码迷,mamicode.com
首页 > 其他好文 > 详细

网络文件共享整理(FTP,NFS,Samba)

时间:2017-12-02 21:06:15      阅读:242      评论:0      收藏:0      [点我收藏+]

标签:补充   idle   文件目录   var   主机名   pam认证   检查   空格   共享服务   

网络文件共享服务相关概念

DAS(Direct Access Storage—直接连接存储)是指将存储设备通过SCSI接口或光纤通道直接连接到一台计算机上。

NAS(Network Attached Storage)—网络连接存储,即将存储设备通过标准的网络拓扑结构(例如以太网),连接到一群计算机上。NAS是部件级的存储方法,它的重点在于帮助工作组和部门级机构解决迅速增加存储容量的需求。需要共享大型CAD文档的工程小组就是典型的例子。

SAN(Storage Area Network,存储区域网络)通过光纤通道连接到一群计算机上。在该网络中提供了多主机连接,但并非通过标准的网络拓扑。

技术分享图片

1.FTP

FTP基础概念和原理

File Transfer Protocol 早期的三个应用级协议之一

  • 基于C/S结构
  • 双通道协议:数据和命令连接
  • 数据传输格式:二进制(默认)和文本

两种模式:(从服务器角度

  • 主动(PORT style):服务器主动连接 命令(控制):客户端:随机port ---   服务器:tcp21 数据:客户端:随机port+1 ---服务器:tcp20
  • 被动(PASV style):客户端主动连接 命令(控制):客户端:随机port --     服务器:tcp21 数据:客户端:随机port+1 ---服务器:随机port

服务器被动模式数据端口示例: 227 Entering Passive Mode (192,168,175,138,224,59) 服务器数据端口为:224*256+59

FTP服务器: Wu-ftpd,Proftpd,Pureftpd,ServU,IIS,vsftpd:Very Secure FTP Daemon

vsftpd是CentOS默认FTP服务器 高速,稳定,下载速度是WU-FTP的两倍,单机最多可支持15000个并发,vsftpd程序包

客户端软件: ftp,lftp,lftpg et,wget,curl 

状态码:

  • 1XX:信息 125:数据连接打开
  • 2XX:成功类状态 200:命令OK 230:登录成功
  • 3XX:补充类 331:用户名OK
  • 4XX:客户端错误 425:不能打开数据连接
  • 5XX:服务器错误 530:不能登录

用户认证:

  • 匿名用户:ftp或anonymous,对应Linux用户ftp
  • 系统用户:Linux用户,用户/etc/passwd,密码/etc/shadow
  • 虚拟用户:特定服务的专用用户,独立的用户/密码文件

FTP配置文件详解

用户认证配置文件:/etc/pam.d/vsftpd

配置文件:/etc/vsftpd/vsftpd.conf (man 5 vsftpd.conf )格式:option=value 注意:=前后不要有空格

命令端口 listen_port=21
主动模式端口 connect_from_port_20=YES 主动模式端口为20    ftp_data_port=20 指定主动模式的端口
linux客户端默认使用被动模式 ,windows 客户端默认使用主动模式
pasv_min_port=6000 0为随机分配 pasv_max_port=6010
使用当地时间 use_localtime=YES 使用当地时间(默认为NO,使用GMT)
anonymous_enable=YES 支持匿名用户
no_anon_password=YES(默认NO) 匿名用户略过口令检查
anon_world_readable_only (默认YES)只能下载全部读的文件
anon_upload_enable=YES 匿名上传,注意:文件系统权限
anon_mkdir_write_enable=YES
anon_other_write_enable=YES 可删除和修改上传的文件
anon_umask=077 指定匿名上传umask 指定上传文件的默认的所有者和权限
chown_uploads=YES(默认NO)
chown_username=wang chown_upload_mode=0644
guest_enable=YES 所有系统用户都映射成guest用户
guest_username=ftp 配合上面选项才生效,指定guest用户 local_enable=YES 是否允许linux用户登录
write_enable-YES 允许linux用户上传文件
local_umask=022 指定系统用户上传文件的默认权限
local_root=/ftproot 非匿名用户登录所在目录

禁锢所有系统用户在家目录中 chroot_local_user=YES(默认NO,不禁锢)禁锢系统用户

禁锢或不禁锢特定的系统用户在家目录中,与上面设置功能相反

chroot_list_enable=YES

chroot_list_file=/etc/vsftpd/chroot_list

当chroot_local_user=YES时,则chroot_list中用户不禁锢 当chroot_local_user=NO时,则chroot_list中用户禁锢

登录提示信息:

ftpd_banner=“welcome to heiye ftp server"

banner_file=/etc/vsftpd/ftpbanner.txt 优先上面项生效

目录访问提示信息:

dirmessage_enable=YES (默认)

message_file=.message(默认)信息存放在指定目录下.message

使用pam(Pluggable Authentication Modules)完成用户认证:

传输参数调整:

技术分享图片
anon_max_rate=0 匿名用户的最大传输(速率字节/秒)
local_max_rate=0 本地用户的最大传输速率 
connect_timeout=60 主动模式数据连接超时时长(连接时间:秒为单位 )accept_timeout=60 被动模式数据连接超时时长
data_connection_timeout=300 数据连接无数据输超时时长
idle_session_timeout=60 无命令操作超时时长
ascii_upload_enable=YES(优先以文本方式传输)
ascii_download_enable=YES
View Code

配置FTP服务以非独立服务方运行:listen=NO,默认为独立方式 cat /etc/xinetd.d/vsftpd

service ftp {
  flags = REUSE
  socket_type = stream
  wait = no
  user = root
  server = /usr/sbin/vsftpd
  log_on_failure += USERID
  disable = no } 

FTP复杂功能实现

实现基于SSL的FTPS :

查看是否支持SSL ldd `which vsftpd` 支持可查看到libssl.so

创建自签名证书 cd /etc/pki/tls/certs/   && make vsftpd.pem openssl x509 -in vsftpd.pem -noout –text

配置vsftpd服务支持SSL:

/etc/vsftpd/vsftpd.conf ssl_enable=YES 启用

SSL allow_anon_ssl=NO 匿名不支持

SSL force_local_logins_ssl=YES 本地用户登录加密

force_local_data_ssl=YES 本地用户数据传输加密

rsa_cert_file=/etc/pki/tls/certs/vsftpd.pem

vsftpd虚拟用户 : 所有虚拟用户会统一映射为一个指定的系统帐号:访问共享位 置,即为此系统帐号的家目录 ,各虚拟用户可被赋予不同的访问权限,通过匿名用户的权限控 制参数进行指定

虚拟用户帐号的存储方式: 文件:编辑文本文件,此文件需要被编码为hash格式 (奇数行为用户名,偶数行为密码 )

实现基于文件验证的vsftpd虚拟用户

一、创建用户数据库文件

vim /etc/vsftpd/vusers.txt    (heiye   wangpass  \n  xiaoyao xiaoyaopass)
cd /etc/vsftpd/
db_load -T -t hash -f vusers.txt vusers.db
chmod 600 vusers.db  

二、创建用户和访问FTP目录 •

useradd -d /var/ftproot -s /sbin/nologin vuser
chmod +rx /var/ftproot/    
centos7 还需要执行以下操作:
chmod -w /var/ftproot/
mkdir /var/ftproot/upload
setfacl -m u:vuser:rwx /var/ftproot/upload

三、创建pam配置文件

vim /etc/pam.d/vsftpd.db

  • auth required pam_userdb.so db=/etc/vsftpd/vusers
  • account required pam_userdb.so db=/etc/vsftpd/vusers

四、指定pam配置文件

vim /etc/vsftpd/vsftpd.conf

  • guest_enable=YES
  • guest_username=vuser
  • pam_service_name=vsftpd.db

五、SELinux设置: 禁用SELinux 或者 setsebool -P ftpd_full_access 1

六、虚拟用户建立独立的配置文件

mdkir /etc/vsftpd/vusers.d/ 创建配置文件存放的路径

vim /etc/vsftpd/vsftpd.conf user_config_dir=/etc/vsftpd/vusers.d/

cd /etc/vsftpd/vusers.d/ 进入此目录

允许heiye用户可读写,其它用户只读

vim heiye 创建各用户自已的配置文件

  • anon_upload_enable=YES
  • anon_mkdir_write_enable=YES
  • anon_other_write_enable=YES

vim xiaoyao 创建各用户自已的配置文件local_root=/ftproot 登录目录改变至指定的目录

实现基于MYSQL验证的vsftpd虚拟用户:

一、安装所需要包和包组: 在数据库服务器上安装包,在FTP服务器上安装vsftpd和pam_mysql包,需手动编译安装的 :

yum -y groupinstall "Development Tools"

yum -y install mariadb-devel pam-devel vsftpd

下载pam_mysql-0.7RC1.tar.gz

./configure --with-mysql=/usr --with-pam=/usr --with-pam-mods-dir=/lib64/security  && make &&  make install

二、在数据库服务器上创建虚拟用户账号 

1.建立存储虚拟用户数据库和连接的数据库用户 mysql> CREATE DATABASE vsftpd; mysql> SHOW DATABASES;

  • ftp服务和mysql不在同一主机: mysql> GRANT SELECT ON vsftpd.* TO vsftpd@‘172.18.%.%‘ IDENTIFIED BY ‘centos‘;
  • ftp服务和mysql在同一主机: mysql> GRANT SELECT ON vsftpd.* TO vsftpd@localhost IDENTIFIED BY ‘heiye‘;

2.准备相关表

mysql> USE vsftpd;

mysql> CREATE TABLE users ( id INT AUTO_INCREMENT NOT NULL PRIMARY KEY, name CHAR(50) BINARY NOT NULL, password CHAR(48) BINARY NOT NULL );

3.添加虚拟用户

mysql>DESC users; mysql> INSERT INTO users(name,password) values(‘heiye‘,password(‘magedu‘));

mysql> INSERT INTO users(name,password) values(‘heiye‘,password(‘centos‘));

mysql> SELECT * FROM users;

三、在FTP服务器上配置vsftpd服务

1.在FTP服务器上建立pam认证所需文件 vi /etc/pam.d/vsftpd.mysql 添加如下两行

auth required pam_mysql.so user=vsftpd passwd=centos  host=mysqlserver db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2

account required pam_mysql.so user=vsftpd passwd=centos host=mysqlserver db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2

注意:crypt是加密方式,0表示不加密,1表示crypt(3)加密,2表示 使用mysql password()函数加密,3表示md5加密,4表示 sha1加密

配置字段说明

技术分享图片
• auth 表示认证
• account 验证账号密码正常使用
• required 表示认证要通过
• pam_mysql.so模块是默认的相对路径,是相对/lib64/security/路 径而言,也可以写绝对路径;后面为给此模块传递的参数
• user=vsftpd为登录mysql的用户
• passwd=magedu 登录mysql的的密码
• host=mysqlserver mysql服务器的主机名或ip地址
• db=vsftpd 指定连接msyql的数据库名称
• table=users 指定连接数据库中的表名
• usercolumn=name 当做用户名的字段
• passwdcolumn=password 当做用户名字段的密码
• crypt=2 密码的加密方式为mysql password()函数加密
View Code

2.建立相应用户和修改vsftpd配置文件,使其适应mysql认证 建立虚拟用户映射的系统用户及对应的目录

useradd -s /sbin/nologin -d /var/ftproot vuser
chmod 555 /var/ftproot(centos7 需除去ftp根目录的写权限 )
mkdir /var/ftproot/{upload,pub}
setfacl –m u:vuser:rwx /var/ftproot/upload
确保/etc/vsftpd.conf中已经启用了以下选项 anonymous_enable=YES
添加下面两项
guest_enable=YES
guest_username=vuser
修改下面一项,原系统用户无法登录
pam_service_name=vsftpd.mysql  

四、启动vsftpd服务

service vsftpd start
systemctl start vsftpd
chkconfig vsftpd on
systemctl enable vsftpd 

查看端口开启情况 netstat -tnlp |grep :21

五、Selinux相关设置:在FTP服务器上执行

restorecon -R /lib64/security
setsebool -P ftpd_connect_db 1
setsebool -P ftp_home_dir 1
chcon -R -t public_content_rw_t /var/ftproot/  

六、测试:利用FTP客户端工具,以虚拟用户登录验证结果

tail /var/log/secure

七、在FTP服务器上配置虚拟用户具有不同的访问权限

vsftpd可以在配置文件目录中为每个用户提供单独的配置文件以 定义其ftp服务访问权限,每个虚拟用户的配置文件名同虚拟用 户的用户名。配置文件目录可以是任意未使用目录,只需要在 vsftpd.conf指定其路径及名称即可

1、配置vsftpd为虚拟用户使用配置文件目录 vim /etc/vsftpd/vsftpd.conf 添加如下选项

user_config_dir=/etc/vsftpd/vusers_config

2、创建所需要目录,并为虚拟用户提供配置文件

mkdir /etc/vsftpd/vusers_config/
cd /etc/vsftpd/vusers_config/
touch xiaoyao  heiye 

3、配置虚拟用户的访问权限

虚拟用户对vsftpd服务的访问权限是通过匿名用户的相关指令进行的。如果需要让用户heiye具有上传文件的权限,可以修改/etc/vsftpd/vusers_config/wang文件,在里面添加如下选项并设置为YES即可,只读则设为NO 注意:需确保对应的映射用户对于文件系统有写权限

  • anon_upload_enable={YES|NO}
  • anon_mkdir_write_enable={YES|NO}
  • anon_other_write_enable={YES|NO}

 

网络文件共享整理(FTP,NFS,Samba)

标签:补充   idle   文件目录   var   主机名   pam认证   检查   空格   共享服务   

原文地址:http://www.cnblogs.com/heiye123/p/7955404.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!