1、搭建vsftpd,并实现虚拟用户
1. 安装
使用chkconfig –list来查看是否装有vsftpd服务;
使用yum命令直接安装:yum -y install vsftpd
然后为它创建日志文件:touch /var/log/vsftpd.log
这样简单的两个命令就完成了vsftp的安装,但是如果你现在想这样ftp://your_ip来访问的话,那还不行,还需要配置权限!
2. 启动与配置自启动
使用chkconfig –list来查看vsftpd服务启动项情况;
如果看到的是如下显示的结果:
vsftpd 0:off 1:off 2:off 3:off 4:off 5:off 6:off
服务全部都是off的,注意这里的off表示的是服务器启动的时候是否会自启动服务,我们使用如下命令来配置其自启动:
chkconfig –level 2345 vsftpd on #2345对应的是上面对应的0-6项
查看与管理ftp服务:
启动ftp服务:service vsftpd start
查看ftp服务状态:service vsftpd status
重启ftp服务:service vsftpd restart
关闭ftp服务:service vsftpd stop
3.创建vsftpd服务的宿主用户和虚拟用户
## 建立Vsftpd服务的宿主用户,不能登录系统,指定主目录/home/vsftpd
useradd vsftpd -d /home/vsftpd -M -s /sbin/nologin
cat /etc/passwd |grep vsftpd
sudo chown -R vsftpd:vsftpd /home/vsftpd
#虚拟用户设置
sudo mkdir /etc/vsftpd/
sudo vim /etc/vsftpd/virtusers.txt
# 加一些账号密码在里面,一行账号 一行密码(奇数行为账号,偶数行为密码)
test
tes123
# 转化为db 文件/etc/vsftpd/virtusers.db ,记住保存的路径后面会用到
#如果以后向/etc/vsftpd/virtusers.txt添加了虚拟账户后,需要重新执行下面的db_load命令才能生效
sudo db_load -T -t hash -f /etc/vsftpd/virtusers.txt /etc/vsftpd/virtusers.db
4.PAM 验证设置
默认安装后会生成/etc/pam.d/vsftpd,但直接设置这个文件会有问题,我们新建一个文件vsftpd.virtual写配置,并设置/etc/vsftpd/vsftpd.conf写对应的名字 pam_service_name=vsftpd.virtual
sudo vim /etc/pam.d/vsftpd.virtual
#替换为下面两行配置,pam_userdb.so根据自己的系统配置路径,
#db为上一步生成的(不用加后缀.db)文件 /etc/vsftpd/virtusers
auth required /lib/x86_64-linux-gnu/security/pam_userdb.so db=/etc/vsftpd/virtusers
account required /lib/x86_64-linux-gnu/security/pam_userdb.so db=/etc/vsftpd/virtusers
#以上两条是手动添加的,内容是对虚拟用户的安全和帐户权限进行验证。
这里的auth是指对用户的用户名口令进行验证。
这里的accout是指对用户的帐户有哪些权限哪些限制进行验证。
其后的sufficient表示充分条件,也就是说,一旦在这里通过了验证,那么也就不用经过下面剩下的验证步骤了。
相反,如果没有通过的话,也不会被系统立即挡之门外,因为sufficient的失败不决定整个验证的失败,
意味着用户还必须将经历剩下来的验证审核。
再后面的/lib/security/pam_userdb.so表示该条审核将调用pam_userdb.so这个库函数进行。
最后的db=/etc/vsftpd/virtusers则指定了验证库函数将到这个指定的数据库中调用数据进行验证。
5.虚拟用户配置
虚拟用户的设置都在文件夹下,有上一步的 user_config_dir=/etc/vsftpd/vu设置
宿主用户设置为上面创建的用户 vsftpd
## 建立虚拟用户配置文件模版:以后没添加一个虚拟用户都可以复制一份修改
vi /etc/vsftpd/vu/vconf.tmp
#vconf.tmp内容如下:
guest_username=vsftpd #指定宿主用户
virtual_use_local_privs=NO #虚拟用户和本地用户有相同的权限。
local_root=/home/vsftpd/test1 #指定虚拟用户的具体主路径
write_enable=YES #设定允许写操作
local_umask=022 #设定上传文件权限掩码
anonymous_enable=NO #设定不允许匿名用户访问
anon_upload_enable=NO #设定不允许匿名用户上传
anon_mkdir_write_enable=NO #设定不允许匿名用户建立目录
idle_session_timeout=600 #设定空闲连接超时时间
data_connection_timeout=120# 设定单次连续传输最大时间
max_clients=10 #设定并发客户端访问个数
max_per_ip=5 #设定单个客户端的最大线程数,这个配置主要来照顾Flashget、迅雷等多线程下载软件
local_max_rate=50000 #设定该用户的最大传输速率,单位b/s
anon_umask=133
#
#测试用户复制配置模板,可以进行个性化配置
cp /etc/vsftpd/vu/vconf.tmp /etc/vsftpd/vu/test
vim /etc/vsftpd/vconf/test
6.其他设置
#logo 文件设置权限
chown vsftpd:vsftpd /var/log/vsftpd.log
2、简述iptales四表五链及详细介绍iptables命令使用方法。
iptables只是Linux防火墙的管理工具而已,位于/sbin/iptables。真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构。
iptables包含4个表,5个链。其中表是按照对数据包的操作区分的,链是按照不同的Hook点来区分的,表和链实际上是netfilter的两个维度。 4个表:filter,nat,mangle,raw,默认表是filter(没有指定表的时候就是filter表)。表的处理优先级:raw>mangle>nat>filter。
filter:一般的过滤功能
nat:用于nat功能(端口映射,地址映射等)
mangle:用于对特定数据包的修改
raw:有限级最高,设置raw时一般是为了不再让iptables做数据包的链接跟踪处理,提高性能
5个链:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING。
PREROUTING:数据包进入路由表之前
INPUT:通过路由表后目的地为本机
FORWARDING:通过路由表后,目的地不为本机
OUTPUT:由本机产生,向外转发
POSTROUTIONG:发送到网卡接口之前。
规则表:
1.filter表——三个链:INPUT、FORWARD、OUTPUT
作用:过滤数据包 内核模块:iptables_filter.
2.Nat表——三个链:PREROUTING、POSTROUTING、OUTPUT
作用:用于网络地址转换(IP、端口) 内核模块:iptable_nat
3.Mangle表——五个链:PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
作用:修改数据包的服务类型、TTL、并且可以配置路由实现QOS内核模块:iptable_mangle(别看这个表这么麻烦,咱们设置策略时几乎都不会用到它)
4.Raw表——两个链:OUTPUT、PREROUTING
作用:决定数据包是否被状态跟踪机制处理 内核模块:iptable_raw
(这个是REHL4没有的,不过不用怕,用的不多)
规则链:
1.INPUT——进来的数据包应用此规则链中的策略
2.OUTPUT——外出的数据包应用此规则链中的策略
3.FORWARD——转发数据包时应用此规则链中的策略
4.PREROUTING——对数据包作路由选择前应用此链中的规则
(记住!所有的数据包进来的时侯都先由这个链处理)
5.POSTROUTING——对数据包作路由选择后应用此链中的规则
(所有的数据包出来的时侯都先由这个链处理)
规则表之间的优先顺序:
Raw——mangle——nat——filter
规则链之间的优先顺序(分三种情况):
第一种情况:入站数据流向
从外界到达防火墙的数据包,先被PREROUTING规则链处理(是否修改数据包地址等),之后会进行路由选择(判断该数据包应该发往何处),如果数据包的目标主机是防火墙本机(比如说Internet用户访问防火墙主机中的web服务器的数据包),那么内核将其传给INPUT链进行处理(决定是否允许通过等),通过以后再交给系统上层的应用程序(比如Apache服务器)进行响应。
第二冲情况:转发数据流向
来自外界的数据包到达防火墙后,首先被PREROUTING规则链处理,之后会进行路由选择,如果数据包的目标地址是其它外部地址(比如局域网用户通过网关访问QQ站点的数据包),则内核将其传递给FORWARD链进行处理(是否转发或拦截),然后再交给POSTROUTING规则链(是否修改数据包的地址等)进行处理。
第三种情况:出站数据流向
防火墙本机向外部地址发送的数据包(比如在防火墙主机中测试公网DNS服务器时),首先被OUTPUT规则链处理,之后进行路由选择,然后传递给POSTROUTING规则链(是否修改数据包的地址等)进行处理。