【開始】→【附件】→【運行】選項，彈出【運行】對話框，在【打開】文本框中輸入Samba服務器的訪問路徑3Windows客戶端驗證－方式二Samba客戶端驗證右擊桌面上的【計算機】圖標，在彈出的快捷菜單中選擇【映射網(wǎng)絡驅(qū)動器】選項或者雙擊【計算機】圖標，選擇【工具】→【映射網(wǎng)絡驅(qū)動器】選項。彈出【映射網(wǎng)絡驅(qū)動器】對話框，輸入Samba服務器共享資源的路徑任務21NFS服務概述部署NFS服務2NFS服務端配置3NFS客戶端驗證1NFS服務概述1NFS服務概述NFS服務概述網(wǎng)絡文件系統(tǒng)：NetworkFileSystem主流的異構平臺共享文件系統(tǒng)，支持用戶在不同的系統(tǒng)之間通過網(wǎng)絡共享文件NFS服務器是文件資源的實際存放地，NFS客戶端能夠像訪問本地資源一樣訪問NFS服務器中的文件資源提供透明文件訪問以及文件傳輸服務能發(fā)揮數(shù)據(jù)集中的優(yōu)勢，降低NFS客戶端的存儲空間需求配置靈活，性能優(yōu)異，能夠根據(jù)不同的應用需要靈活調(diào)整2NFS服務端配置NFS安裝與啟停軟件名稱：nfs-utils后臺守護進程：nfs[root@uosv20~]#yuminstallrpcbind-y //NFS依賴RPC服務[root@uosv20~]#yuminstallnfs-utils-y[root@uosv20~]#rpm-qa|grep-E'rpcbind|nfs-utils‘ //安裝后檢查nfs-utils-1.3.0-0.61.el7.x86_64rpcbind-0.2.0-47.el7.x86_64systemctlstart|stop|restart|status|enablenfs2NFS服務端配置2NFS主配置文件－/etc/exportsNFS服務端配置每一行代表一個共享目錄，包括共享目錄、客戶端和選項3部分共享目錄：用絕對路徑表示的共享目錄名客戶端：一個或多個客戶端，有多種表示方式選項：表示NFS服務器為NFS客戶端提供的共享選項，也就是允許客戶端以何種方式使用共享目錄[root@uosv20~]#vim/etc/exports/datashare0(rw,sync,no_sub_tree)/24(ro)共享目錄客戶端1(選項1)客戶端2(選項2)…客戶端2(選項3)2NFS主配置文件－客戶端表示方式NFS服務端配置客戶端有多種表示方式，可以是單臺主機的實際IP地址或IP網(wǎng)段，也可以是完整主機名或域名。其中，主機名還可以使用通配符客戶端表示方式含義0指定IP地址對應的客戶端/24指定IP網(wǎng)段下的所有客戶端指定完整主機名對應的客戶端*.指定域名下的所有客戶端2NFS主配置文件－選項NFS服務端配置對于同一共享目錄，可以為不同的客戶端設定不同的共享選項多個共享選項用逗號進行分隔2NFS相關命令－exportfsNFS服務端配置使用exportfs命令在不重啟服務的情況下應用新配置選項功能說明-a打開或取消所有目錄共享-r重新讀取/etc/exportfs文件中的配置并使其立即生效-v當共享或者取消共享時，輸出詳細信息-u取消一個或多個目錄的共享exportfs[-arvu]2NFS相關命令－showmountNFS服務端配置顯示NFS服務器文件系統(tǒng)的掛載信息選項功能說明-a顯示連接到某NFS服務器的客戶端主機名和掛載點目錄-d僅顯示被客戶端掛載的目錄名-e顯示NFS服務器的共享目錄清單showmount[-ade]3NFS客戶端驗證3NFS客戶端驗證NFS客戶端驗證手動掛載：使用mount命令，掛載NFS共享目錄mount-tnfs00:/webdata/nfsdata自動掛載：修改/etc/fstab文件，掛載NFS共享目錄00:/webdata/nfsdatanfsdefaults00任務31FTP服務概述部署FTP服務2FTP服務端配置3配置不同F(xiàn)TP用戶1FTP服務概述1FTP服務簡介FTP服務概述歷史悠久，是應用最廣泛的應用層協(xié)議運行于TCP之上，文件傳輸可靠，跨平臺、跨系統(tǒng)采用客戶機/服務器模式，上傳和下載文件方便登錄用戶類型：匿名用戶：沒有對應的系統(tǒng)賬戶，可以訪問公開的、沒有版權和保密性要求的文件本地用戶：實際存在的操作系統(tǒng)用戶，以本地用戶身份登錄FTP服務器虛擬用戶：可以使用FTP服務但不能登錄操作系統(tǒng)，登錄時被映射為實際的操作系統(tǒng)用戶1FTP運行模式－主動模式FTP服務概述控制信道的發(fā)起方是FTP客戶端，數(shù)據(jù)信道的發(fā)起方是FTP服務器容易受到防火墻和NAT的影響連接建立過程：客戶端選擇端口PortA與服務器的21端口建立TCP連接FTP客戶端隨機啟用端口PortB，通過控制信道通知服務器采用主動模式，以及端口PortB服務器用20端口與客戶端的PortB建立TCP連接1FTP運行模式－被動模式FTP服務概述控制信道的發(fā)起方是FTP客戶端，數(shù)據(jù)信道的發(fā)起方也是FTP客戶端客戶端很可能不能使用被動模式與位于防火墻后方或內(nèi)網(wǎng)的服務器建立數(shù)據(jù)連接連接建立過程：客戶端選擇PortA與服務器的21端口建立TCP連接客戶端通過控制信道通知FTP服務器采用被動模式FTP服務器隨機啟用端口PortP，并通過控制信道將這個端口告知FTP客戶端客戶端隨機使用PortB與服務器的PortP建立TCP連接2FTP服務端配置FTP安裝與啟停軟件名稱：vsftpd后臺守護進程：vsftpd[root@uosv20~]#yuminstallvsftpd-y//安裝vsftpd軟件[root@uosv20~]#

rpm-qa|grepvsftpdvsftpd-3.0.2-28.el7.x86_64systemctlstart|stop|restart|status|enablevsftpd客戶端軟件名稱：ftp[root@uosv20~]#yuminstallftp-y//安裝ftp軟件2FTP服務端配置2FTP服務主配置文件FTP服務端配置/etc/vsftpd/vsftpd.conf注釋以“#”開頭先對文件進行備份，然后過濾掉所有以“#”開頭的行，只保留有效的行包含單行指令和配置段語法是“參數(shù)名=參數(shù)值”“=”前后不能有空格[root@uosv20~]#cd/etc/vsftpd[root@uosv20vsftpd]#

mvvsftpd.confvsftpd.conf.bak[root@uosv20vsftpd]#grep-v‘^#'vsftpd.conf.bak>vsftpd.conf[root@uosv20vsftpd]#catvsftpd.confanonymous_enable=YESlocal_enable=YESwrite_enable=YES2FTP全局參數(shù)FTP服務端配置全局參數(shù)對三種類型的登錄用戶都適用FTP全局參數(shù)功能說明listen指定FTP服務是否以獨立方式運行，默認為NOlisten_address指定在獨立方式下FTP服務的監(jiān)聽地址listen_port指定在獨立方式下FTP服務的監(jiān)聽端口，默認是21max_clients指定最大的客戶端連接數(shù)，值為0表示不限制max_per_ip指定同一IP地址可以發(fā)起的最大連接數(shù)，值為0表示不限制port_enable指定是否允許主動模式，默認為YESpasv_enable指定是否允許被動模式，默認為YESwrite_enable指定是否允許用戶上傳文件、新建目錄、刪除文件和目錄等操作，默認為NOdownload_enable指定是否允許用戶下載文件，默認為YESvsftpd_log_filevsftpd進程的日志文件，默認是/var/log/vsftpd.log3配置不同F(xiàn)TP用戶3FTP用戶登錄－匿名用戶配置不同F(xiàn)TP用戶要特別注意控制匿名用戶的訪問權限和根目錄匿名用戶相關參數(shù)功能說明anonymous_enable是否允許匿名用戶登錄，默認為YESanon_root匿名用戶登錄后使用的根目錄。這里的根目錄是指匿名用戶的主目錄，而不是文件系統(tǒng)的根目錄“/”ftp_username匿名用戶登錄后具有哪個用戶的權限，默認是ftpno_anon_password如果設為YES，那么vsftpd服務不會向匿名用戶詢問密碼。默認為NOanon_upload_enable是否允許匿名用戶上傳文件，默認為NOanon_mkdir_write_enable是否允許匿名用戶創(chuàng)建目錄anon_umask匿名用戶上傳文件時使用的umask值，默認為077anon_other_write_enable是否允許匿名用戶執(zhí)行除上傳文件和創(chuàng)建目錄之外的寫操作。默認為NOanon_max_rate指定匿名用戶的最大傳輸速率，單位是字節(jié)/秒，值為0表示不限制第1步：在FTP服務器上創(chuàng)建根目錄，在根目錄下新建測試文件file1.100例允許匿名用戶登錄，根目錄是/var/anon_ftp，只能下載文件，不可以上傳文件、創(chuàng)建目錄，或刪除和重命名文件等3配置不同F(xiàn)TP用戶FTP用戶登錄－匿名用戶[root@uosv20~]#mkdir-p/var/anon_ftp[root@uosv20~]#ls-ld/var/anon_ftpdrwxr-xr-x. 2 rootroot 6 12月520:13 /var/anon_ftp[root@uosv20~]#touch/var/anon_ftp/file1.100第2步：修改vsftpd主配置文件例允許匿名用戶登錄，根目錄是/var/anon_ftp，只能下載文件，不可以上傳文件、創(chuàng)建目錄，或刪除和重命名文件等3配置不同F(xiàn)TP用戶FTP用戶登錄－匿名用戶[root@uosv20~]#vim/etc/vsftpd/vsftpd.confanonymous_enable=YES <==允許匿名登錄anon_root=/var/anon_ftp <==匿名用戶根目錄write_enable=NO <==全局參數(shù)，不允許寫操作第3步：重啟FTP服務，修改防火墻和SELinux設置第4步：登錄FTP客戶端，在/tmp目錄中新建測試文件file1.110[zys@uosv20~]$cd/tmp[zys@uosv20tmp]$touchfile1.110[root@uosv20~]#vim/etc/vsftpd/vsftpd.confanonymous_enable=YES <==允許匿名登錄anon_root=/var/anon_ftp <==匿名用戶根目錄write_enable=NO <==全局參數(shù)，不允許寫操作第5步：在客戶端使用ftp命令連接FTP服務器并查詢服務器端測試文件例允許匿名用戶登錄，根目錄是/var/anon_ftp，只能下載文件，不可以上傳文件、創(chuàng)建目錄，或刪除和重命名文件等3配置不同F(xiàn)TP用戶FTP用戶登錄－匿名用戶[zys@uosv20tmp]$ftp00Name(00:zys):ftp<==輸入匿名用戶的登錄身份Password:<==提示輸入密碼，這里直接按Enter鍵即可230Loginsuccessful. <==登錄成功ftp>pwd<==查看當前工作目錄257"/"ftp>ls<==使用ls命令查看文件-rw-r--r--100 0Dec0512:14 file1.100ftp>第6步：測試匿名用戶的文件上傳和下載權限。從服務器下載file1.100文件時操作成功，但上傳file1.110文件時提示“550Permissiondenied”，即沒有權限執(zhí)行上傳操作例允許匿名用戶登錄，根目錄是/var/anon_ftp，只能下載文件，不可以上傳文件、創(chuàng)建目錄，或刪除和重命名文件等3配置不同F(xiàn)TP用戶FTP用戶登錄－匿名用戶ftp>getfile1.100226Transfercomplete.ftp>putfile1.110550Permissiondenied.ftp>quit3FTP用戶登錄－本地用戶配置不同F(xiàn)TP用戶推薦的做法是允許本地用戶使用FTP服務，但是不能登錄操作系統(tǒng)，這樣可以降低賬號密碼泄露帶來的系統(tǒng)風險本地用戶相關參數(shù)功能說明local_enable是否允許本地用戶登錄FTP服務器，默認為NOlocal_max_rate指定本地用戶的最大傳輸速率，單位是字節(jié)/秒，值為0表示不限制。默認為0local_umask本地用戶上傳文件時使用的umask值，默認為077local_root本地用戶登錄后使用的根目錄chroot_local_user是否將用戶鎖定在根目錄，默認為NOchroot_list_enable指定是否啟用chroot用戶列表文件，默認為NOchroot_list_file用戶列表文件。根據(jù)chroot_list_enable的設置，文件中的用戶可能被chroot，也可能不被chroot3FTP用戶登錄－本地用戶chroot配置不同F(xiàn)TP用戶被chroot的用戶登錄FTP服務器后將被鎖定在自己的根目錄內(nèi)chroot_local_user用來設置是否將用戶鎖定在根目錄chroot_list_enable和chroot_list_file兩個參數(shù)指定一個文件，文件中的用戶作為默認設置的“例外”而存在。如果默認設置是鎖定所有用戶的根目錄，那么文件中的用戶將不被鎖定，反之亦然

chroot_local_user=NOchroot_local_user=YESchroot_list_enable=NO所有用戶都不被chroot所有用戶都被chrootchroot_list_enable=YES所有用戶都不被chroot。chroot_list_file文件指定的用戶是例外，被chroot所有用戶都被chroot。chroot_list_file文件指定的用戶是例外，不被chroot第1步：確保系統(tǒng)中存在本地用戶ss和zys。在FTP服務器中新建目錄/siso/ito及兩個測試文件例目錄/siso/ito，管理員用戶ss對目錄有全部的讀寫權限，而且不被chroot。用戶zys可以執(zhí)行上傳下載等操作，但是要被chroot3配置不同F(xiàn)TP用戶FTP用戶登錄－本地用戶[root@uosv20~]#idssuid=1237(ss)gid=1237(ss)組=1237(ss),1003(devteam1),1004(devteam2)[root@uosv20~]#

idzysuid=1000(zys)gid=1000(zys)組=1000(zys),1002(devteam)[root@uosv20~]#mkdir-p/siso/ito[root@uosv20~]#

ls-ld/siso/itodrwxr-xr-x. 2 rootroot40 12月520:37 /siso/ito[root@uosv20~]#touch/siso/ito/file2.100 //新建服務器端測試文件[root@uosv20~]#touch/siso/ito/file3.100第2步：修改主配置文件，設置兩個的讀寫權限及chroot。重啟FTP服務例目錄/siso/ito，管理員用戶ss對目錄有全部的讀寫權限，而且不被chroot。用戶zys可以執(zhí)行上傳下載等操作，但是要被chroot3配置不同F(xiàn)TP用戶FTP用戶登錄－本地用戶[root@uosv20~]#vim/etc/vsftpd/vsftpd.confwrite_enable=YES <==允許用戶寫入download_enable=YES<==允許用戶下載local_enable=YES <==允許本地用戶登錄FTP服務器local_root=/siso/ito <==本地用戶根目錄chroot_local_user=YES<==所有用戶默認被chrootchroot_list_enable=YES<==啟用例外用戶chroot_list_file=/etc/vsftpd/chroot_list <==例外用戶列表文件[root@uosv20~]#systemctlrestartvsftpd第3步：新建例外用戶列表文件/etc/vsftpd/chroot_list，添加用戶ss例目錄/siso/ito，管理員用戶ss對目錄有全部的讀寫權限，而且不被chroot。用戶zys可以執(zhí)行上傳下載等操作，但是要被chroot3配置不同F(xiàn)TP用戶FTP用戶登錄－本地用戶[root@uosv20~]#vim/etc/vsftpd/chroot_listss<==只添加ss一個用戶第4步：修改防火墻和SELinux設置第5步：在FTP客戶端中新建測試文件file2.110和file3.110[zys@uosv20~]$cd/tmp[zys@uosv20tmp]$touchfile2.110file3.110第6步：在FTP客戶端中使用用戶zys登錄FTP服務器，測試能否更改目錄例目錄/siso/ito，管理員用戶ss對目錄有全部的讀寫權限，而且不被chroot。用戶zys可以執(zhí)行上傳下載等操作，但是要被chroot3配置不同F(xiàn)TP用戶FTP用戶登錄－本地用戶[zys@uosv20tmp]$ftp00Name(00:zys):zys <==輸入用戶名zysPassword: <==輸入用戶zys的密碼230Loginsuccessful.ftp>pwd

<==查看當前目錄257"/" <==即/siso/itoftp>cd/siso <==更改目錄550Failedtochangedirectory. <==更改目錄失敗ftp>

ls

<==查看目錄內(nèi)容-rw-r--r--10 0 0 Nov2811:46 file2.100-rw-r--r--10 0 0 Nov2812:34 file3.100ftp>第7步：繼續(xù)測試下載和上傳操作。用戶zys可以下載文件，但是上傳文件時系統(tǒng)提示“553Couldnotcreatefile”，即無權限創(chuàng)建文件例目錄/siso/ito，管理員用戶ss對目錄有全部的讀寫權限，而且不被chroot。用戶zys可以執(zhí)行上傳下載等操作，但是要被chroot3配置不同F(xiàn)TP用戶FTP用戶登錄－本地用戶ftp>getfile2.100 <==下載文件226Transfercomplete.ftp>putfile2.110 <==上傳文件553Couldnotcreatefile. <==上傳文件失敗ftp>quit

注意：一般從兩個方面檢查：一，檢查主配置文件中是否開放了相應的權限二，檢查FTP服務器的相應目錄是否開放寫權限第8步：在主配置文件中，已經(jīng)設置為允許本地用戶上傳文件。但是/siso/ito目錄權限是rwxr-xr-x，沒有對zys開放寫權限?？梢灾苯淤x予zys寫權限，也可以修改/siso/ito目錄的所有者和屬組例目錄/siso/ito，管理員用戶ss對目錄有全部的讀寫權限，而且不被chroot。用戶zys可以執(zhí)行上傳下載等操作，但是要被chroot3配置不同F(xiàn)TP用戶FTP用戶登錄－本地用戶[root@uosv20~]#chmodo+w/siso/ito

//或chownzys/siso/ito[root@uosv20~]#

ls-ld/siso/itodrwxr-xrwx. 2 rootroot 4012月520:37 /siso/ito例目錄/siso/ito，管理員用戶ss對目錄有全部的讀寫權限，而且不被chroot。用戶zys可以執(zhí)行上傳下載等操作，但是要被chroot3配置不同F(xiàn)TP用戶FTP用戶登錄－本地用戶第9步：修改完之后繼續(xù)測試，登錄FTP服務器時出現(xiàn)新錯誤[zys@uosv20tmp]$ftp00Name(00:zys):zysPassword: 500OOPS:vsftpd:refusingtorunwithwritablerootinsidechroot()Loginfailed.421Servicenotavailable,remoteserverhasclosedconnectionftp>quit注意：如果用戶被chroot，就不能再對主目錄具有寫權限例目錄/siso/ito，管理員用戶ss對目錄有全部的讀寫權限，而且不被chroot。用戶zys可以執(zhí)行上傳下載等操作，但是要被chroot3配置不同F(xiàn)TP用戶FTP用戶登錄－本地用戶第10步：在主配置文件中設置allow_writeable_chroot參數(shù)，重啟FTP服務[root@uosv20~]#vim/etc/vsftpd/vsftpd.confallow_writeable_chroot=YES <==增加這一行，允許對主目錄的寫操作[root@uosv20~]#systemctlrestartvsftpd例目錄/siso/ito，管理員用戶ss對目錄有全部的讀寫權限，而且不被chroot。用戶zys可以執(zhí)行上傳下載等操作，但是要被chroot3配置不同F(xiàn)TP用戶FTP用戶登錄－本地用戶第11步：重新登錄服務器，再次嘗試上傳文件，現(xiàn)在文件上傳成功[zys@uosv20tmp]$

ftp00Name(00:zys):zysPassword:230

Loginsuccessful. <==登錄成功ftp>putfile2.110226Transfercomplete. <==文件上傳成功ftp>

ls-rw-r--r--1 0 0 0 Dec0512:37 file2.100-rw-r--r--1 1000 1000 0 Dec0513:00 file2.110-rw-r--r--1 0 0 0 Dec0512:37 file3.100ftp>quit例目錄/siso/ito，管理員用戶ss對目錄有全部的讀寫權限，而且不被chroot。用戶zys可以執(zhí)行上傳下載等操作，但是要被chroot3配置不同F(xiàn)TP用戶FTP用戶登錄－本地用戶第12步：在FTP客戶端中使用用戶ss進行以上測試[siso@localhosttmp]$ftp00Name(00:zys):ss<==輸入用戶名ssPassword: <==輸入用戶ss的密碼ftp>

cd/siso <==更改目錄250Directorysuccessfullychanged.<==目錄更改成功ftp>cdito <==返回根目錄250Directorysuccessfullychanged.ftp>getfile3.100 <==上傳文件226Transfercomplete.ftp>

putfile3.110 <==下載文件226Transfercomplete.3FTP用戶登錄－虛擬用戶配置不同F(xiàn)TP用戶虛擬賬戶被映射為本地用戶，默認情況下和匿名用戶具有相同的權限可以為每個虛擬用戶指定不同的配置文件，放在user_config_dir參數(shù)指定的目錄下。自定義配置文件中的設置比主配置文件具有更高的優(yōu)先級虛擬用戶相關參數(shù)功能說明local_enable啟用虛擬用戶也要將此參數(shù)設為YES，默認為NOguest_enable啟用虛擬賬戶功能，默認為NOguest_username虛擬賬戶對應的本地用戶user_config_dir用戶自定義配置文件所在目錄virtual_use_local_privs指定虛擬賬戶是否和本地用戶具有相同的權限，默認為NOanon_upload_enable允許虛擬用戶上傳文件時要將此參數(shù)設為YES，默認為NOpam_service_namevsftpd使用的PAM模塊名例創(chuàng)建兩個虛擬用戶vuser1和vuser2，根目錄分別為/siso/ito/pub和/var/ftp/vuser，分別映射到本地用戶itopub和ftp；vuser1可以上傳和下載文件，vuser2只能下載文件3配置不同F(xiàn)TP用戶FTP用戶登錄－虛擬用戶第1步：建立保存虛擬用戶的賬號和密碼的文件，奇數(shù)行是用戶名，偶數(shù)行是密碼。然后使用db_load命令生成本地數(shù)據(jù)庫文件[root@uosv20~]#cd/etc/vsftpd[root@uosv20vsftpd]#

vimvuser.pwdvuser1 <==奇數(shù)行是用戶名123456 <==偶數(shù)行是密碼vuser2abcdef[root@uosv20vsftpd]#db_load-T-thash-fvuser.pwdvuser.db[root@uosv20vsftpd]#chmod700vuser.db[root@uosv20vsftpd]#lsvuser*vuser.dbvuser.pwd例目錄/siso/ito，管理員用戶ss對目錄有全部的讀寫權限，而且不被chroot。用戶zys可以執(zhí)行上傳下載等操作，但是要被chroot。3配置不同F(xiàn)TP用戶FTP用戶登錄－虛擬用戶第2步：調(diào)用操作系統(tǒng)提供的PAM以使用第1步中生成的數(shù)據(jù)庫文件對虛擬用戶進行驗證。修改vsftpd對應的PAM配置文件/etc/pam.d/vsftpd，將默認配置全部注釋掉，添加以下內(nèi)容[root@uosv20vsftpd]#vim/etc/pam.d/vsftpdauth required pam_userdb.so db=/etc/vsftpd/vuseraccount required pam_userdb.so db=/etc/vsftpd/vuser例目錄/siso/ito，管理員用戶ss對目錄有全部的讀寫權限，而且不被chroot。用戶zys可以執(zhí)行上傳下載等操作，但是要被chroot。3配置不同F(xiàn)TP用戶FTP用戶登錄－虛擬用戶第3步，創(chuàng)建vuser1的根目錄和測試文件，并修改權限，新建vuser1的映射用戶itopub[root@uosv20vsftpd]#mkdir-p/siso/ito/pub[root@uosv20vsftpd]#chmodo+w/siso/ito/pub[root@uosv20vsftpd]#ls-ld/siso/ito/pubdrwxr-xrwx. 2 rootroot612月521:19 /siso/ito/pub[root@uosv20vsftpd]#touch/siso/ito/pub/file4.100[root@uosv20vsftpd]#

useradditopub[root@uosv20vsftpd]#passwditopub[root@uosv20vsftpd]#mkdir-p/siso/ito/pub[root@uosv20vsftpd]#chmodo+w/siso/ito/pub[root@uosv20vsftpd]#ls-ld/siso/ito/pubdrwxr-xrwx. 2 rootroot612月521:19 /siso/ito/pub[root@uosv20vsftpd]#touch/siso/ito/pub/file4.100[root@uosv20vsftpd]#

useradditopub[root@uosv20vsftpd]#passwditopub例目錄/siso/ito，管理員用戶ss對目錄有全部的讀寫權限，而且不被chroot。用戶zys可以執(zhí)行上傳下載等操作，但是要被chroot。3配置不同F(xiàn)TP用戶FTP用戶登錄－虛擬用戶第4步，創(chuàng)建vuser2的根目錄和測試文件，并修改權限[root@uosv20vsftpd]#mkdir-p/var/ftp/vuser[root@uosv20vsftpd]#chmodo+w/var/ftp/vuser[root@uosv20vsftpd]#ls-ld/var/ftp/vuserdrwxr-xrwx. 2 rootroot 612月521:21 /var/ftp/vuser[root@uosv20vsftpd]#touch/var/ftp/vuser/file5.100[root@uosv20vsftpd]#mkdir-p/var/ftp/vuser[root@uosv20vsftpd]#chmodo+w/var/ftp/vuser[root@uosv20vsftpd]#ls-ld/var/ftp/vuserdrwxr-xrwx. 2 rootroot 612月521:21 /var/ftp/vuser[root@uosv20vsftpd]#touch/var/ftp/