网络操作系统-Linux配置与管理.ppt

资源描述

《网络操作系统-Linux配置与管理.ppt》由会员分享，可在线阅读，更多相关《网络操作系统-Linux配置与管理.ppt（65页珍藏版）》请在三一办公上搜索。

1、网络操作系统 Linux配置与管理,第8章网络资源共享,文件服务器打印服务器FTPNFS服务器Samba文件服务器CUPS打印系统Samba打印服务器FTP服务器,学习要点,8.1 网络共享概述,计算机网络的基本功能是在计算机之间实现信息和资源共享，包括文件共享和打印机的共享。NFS（网络文件系统）用于文件共享，Samba提供文件与打印机共享，并能实现与Windows系统集成。CUPS打印系统可直接支持网络共享打印，而FTP则实现主机之间的文件交换。,网络文件共享采用客户/服务器工作模式Linux文件服务器解决方案类UNIX系统环境下的文件服务器解决方案NFS用于Linux与Windo

2、ws混合环境的Samba,文件服务器提供文件共享,8.1 网络共享概述,打印服务器打印服务器概念打印服务器就是将打印机通过网络向用户提供共享使用服务的计算机与打印机共享器有着本质的差别，打印服务器旨在实现网络打印，需要计算机网络支持，还能实现打印集中控制和管理Linux打印服务器解决方案直接使用通用UNIX打印系统（CUPS），CUPS本身就支持Internet打印协议通过Samba服务器将Linux连接的打印机共享给Windows客户端使用,8.1 网络共享概述,FTPFTP原理FTP采用客户/服务器模式运行。FTP工作的过程就是一个建立FTP会话并传输文件的过程。与一般的网络应用不同，一个

3、FTP会话中需要两个独立的网络连接，FTP服务器需要监听两个端口。一个端口作为控制端口（默认TCP 21），用来发送和接收FTP的控制信息，会话期间保持打开状态；另一个端口作为数据端口（默认TCP 20），用来发送和接收FTP数据，有数据传输时才打开，传输结束就关闭；FTP控制连接建立之后，再通过数据连接传输文件。FTP服务器所使用的数据端口取决于FTP连接模式。FTP数据连接可分为主动模式（Active Mode）和被动模式（Passive Mode）。,FTP工作过程（主动模式）,FTP连接被动模式,8.1 网络共享概述,FTP传输数据ASCII方式与二进制方式ASCII方式又称文本方式。

4、客户端连接FTP服务器时，可以指定使用哪种传输方式二进制方式的传输效率高，为提高效率，服务器通常会禁用ASCII方式，让数据传输只使用二进制方式匿名FTP匿名FTP允许任何用户访问FTP服务器匿名FTP登录的用户账户通常是anonymous或ftp，一般不需要密码，有的则是以电子邮件地址作为密码。用户FTP用户FTP就是已在FTP服务器上建立了特定账号的用户，必须以用户名和密码来登录。这种FTP应用存在一定的安全风险。通常使用SSL等安全连接来解决这个安全问题。,Linux的FTP解决方案vsftpd是一款开放源码软件，除了安全性以外，vsftpd还拥有完善的功能和突出的性能。wu-ftpd功

5、能十分强大，可以构建多种类型的FTP服务器。wu-ftpd支持3种登录方式，即匿名FTP、实际用户FTP和guest FTP（虚拟用户），其突出的优点是稳定性好。,8.2 NFS服务器,NFS概述NFS工作原理NFS采用客户/服务器工作模式（1）客户端向服务器端RPC（端口111）发出NFS文件访问功能的询问要求。（2）服务器端找到对应的已注册的NFS守护进程端口后，通知给客户端。（3）客户端了解正确的端口后，直接与NFS守护进程建立连接。NFS必需的系统守护进程rpc.nfsd：基本的NFS守护进程，主要功能是管理客户端是否能够登录服务器。rpc.mountd：RPC装载守护进程，主要功能是

6、管理NFS文件系统。portmap：主要用于端口映射，当客户端尝试连接并使用RPC服务器提供的服务（如NFS服务）时，portmap将所管理的与服务对应的端口号提供给客户端，从而使客户端可以通过该端口向服务器请求服务。虽然portmap只用于RPC，但它对NFS服务必不可少。,8.2 NFS服务器,安装NFS服务器NFS服务需要安装两个软件包nfs-utils（NFS主程序，提供rpc.nfsd和rpc.mountd守护进程）portmap（RPC主程序，提供端口映射功能）管理NFS服务NFS服务是通过nfs守护进程来实现的使用启动脚本/etc/init.d/nfs可实现该服务的基本管理，用法

8、us在启动或停止nfs和portmap这两种守护进程时要注意顺序，先启动portmap，后启动nfs；先停止nfs，后停止portmap。要让NFS服务随系统启动而自动加载，可以使用ntsysv或chkconfig命令设置pormap和nfs守护进程。,8.2 NFS服务器,配置NFS服务器关键是对主配置文件/etc/exports进行设置，NFS服务器启动时会自动读取该文件，决定要共享的文件系统和相关的存取权限/etc/exports文件格式/etc/exports相当于一个向NFS客户端发布的文件系统的访问控制列表，定义NFS系统的共享目录（输出目录）、访问权限和允许访问的主机等参数。#

9、共享目录客户端(选项)/projects*(rw)#共享目录客户端(选项)用通配符表示的客户端（选项）/home/testnfs 192.168.0.1(rw,sync)*(ro)/etc/exports文件包括若干行，每一行提供一个共享目录的设置，由共享路径、客户端列表以及针对客户端的选项构成，基本格式如下：共享路径客户端(选项1,选项2,)如果将同一目录共享给多个客户端，采用以下格式：共享路径客户端1(选项1,选项2,)客户端1(选项1,选项2,)共享路径与客户端之间、客户端彼此之间都使用空格分隔，但是客户端和选项是一体的，之间不能有空格，选项之间用逗号分隔。在配置文件中还可使用符

10、号“#”提供注释。如果有空行，将被忽略。,8.2 NFS服务器,配置NFS服务器在/etc/exports文件设置共享路径在/etc/exports文件设置客户端在/etc/exports文件设置选项选项用于对客户端的访问进行控制（权限参数）ro：对共享路径具有只读权限。这是默认设置。rw：对共享路径具有可读写权限。sync：数据同步写入到内存与硬盘当中。这是默认设置。async：数据会先暂存于内存当中，而非直接写入硬盘。root_squash：root用户使用共享路径时被映射成匿名用户（与匿名用户具有一样的权限）。这是默认设置。no_root_squash：root用户使用共享路径的权限同

11、root，这容易带来安全问题。all_squash：共享目录的用户和组都被映射为匿名用户，适合公用目录。not_all_squash：共享目录的用户和组维持不变，这是默认设置。secure：要求客户端通过1024以下的端口连接NFS服务器，这是默认设置。insecure：允许客户端通过1024以上的端口连接NFS服务器。wdelay：如果多个用户要写入NFS目录，则并到一起再写入，这是默认设置。no_wdelay：如果有写操作，则立即执行，当使用async时无需此设置。subtree_check：如果共享/usr/bin之类的子目录时，强制NFS检查父目录的权限，这是默认设置。no_subtr

12、ee_check：共享/usr/bin之类的子目录时不要求NFS检查父目录的权限。如果不指定任何选项时，将使用默认选项，默认的选项主要有sync、ro、root_squash、no_wdelay、subtree_check等。,8.2 NFS服务器,配置NFS服务器/etc/exports文件典型示例/home/public 192.168.0.0/24(rw)*(ro)表示192.168.0.0/24这个网段的客户端对共享目录/home/public有读写权限，其他所有客户端只具有只读权限。/master(rw)trusty(rw,no_root_squash)表示根目录允许master主机

13、读写访问；允许trusty主机读写，root用户拥有root权限。/projects proj*.local.domain(rw)表示网域local.domain中以proj打头的主机都可以访问/projects目录（支持通配符）。/pub(ro,insecure,all_squash)表示目录/pub允许所有匿名用户的只读访问，非常适合FTP。使用图形化界面配置NFS使用exportfs命令维护配置文件修改/etc/exports文件之后，直接使用exportfs命令即可重新加载配置。exportfs命令用于维护当前的NFS共享文件系统列表，该列表保存在单独的文件/var/lib/nfs/x

14、tab中。该命令语法格式为：exportfs 选项常用的选项-a：全部发布（或取消）/etc/exports文件中所设置的共享目录。-r：重新发布etc/exports配置的共享目录，同步更新/var/lib/nfs/xtab与etc/exports文件。-u：取消etc/exports中配置的共享目录。-v：发布共享目录，同时显示到屏幕。,8.2 NFS服务器,测试NFS服务器检查文件/var/lib/nfs/etabNFS服务器/var/lib/nfs/目录中有一个文件etab主要记录NFS共享目录的完整权限设定值通过查看/var/lib/nfs/etab文件来检查所共享的目录内容。使用

15、showmount命令测试NFS共享showmount命令用于显示NFS服务器的挂载信息，语法格式为：showmount 选项主机名|IP地址常用的选项-a或-all：以“主机:目录”格式来显示客户端主机名和挂载点目录。-d或-directories：仅显示被客户端挂载的目录名。-e或-exports：显示NFS服务器的共享目录列表,8.2 NFS服务器,配置和使用NFS客户端在客户端扫描可以使用的NFS共享目录在客户端挂载NFS文件系统之前，可以使用showmount命令来查看NF服务器上可共享的资源使用mount命令挂载和卸载NFS文件系统NFS文件系统的名称由文件所在的主机名加上被挂

16、载目录的路径名组成，两个部分通过冒号分开。首先创建挂载点目录，然后将NFS文件系统挂载到该挂载点。卸载NFS文件系统更为简单，使用umount命令像卸载普通文件系统进行卸载即可编辑/etc/fstab文件来挂载NFS文件系统在/etc/fstab文件中添加一行，声明NFS服务器的主机名或IP、要共享的目录，以及要挂载NFS共享的本地目录（挂载点/etc/fstab中关于NFS文件系统的挂载语法如下：NFS服务器名或IP地址:共享目录挂载点目录 nfs default 0 0,Samba基础,Samba是SMB Server的注册商标，是一种基于SMB协议的网络服务器软件，用于实现Window

17、s和Linux混合环境下的文件和打印共享。SMB就是服务信息快，是一种局域网资源共享的开放性协议，不仅提供文件和打印服务，还支持认证和权限设置等功能。,Samba工作原理,Samba整合了SMB协议和NetBIOS协议，运行于TCP/IP协议之上，使用NetBIOS名称解析，让Windows计算机可以通过“网上邻居”访问Linux计算机Samba是SMB在Linux/UNIX系统上的实现Samba采用客户/服务器工作模式，SMB服务器负责通过网络提供可用的共享资源给SMB客户机，服务器和客户机之间通过TCP/IP（或IPX、NetBEUI）进行连接，SMB工作在OSI会话层、表示层和部分应用层

18、，如图所示通过SMB协议实现资源共享，一是要识别NetBIOS名称来定位该服务器，二是根据服务器授予的权限访问可用的共享资源。Samba需要两个系统守护进程来支持。nmbd：进行NetBIOS名称解析，并提供浏览服务显示网络上的共享资源列表，主要使用UDP端口137/138来解析名称。smbd：管理Samba服务器上的共享目录、打印机等，主要是针对网络上的共享资源进行管理，主要使用TCP端口139/445协议来传输数据。,Samba文件和打印服务器,SMB协议体系结构,8.3 Samba服务器,Samba基础Samba服务器角色域控制器。这要求网络采用域模式进行集中管理，所有账户由域控制器统一

19、管理域成员服务器。这要求网络采用域模式进行集中管理，Samba服务器可以充当NT4类型的域成员服务器或者活动目录安全模式的域成员服务器，接受域控制的统一管理。独立服务器。工作在对等网络（工作组），Samba服务器作为不加入域的独立服务器，与其他计算机是一种对等关系,Samba安全模式,share：共享安全模式，用户无需提供用户名和密码即可访问Samba服务器资源，适用于公共的共享资源user：用户安全模式，用户必须提供合法的用户名和密码，通过身份验证才能访问Samba服务器资源server：服务器安全模式，与用户安全模式类似，但用户名和密码需要提交到另外一台Samba服务器进行验证domain

20、：域安全模式，Samba服务器作为域成员加入到Windows域环境中，验证工作由Windows域控制器负责ads：活动目录安全模式，Samba服务器具备域安全模式的所有功能，并可以作为域控制器加入到Windows域环境中。,Samba的功能与应用,文件和打印机共享：SMB进程实现资源共享，将文件和打印机发布到网络之中，以供用户访问。身份验证和权限设置：支持用户安全模式和域安全模式等的身份验证和权限设置模式，通过加密方式可以保护共享的文件和打印机。名称解析：可以作为NBNS（NetBIOS名称服务器）提供计算机名称解析服务，还可作为WINS服务器。浏览服务：局域网中Samba服务器可以成为本地主

21、浏览服务器（LMB），提供可用资源列表，当使用客户端访问Windows网上邻居时，会提供浏览列表，显示共享目录、打印机等资源。,8.3 Samba服务器,部署Samba服务器安装Samba软件包Samba软件包的主要组件包括samba、samba-common、samba-client、samba-swat和system-config-samba默认已经安装客户端软件和支持软件包，对于Samba服务器来说，还应安装SMB服务器软件包,管理Samba服务,Samba服务的守护进程名称为smb，执行以下命令来管理该服务：/etc/init.d/smb start|stop|restart|relo

22、ad|status|condrestart或 service smb start|stop|restart|status|condrestart可以使用ntsysv或chkconfig命令设置smb守护进程。,Samba服务器部署流程,（1）安装Samba服务器软件。（2）规划Samba共享资源和设置权限。（3）编辑主配置文件/etc/samba/smb.conf，指定需要共享的目录或打印机，并为它们设置共享权限。（4）设置Samba共享用户。（5）重新加载配置文件或重新启动SMB服务，使配置生效。（6）测试Samba服务器。（7）SMB客户端实际测试。,Samba服务器部署示例的实现目标,S

23、amba以独立服务器的形式部署。作为文件服务器，为Linux客户端和Windows客户端提供文件共享服务。将一个共享目录作为一个公共数据存储区，只有经过认证的用户才能读写文件，其中一个用户对该共享的所有文件具有所有权。让用户通过网络访问自己的主目录（Home Directories）。采用简单的用户安全模式。,Samba服务器目录及其文件权限设置,共享文件权限规划将目录/home/testsmb作为一个公共存储区，经过认证的用户才能在其中存储文件经过认证的用户都可以访问自己的主目录，但是自己的主目录不能让其他用户访问指定用户zhongxp作为公共存储区的所有者创建相应的Linux用户或组需要共

24、享Samba服务器资源的用户必须拥有相应的Linux用户账户考虑到文件权限，还要涉及到组如果没有相应账户，需要添加配置要共享的目录如果目录不存在，就需要创建目录修改该目录的所有者和所属组修改该目录的文件权限,相关命令的复习,创建一个名为testsmb的组groupadd testsmb增加一个名为zhongxp的账户useradd c“zhongxp”m g testsmb p zxp123 zhongxp,相关命令的复习,mkdir p/home/testsmb创建一个目录chown zhongxp:testsmb/home/testsmb修改目录所有者和所属组chmod u=rwx,g=r

25、wx,o=rwx/home/testsmb修改目录读写权限,Samba主配置文件示例,#=Global Settings（全局设置）=global workgroup=WORKGROUP server string=Samba Server security=user log file=/var/log/samba/%m.log username map=/etc/samba/smbusers,#=Share Definitions（共享定义）=homes comment=Home Directories validusers=%S read only=no browseable=no wri

26、table=yes public comment=DataShare path=home/testsmb force user=zhongxp force group=testsmb read only=no,Samba主配置文件,smb.conf文件格式smb.conf文件分成若干段（节）每一段由一个用方括号括起来的段名开始，包含若干参数设置，直到下一段开始。参数采用以下格式定义：参数名称=参数值段名和参数名称不区分大小写每行定义一个参数，如果需要续行，可在行尾加上“”符号。以“#”和“;”开头的行是注释行。,Samba服务器全局设置全局设置部分以global开头，包括一系列的参数，用于定

27、义整个Samba服务器的运行规则，对所有共享资源有效Samba服务器共享定义smb.conf文件的共享定义部分分为多个段，每段以共享名开头，定义一个共享项目参数设置针对的是该共享资源的设置，只对当前的共享资源起作用Samba变量smb.conf文件中可以使用变量（相当于宏）来简化参数定义,8.3 Samba服务器,编辑Samba主配置文件设置用户主目录共享每个Linux用户有一个独立的主目录，默认存放在home目录下可以为每一个Samba用户提供一个主目录，只有用户自身可以使用，这需要在smb.conf文件中定义特殊的共享目录homes，代码如下：homes comment=Home Dire

28、ctories browseable=no#不允许用户浏览目录 writable=yes#允许用户写入目录,使用命令testparm检测配置文件编辑smb.conf配置文件之后，在启用samba服务之前，可使用testparm程序校验smb.conf文件内容testparm/etc/samba/smb.conf如果检验正确，将列出已加载的服务，否则给出错误信息提示，报告不正确的参数和语法，便于管理员更正。最好每次修改smb.conf文件之后都用testparm命令进行检查。,配置Samba用户,添加Samba用户账户Samba用户账户不能直接建立，需要先建立同名的Linux系统账户，然后使用s

29、mbpasswd命令将Linux用户账户添加到smbpasswd文件中该命令的基本用法为：smbpasswd-a-x-d-e 用户名选项-a表示向/etc/samba/smbpasswd中添加用户选项-x表示从/etc/samba/smbpasswd中删除用户选项-d表示禁用某个Samba用户-e表示启用某个Samba用户,设置用户名映射Samba支持从客户端到服务器的用户名映射最常见的是将DOS/Windows用户映射到Linux用户，还有一种应用是将多个用户映射到同一个用户，便于他们共享文件Samba默认并不支持用户名映射，需要在Samba主配置文件中添加以下全局参数设置指定一个用户映射

30、文件：username map=/etc/samba/smbusers 映射文件（默认为/etc/samba/smbusers）每行包含一个等式，左边为一个Linux用户名，右边则是被映射的用户名列表,8.3 Samba服务器,监测Samba服务器使用smbclient命令检查Samba是否正常运行smbclient是Samba的Linux客户端软件，可用它列出服务器上的共享目录列表，检查Samba是否正常运行，一般执行以下命令smbclient-L localhost-U%使用smbstatus命令监视Samba连接smbstatus用于检查服务器当前有哪些Samba连接,管理Samba日志

31、文件日志文件存储着客户端访问Samba服务器的信息，以及Samba服务的错误提示信息等。Samba服务的日志文件默认存放在/var/log/samba目录中，Samba自动为每个连接到Samba服务器的计算机分别建立日志文件nmbd.log记录nmbd进程的解析信息smbd.log记录用户访问Samba服务器的问题，以及服务器本身的错误信息，可以通过该文件获得大部分Samba维护信息。,8.3 Samba服务器,Linux客户端访问Samba服务器使用smbclient工具访问共享资源smbclient用于在Linux计算机上访问服务器上的共享资源一般先使用smbclient查看服务器上有哪些

32、共享资源，基本用法为：smbclient-L/服务器主机名或IP地址-U 用户名然后使用smbclient访问服务器上指定的共享资源，基本用法为：smbclient/服务器主机名或IP地址/共享文件夹名-U 用户名使用mount命令将Samba共享资源挂载到本机Samba共享资源是一种CIFS格式的网络文件系统，也能用mount命令直接挂载mount-o username=用户名,password=密码/服务器/共享文件夹名挂载点可以加上选项“-t cifs”来指定文件系统格式卸载该文件系统更为简单，使用umount命令像卸载普通文件系统一样进行卸载使用Linux图形界面访问共享资源从

33、“位置”主菜单中选择“网络服务器”命令逐步定位到需要访问的共享资源,Windows客户端访问Samba服务器最简单的方法是使用“网上邻居”，查看工作组就能看到Samba服务器直接使用UNC路径（格式为服务器名或IP共享名）进行访问(开始-运行)通过映射网络驱动器来访问Samba共享资源,8.3 Samba服务器,Samba客户端访问控制通过安全模式对用户进行身份验证Samba服务器支持5种安全模式，除共享安全模式之外，其他安全模式都需要对访问的用户进行身份验证使用hosts allow和hosts deny参数限制客户端hosts allow参数设置允许访问的客户端hosts deny参数设置

34、禁止访问的客户端使用valid users参数实现用户审核设置valid users参数需要对访问该共享资源的用户进行审核，确定是否为有效用户,Samba客户端访问控制-续,使用writable和write list控制用户写入权限writable设置共享目录是否可写使用write list参数来设置对共享目录具有写入权限的用户或组列表使用Linux文件权限实现用户访问的最终控制Samba服务器所提供的共享目录的访问最终要受系统本身的文件权限限制通常将某用户和组指定为共享目录本身的所有者和所属组，为他们授予访问该目录所需的文件权限使用force user和force group参数将该用户和组

35、指定为访问该共享目录的默认用户和组,8.3 Samba服务器,共享安全模式的Samba服务器配置匿名只读文件服务器（1）创建Linxu用户账户，同时创建用户主目录（2）创建目录，设置其权限和所有者（3）将要共享的文件复制到共享目录（4）编辑Samba主配置文件（/etc/samba/smb.conf）（5）执行命令testparm测试配置文件（6）启动Samba服务（7）配置Windows客户端匿名读写文件服务器用户访问上例文件服务器只具有只读权限如果允许匿名写入，可以在此基础上进一步改进,8.4 Linux打印服务器,CUPS打印系统CUPS概念CUPS是用于从应用程序打印的软件，它将由应用

36、程序产生的页面描述语言转换为打印机可识别的信息，并将信息发送给打印机打印CUPS以IPP作为管理打印的基础。IPP支持网络打印。CUPS打印流程CUPS特点与传统UNIX打印方案相比，CUPS支持更多的打印机类型和配置选项，特别易于设置和使用CUPS的打印队列指向本地直接连接的打印机，也可以指向联网的打印机。不管打印队列指向哪里，对于用户和应用程序来说就是打印机,8.4 Linux打印服务器,CUPS配置工具图形化CUPS配置工具,8.4 Linux打印服务器,CUPS配置工具Web界面CUPS管理工具,8.4 Linux打印服务器,配置和管理本地打印机安装本地打印机,8.4 Linux打印服

37、务器,配置和管理本地打印机管理打印作业,8.4 Linux打印服务器,基于CUPS配置打印服务器将Linux本地打印机配置为网络打印机,8.4 Linux打印服务器,基于CUPS配置打印服务器配置Linux打印服务器客户端,8.4 Linux打印服务器,部署Samba打印服务器匿名共享打印服务器最简单的配置就是让用户匿名共享打印机，这主要用于以下两种场合。允许从一个位置打印到所有打印机。减少因许多用户访问有限数量的打印机造成的网络流量拥塞。共享Linux的CUPS打印机系统配置示范（1）首先在Linux服务器上安装本地打印机，确认安装Samba服务器。（2）配置主Samba配置smb.conf

38、，示例如下：global#全局配置 security=share load printers=yes printing=cups printcap name=cups printers#以下为共享定义 comment=All Printers path=/var/spool/samba browseable=no public=yes guest ok=yes use client driver=Yes printable=yes（3）启动Samba服务。（4）在服务器端使用smbclient命令检查Samba是否正常运行，打印机共享是否提供。（5）配置Windows客户端,8.4 Linux

39、打印服务器,部署Samba打印服务器要求用户验证的打印服务器修改主配置smb.confglobal security=users load printers=yes printing=cups printcap name=cups printers comment=All Printers path=/var/spool/samba browseable=no use client driver=yes printable=yes 将Windows用户映射到Samba用户,8.5 FTP服务器,部署vsftpd服务器安装vsftpd服务器测试vsftpd服务器使用FTP客户端FTP命令行工具是

41、立一个高性能的、安全的vsftpd服务器，需要对vsftpd进行定制，这是通过编辑配置文件来实现的,8.5 FTP服务器,vsftpd主配置文件vsftpd服务器的主配置文件为/etc/vsftpd/vsftpd.conf该文件是文本文件，指令行格式如下：选项=选项值“=”号两边不能留有空格或其他任何空白字符，左边所有的字符都被视作选项，右边所有字符都被视作选项值默认配置文件仅列出最基本的选项设置除主配置文件外，还可为特定用户设定个人配置文件通过命令行参数指定特定的配置文件路径名，来覆盖主配置文件的选项设置vsftpd软件包提供一些示例文件，示范Internet站点、以xinetd方式运行、虚

42、拟主机、虚拟用户的配置,8.5 FTP服务器,vsftpd基本配置设置vsftpd服务器运行方式将选项listen设置为YES，vsftpd作为独立的服务程序启动并监听和处理网络连接将选项listen设置为NO，vsftpd以xinetd方式启动，由xinetd服务监听网络，收到客户端连接FTP服务器的请求时再启动相应的服务程序设置vsftpd服务监听地址与控制端口设置PORT模式选项port_enable设置是否允许采用PORT模式，默认设置为YES选项connect_from_port_20设置PORT模式数据连接是否使用20端口设置PASV模式选项pasv_enable设置是否允许采用P

43、ASV模式设置数据传输模式（ASCII、二进制）设置性能选项 idle_session_out：设置会话空闲多长时间之后被强制断开，默认值为300，单位是秒data_connection_timeout：设置数据连接超时时间，默认值为300，单位是秒accept_timeout：设置客户端以PASV模式建立连接的超时时间，默认值为60秒connect_timeout：设置客户端响应PORT模式连接的超时时间，默认值为60秒max_clients：如果vsftpd采用独立方式运行，设置最大并发连接数max_per_ip：设置每个IP地址最大的并发连接数目，以限制主机占用过多的系统资源anon_m

44、ax_rate：设置匿名用户的最大数据传输速度，单位为字节/秒，默认为0，表示不限制local_max_rate：设定本地用户的最大数据传输速率，以字节/秒为单位，默认为0，表示不限制,8.5 FTP服务器,配置匿名访问设置匿名访问选项anonymous_enable：设置是否允许匿名登录ftp_username：设置匿名登录所使用的系统用户名no_anon_password：设置匿名用户登入时是否需要提供密码deny_email_enable：如果设置为YES，将拒绝匿名用户使用由banned_email_file选项指定的文件所提供的邮件地址作为密码进行登录banned_email_fil

45、e：配合deny_email_enable选项指定禁用邮件地址文件anon_root：设置匿名用户的主目录，匿名登录后将定位到此目录anon_world_readable_only：设置是否只允许匿名用户下载可阅读文档anon_uploades_enable：设置是否允许匿名用户上传文件anon_mkdir_write_enable：设置是否允许匿名用户创建新目录anon_other_write_enable：设置匿名用户是否拥有除上传和新建目录之外的其他权限chown_uploads：设置是否修改匿名用户上传文件的所有权chown_username：与chown_uploads选项配合使用，

46、设置拥有匿名用户上传文件所有权的用户,8.5 FTP服务器,配置匿名访问配置面向Internet的匿名FTP站点#独立模式listen=YESmax_clients=200max_per_ip=4#访问控制anonymous_enable=YES#禁止本地用户登录local_enable=NO#禁止修改文件系统write_enable=NO anon_upload_enable=NOanon_mkdir_write_enable=NOanon_other_write_enable=NO#安全设置anon_world_readable_only=YESconnect_from_port_20=Y

47、ES#隐藏文件所有者和组信息hide_ids=YES pasv_min_port=50000pasv_max_port=60000#特性设置xferlog_enable=YESascii_download_enable=NOasync_abor_enable=YES#性能设置#允许每个连接一个进程以提高性能one_process_model=YESidle_session_timeout=120data_connection_timeout=300accept_timeout=60connect_timeout=60#设置匿名用户最大传输率为50kB/sanon_max_rate=50000,

48、8.5 FTP服务器,配置FTP本地用户访问启用本地用户登录使用local_enable选项设置是否允许本地用户登录如果允许，/etc/passwd中的普通用户账户都可以登录FTP服务器配置用户主目录使用选项local_root来设置本地用户主目录，当本地用户登入时将进入此目录利用不同用户登录FTP服务器后FTP根目录不同的特点，可将用户的Web网站根目录与该用户的FTP站点目录设置为同一目录，便于用户利用FTP访问远程Web网站的目录和文件设置用户配置文件可以通过用户配置文件基于每用户定义配置选项在主配置文件中使用选项user_config_dir定义用户配置文件所在的目录，某用户的用户配置

49、文件为该目录下的同名文件，其选项设置与vsftpd.conf相同（1）在vsftpd.conf配置文件中设置用户配置文件所在的目录。（2）在vsftpd服务器上创建该目录。（3）在/etc/vsftpd_user_conf目录创建一个与用户名相同的文本文件。（4）在该文本文件中加入以下选项设置，并保存该文件local_max_rate=100000,8.5 FTP服务器,vsftpd安全设置用户访问控制userlist_enable：设置是否启用用户列表userlist_file：配置userlist_enable选项，设置用户列表文件userlist_deny：只有启用userlist_en

50、able选项，才需设置此选项目录访问控制默认情况下匿名用户会被锁定在默认的FTP目录中，而本地用户却可以访问到自己的FTP目录以外的内容出于安全的考虑，建议将本地用户也锁定在FTP目录中文件系统操作控制新增文件的权限控制anon_umask：设置匿名用户新增文件的默认权限掩码local_umask：设置本地用户新增文件的默认权限掩码file_open_mode：设置上传文件的权限客户端主机限制vsftpd也具备控制特定IP地址或主机名的客户端访问的功能，这需要借助Tcp_wrappers来实现,8.5 FTP服务器,配置FTP虚拟用户访问创建虚拟用户数据库需要使用PAM用户数据库来验证虚拟用户

展开阅读全文