|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
欢迎大家来到仓酷云论坛!实行背景:
Dreamfire公司因为营业需求,必要架设一台FTP办事器,出于体系不乱和宁静等多方面思索,决意利用RHEL4作为办事器平台,架设vsftp办事器。其次为了最年夜限制地包管公司外部RHEL4办事器上“/home”下用户的宁静性,决意接纳假造用户的体例会见FTP办事器。***为了可以更好的天真办理办事器上每一个用户的会见权限,依据贵公司的需乞降以后收集情况制订了一套可行的计划以下:
1、一切用户都经由过程用户名:ftpall、暗码:123登录FTP办事器的大众目次ftpall
2、大众目次ftpall是供员工下载材料所用的,只同意下载,不同意删除、修正、重定名ftpall中的文件或目次
3、一切用户都能够经由过程本人的用户和暗码登录到FTP办事器上的宿主目次里,且只能看到本人的文件和文件夹,并且能够增加、删除、修正、重定名本人的文件或文件夹。
4、匿名会见的用户依据实践情形开启,默许不开启。
5、一切员工会见大众目次ftpall的下载速率最年夜为100KB/s,而会见各自的宿主目次的下载速率最年夜为300KB/s
6、思索到FTP办事器的接受力,每次只同意最多100个用户毗连办事器。
7、思索到公司外部某些员工大概会用迅雷、慢车等BT下载工具下载文件,以是将统一IP地点的FTP客户机与FTP办事器创建的最年夜毗连数不凌驾3个。
注重:假造用户账户是为了包管FTP办事器的宁静性,由vsftpd办事器供应的非体系用户账户。假造用户FTP登录后将把指定的目次作为FTP根目次。假造用户与当地用户具有相似的功效,因为假造用户绝对宁静,因而正慢慢替换当地用户账户。
实行步调:
为了更便利的测试实行情况,本实行接纳ftpall作为一切员工的大众用户,xiaonuo作为每一个用户的代表。
1、挂在第一张RHEL4装置光盘,并装置vsftpd软件包。
2、创建假造用户口令库文件
创建假造用户的口令库文件,文件中奇数行设置假造用户的用户名,偶数行设置用户的口令。为了便于影象能够将文件定名为.txt文件。不外Linux下文件是不撑持扩大名滴哦,只是为了标示罢了。
注重:用户的口令库文件中,不要存在空格和空行
3、天生vsftpd的认证文件
利用db_load下令天生认证文件,“-f”下令选项设置的值是假造用户的口令库文件,即vsftpd_login.txt,下令的参数设置为必要天生的认证文件名vsftpd_login.db,该文件必需放在“/etc/vsftpd/”中。
注重:db_load是软件包db4_utils带的下令,在RHEL4是默许装置的,在RHEL5上没有装置,必要装置db4_utils这个软件包才撑持db_load下令。
因为vsftpd的认证文件vsftpd_login.db里保留了一切假造用户的用户名和暗码,为了加强其宁静性,应该设置只要root才能够检察。
4、创建假造用户所需的PAM设置文件
修正/etc/pam.d/vsftpd文件
将默许设置全体用“#”正文在最初增加
authrequired/lib/security/pam_userdb.sodb=/etc/vsftpd/vsftpd_login
accountrequired/lib/security/pam_userdb.sodb=/etc/vsftpd/vsftpd_login
注重:也能够别的创建一个文件,可是要在/etc/vsftpd/vsftpd.conf中将pam_service_name=vsftpd前面的值改成新建文件的称号。
5、创建假造用户及要会见的目次并设置响应的权限。
创建vsftpd假造目次所需的体系大众用户账号,账号名为ftpall,指定用户的宿主目次是“/var/ftp/ftpall”
创建vsftpd假造目次所需的体系单用户账号,账号名为xiaonuo,指定用户的宿主目次是“/var/ftp/xiaonuo”
参数“-d”是创建用户以后,并将本人的宿主目次指向指定的地位。
注重:用户名和宿主目次称号最好一样,便于影象。这些用户城市寄存在体系的/etc/passwd下,而且用户暗码都寄存在vsftpd认证文件中。以是是不克不及用假造用户登录体系的,宁静性天然而然也增强了。
创建的假造用户的宿主目次默许都是700权限,因为ftpall是大众目次,是不同意一般用户修正、增加、删除和重定名的,以是将其改成500(读+实行)便可。
参数“-R”是修正用户宿主目次和目次里一切子文件的属性。
6、设置vsftpd.cong主设置文件。
在对vsftpd.conf设置文件举行修正前,应先将原本的文件举行备份,以便呈现设置毛病时可举行规复。
在vsftpd.conf设置文件中增加假造用的设置项,内容以下:
anonymous_enable=NO禁用匿名用户登录
local_enable=YES启用当地用户登录(实质上是为了可以让假造用户登录)
chroot_local_user=YES将一切当地用户限定在本人的目次中
pam_service_name=vsftpd设置vsftpd利用的PAM模块为vsftpd
user_config_dir=/etc/vsftpd/users_config设置假造账户设置文件的主目次为/users_config(前面创立)
max_clients=100设置FTP办事器最年夜接进客户端数为100个
max_per_ip=3设置每一个IP地点最年夜毗连数为3个
local_max_rate=300000FTP办事器的当地用户最年夜传输速度设置为300KB/s
anon_max_rate=100000FTP办事器匿名用户最年夜传输速度设置为100KB/s
7、设置公用用户ftpall的设置文件
起首创立假造用户设置文件的主文件夹users_config,并在此文件夹下创建假造用户的文件ftpall和xiaonuo。
在/etc/vsftpd/user_config/ftpall设置文件中增加假造用的设置项,内容以下:
guest_enable=YES开启假造账户登录
guest_username=ftpall设置ftpall对应的体系账户为ftpall
anon_world_readable_only=NO同意用户扫瞄FTP目次和下载文件
anon_max_rate=100000限定传输速度为100KB/s
8、设置单用户xiaonuo的设置文件
在/etc/vsftpd/user_config/xiaonuo设置文件中增加假造用的设置项,内容以下:
guest_enable=YES开启假造账户登录
guest_username=xiaonuo设置xiaonuo目次对应的体系账户为xiaonuo
anon_world_readable_only=NO同意用户扫瞄FTP目次和下载文件
anon_other_write_enable=YES同意用户举行文件更名和删除文件的权限
anon_mkdir_write_enable=YES暗示用户具有创建和删除目次的权力
anon_upload_enable=YES暗示用户能够上传文件
anon_max_rate=300000限定传输速率为300KB/s
经由过程对以上设置项的组合设置,vsftpd能够为每一个假造用户设置分歧的FTP权限,用户设置文件中没有的设置项将依照vsftpd.conf设置文件中的内容设置。
9、从头启动vsftpd办事,使一切设置文件的设置失效。
利用/etc/rc.d/init.d/vsftpdrestart大概servicesvsftpdrestart下令从头启动vsftpd办事。
10、测试大众用户ftpall的权限。
在测试之前,起首在/var/ftp/ftpall和/var/ftp/xiaonuo中创立文件和文件夹做测试用。
大众用户ftpall利用经常使用的IE扫瞄器举行会见FTP办事器,测试ftpall的权限。
将客户机机上的文件复制到FTP办事器上提醒堕落,测试乐成!
重定名FTP办事器上的文件提醒堕落,测试乐成!
删除FTP办事器上的文件提醒堕落,测试乐成!
重定名FTP办事器上的文件夹提醒堕落,测试乐成!
将FTP办事器上的文件拖拽的当地文件夹中,测试乐成。
全部测试历程申明利用ftpall用户登录FTP办事器,只能下载文件,不同意增添、删除、修正、重定名文件或文件夹。
11、测试xiaonuo用户
利用下令提醒符窗口测试假造用户xiaonuo的权限。
起首利用匿名用户登录,能够看到登录失利,缘故原由是由于在主设置文件vsftpd.conf的anonymous_enable=NO的原因,假如开启,则登录乐成,并且可以看到一切用户的宿主目次称号,固然不克不及会见,但假如歹意用户利用用户名推测暗码则会形成必定的伤害。
利用假造用户xiaonuo登录FTP办事器。
利用dir大概lsCl下令能够检察到xiaonuo用户宿主目次里的内容,而ftpall里的内容是看不到的,这也就完成了用户目次的断绝。
利用get下令下载文件到当地测试乐成。
利用put下令上传文件到FTP办事器上测试乐成
利用rename下令重定名FTP办事器上的文件测试乐成。
利用rename下令重定名FTP办事器上的文件夹测试乐成。
利用delete删除FTP办事器上的文件测试乐成。
利用rmdir删除FTP办事器上的空目次测试乐成。
下载速率大概上传速率的测试,可将速率调剂低一点,即可以看出效果来。
经由过程下面的实行能够看出,一切员工利用大众假造用户ftpall登录FTP办事器只能检察和下载FTP办事器上同享的文件,而每一个员工利用分发的假造用户名登录FTP办事器能够完成增加、删除、修正、查询宿主目次里的文件或文件夹,这也就完成了Dreanfire公司的营业需求,同时也加强了FTP办事器的宁静性。
本文出自“小诺的Linux开源手艺博客”博客,请务必保存此出处http://dreamfire.blog.51cto.com/418026/160521
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的小伙伴们! |
|
|Archiver|手机版|仓酷云
鄂ICP备14007578号-2
发表于 2015-1-14 20:30:09
收藏
转播
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜