Linux就该这么学
Linux就该这么学
  1. 第0章 咱们先来谈谈学习方法和红帽系统。
    1. 0.1 本书作者简介
    2. 0.2 学习是件苦差
    3. 0.3 开源共享精神
    4. 0.4 为什么学习Linux系统?
    5. 0.5 常见的Linux系统版本
    6. 0.6 优秀的RHEL7系统
    7. 0.7 了解红帽认证
    8. 0.8 感谢你们相信并选择我
  2. 第1章 部署虚拟环境安装linux系统。
    1. 1.1 准备您的工具
    2. 1.2 安装配置VM虚拟机
    3. 1.3 安装您的Linux系统
    4. 1.4 重置root用户密码
    5. 1.5 RPM红帽软件包
    6. 1.6 Yum软件仓库
    7. 1.7 Systemd初始化进程
  3. 第2章 新手必须掌握的Linux命令。
    1. 2.1 强大好用的SHELL
    2. 2.2 执行查看帮助命令
    3. 2.3 常用系统工作命令
    4. 2.4 系统状态检测命令
    5. 2.5 工作目录切换命令
    6. 2.6 文本文件编辑命令
    7. 2.7 文件目录管理命令
    8. 2.8 打包压缩与搜索命令
  4. 第3章 管道符、重定向与环境变量。
    1. 3.1 输入输出重定向
    2. 3.2 管道命令符
    3. 3.3 命令行的通配符
    4. 3.4 常用的转义字符
    5. 3.5 重要的环境变量
  5. 第4章 Vim编辑器与Shell命令脚本。
    1. 4.1 Vim文本编辑器
    2. 4.1.1 编写简单文档
    3. 4.1.2 配置主机名称
    4. 4.1.3 配置网卡信息
    5. 4.1.4 配置Yum仓库
    6. 4.2.1 编写简单的脚本
    7. 4.2.2 接收用户的参数
    8. 4.2.3 判断用户的参数
    9. 4.3.1 if条件测试语句
    10. 4.3.2 for条件循环语句
    11. 4.3.3 while条件循环语句
    12. 4.3.4 case条件测试语句
    13. 4.4 计划任务服务程序
  6. 第5章 用户身份与文件权限。
    1. 5.1 用户身份与能力
    2. 5.2 文件权限与归属
    3. 5.3 文件的特殊权限
    4. 5.4 文件的隐藏属性
    5. 5.5 文件访问控制列表
    6. 5.6 su命令与sudo服务
  7. 第6章 存储结构与磁盘划分。
    1. 6.1 一切从“/”开始
    2. 6.2 物理设备的命名规则
    3. 6.3 文件系统与数据资料
    4. 6.4 挂载硬件设备
    5. 6.5 添加硬盘设备
    6. 6.6 添加交换分区
    7. 6.7 磁盘容量配额
    8. 6.8 软硬方式链接
  8. 第7章 使用RAID与LVM磁盘阵列技术。
    1. 7.1 RAID磁盘冗余阵列
    2. 7.1.1 部署磁盘阵列
    3. 7.1.2 损坏磁盘阵列及修复
    4. 7.1.3 磁盘阵列+备份盘
    5. 7.2 LVM逻辑卷管理器
    6. 7.2.1 部署逻辑卷
    7. 7.2.2 扩容逻辑卷
    8. 7.2.3 缩小逻辑卷
    9. 7.2.4 逻辑卷快照
    10. 7.2.5 删除逻辑卷
  9. 第8章 Iptables与Firewalld防火墙。
    1. 8.1 防火墙管理工具
    2. 8.2 Iptables
    3. 8.2.1 策略与规则链
    4. 8.2.2 基本的命令参数
    5. 8.3 Firewalld
    6. 8.3.1 终端管理工具
    7. 8.3.2 图形管理工具
    8. 8.4 服务的访问控制列表
  10. 第9章 使用ssh服务管理远程主机。
    1. 9.1.1 配置网卡参数
    2. 9.1.2 创建网络会话
    3. 9.1.3 绑定两块网卡
    4. 9.2.1 配置sshd服务
    5. 9.2.2 安全密钥验证
    6. 9.2.3 远程传输命令
    7. 9.3 不间断会话服务
    8. 9.3.1 管理远程会话
    9. 9.3.2 会话共享功能
  11. 第10章 使用Apache服务部署静态网站。
    1. 10.1 网站服务程序
    2. 10.2 配置服务文件参数
    3. 10.3 SELinux安全子系统
    4. 10.4 个人用户主页功能
    5. 10.5 虚拟网站主机功能
    6. 10.5.1 基于IP地址
    7. 10.5.2 基于主机域名
    8. 10.5.3 基于端口号
    9. 10.6 Apache的访问控制
  12. 第11章 使用Vsftpd服务传输文件。
    1. 11.1 文件传输协议
    2. 11.2 Vsftpd服务程序
    3. 11.2.1 匿名访问模式
    4. 11.2.2 本地用户模式
    5. 11.2.3 虚拟用户模式
    6. 11.3 TFTP简单文件传输协议
  13. 第12章 使用Samba或NFS实现文件共享。
    1. 12.1 SAMBA文件共享服务
    2. 12.1.1 配置共享资源
    3. 12.1.2 Windows挂载共享
    4. 12.1.3 Linux挂载共享
    5. 12.2 NFS网络文件系统
    6. 12.3 AutoFs自动挂载服务
  14. 第13章 使用Bind提供域名解析服务。
    1. 13.1 DNS域名解析服务
    2. 13.2 安装Bind服务程序
    3. 13.2.1 正向解析实验
    4. 13.2.2 反向解析实验
    5. 13.3 部署从服务器
    6. 13.4 安全的加密传输
    7. 13.5 部署缓存服务器
    8. 13.6 分离解析技术
  15. 第14章 使用DHCP动态管理主机地址。
    1. 14.1 动态主机地址管理协议
    2. 14.2 部署dhcpd服务程序
    3. 14.3 自动管理IP地址
    4. 14.4 分配固定IP地址
  16. 第15章 使用Postfix与Dovecot部署邮件系统。
    1. 15.1 电子邮件系统
    2. 15.2.1 配置Postfix服务程序
    3. 15.2.2 配置Dovecot服务程序
    4. 15.3 设置用户别名邮箱
  17. 第16章 使用Squid部署代理缓存服务。
    1. 16.1 代理缓存服务
    2. 16.2 配置Squid服务程序
    3. 16.3.1 标准正向代理
    4. 16.3.2 ACL访问控制
    5. 16.3.3 透明正向代理
    6. 16.4 反向代理
  18. 第17章 使用iSCSI服务部署网络存储。
    1. 17.1 iSCSI技术介绍
    2. 17.2 创建RAID磁盘阵列
    3. 17.3 配置iSCSI服务端
    4. 17.4 配置Linux客户端
  19. 第18章 使用MariaDB数据库管理系统。
    1. 18.1 数据库管理系统
    2. 18.2 初始化mariaDB服务
    3. 18.3 管理用户以及授权
    4. 18.4 创建数据库与表单
    5. 18.5 管理表单及数据
    6. 18.6 数据库的备份及恢复
  20. 第19章 使用PXE+Kickstart无人值守安装服务。
    1. 19.1 无人值守系统
    2. 19.2.1 配置DHCP服务程序
    3. 19.2.2 配置TFTP服务程序
    4. 19.2.3 配置SYSLinux服务程序
    5. 19.2.4 配置VSFtpd服务程序
    6. 19.2.5 创建KickStart应答文件
    7. 19.3 自动部署客户机
  21. 第20章 使用LNMP架构部署动态网站环境。
    1. 20.1 源码包程序
    2. 20.2 LNMP动态网站架构
    3. 20.2.1 配置Mysql服务
    4. 20.2.2 配置Nginx服务
    5. 20.2.3 配置php服务
    6. 20.3 搭建Discuz论坛
    7. 20.4 选购服务器主机
阅读(3.5k) 书签 (0) 我要纠错

11.2.1 匿名访问模式

2022-05-31 15:40 更新

前文提到,在vsftpd服务程序中,匿名开放模式是最不安全的一种认证模式。任何人都可以无需密码验证而直接登录到FTP服务器。这种模式一般用来访问不重要的公开文件(在生产环境中尽量不要存放重要文件)。当然,如果采用第8章中介绍的防火墙管理工具(如Tcp_wrappers服务程序)将vsftpd服务程序允许访问的主机范围设置为企业内网,也可以提供基本的安全性。

vsftpd服务程序默认开启了匿名开放模式,我们需要做的就是开放匿名用户的上传、下载文件的权限,以及让匿名用户创建、删除、更名文件的权限。需要注意的是,针对匿名用户放开这些权限会带来潜在危险,我们只是为了在Linux系统中练习配置vsftpd服务程序而放开了这些权限,不建议在生产环境中如此行事。表11-2罗列了可以向匿名用户开放的权限参数以及作用。

表11-2 可以向匿名用户开放的权限参数以及作用

参数 作用
anonymous_enable=YES 允许匿名访问模式
anon_umask=022 匿名用户上传文件的umask值
anon_upload_enable=YES 允许匿名用户上传文件
anon_mkdir_write_enable=YES 允许匿名用户创建目录
anon_other_write_enable=YES 允许匿名用户修改目录名称或删除目录 

    [root@linuxprobe ~]# vim /etc/vsftpd/vsftpd.conf
    1 anonymous_enable=YES
    2 anon_umask=022
    3 anon_upload_enable=YES
    4 anon_mkdir_write_enable=YES
    5 anon_other_write_enable=YES
    6 local_enable=YES
    7 write_enable=YES
    8 local_umask=022
    9 dirmessage_enable=YES
    10 xferlog_enable=YES
    11 connect_from_port_20=YES
    12 xferlog_std_format=YES
    13 listen=NO
    14 listen_ipv6=YES
    15 pam_service_name=vsftpd
    16 userlist_enable=YES
    17 tcp_wrappers=YES

在vsftpd服务程序的主配置文件中正确填写参数,然后保存并退出。还需要重启vsftpd服务程序,让新的配置参数生效。在此需要提醒各位读者,在生产环境中或者在RHCSA、RHCE、RHCA认证考试中一定要把配置过的服务程序加入到开机启动项中,以保证服务器在重启后依然能够正常提供传输服务:

    [root@linuxprobe ~]# systemctl restart vsftpd
    [root@linuxprobe ~]# systemctl enable vsftpd
     ln -s '/usr/lib/systemd/system/vsftpd.service' '/etc/systemd/system/multi-user.target.wants/vsftpd.service

现在就可以在客户端执行ftp命令连接到远程的FTP服务器了。在vsftpd服务程序的匿名开放认证模式下,其账户统一为anonymous,密码为空。而且在连接到FTP服务器后,默认访问的是/var/ftp目录。我们可以切换到该目录下的pub目录中,然后尝试创建一个新的目录文件,以检验是否拥有写入权限:

    [root@linuxprobe ~]# ftp 192.168.10.10
    Connected to 192.168.10.10 (192.168.10.10).
    220 (vsFTPd 3.0.2)
    Name (192.168.10.10:root): anonymous
    331 Please specify the password.
    Password:此处敲击回车即可
    230 Login successful.
    Remote system type is UNIX.
    Using binary mode to transfer files.
    ftp> cd pub
    250 Directory successfully changed.
    ftp> mkdir files
    550 Permission denied.

系统显示拒绝创建目录!我们明明在前面清空了iptables防火墙策略,而且也在vsftpd服务程序的主配置文件中添加了允许匿名用户创建目录和写入文件的权限啊。建议大家先不要着急往下看,而是自己思考一下这个问题的解决办法,以锻炼您的Linux系统排错能力。

前文提到,在vsftpd服务程序的匿名开放认证模式下,默认访问的是/var/ftp目录。查看该目录的权限得知,只有root管理员才有写入权限。怪不得系统会拒绝操作呢!下面将目录的所有者身份改成系统账户ftp即可(该账户在系统中已经存在),这样应该可以了吧:

    [root@linuxprobe ~]# ls -ld /var/ftp/pub
    drwxr-xr-x. 3 root root 16 Jul 13 14:38 /var/ftp/pub
    [root@linuxprobe ~]# chown -Rf ftp /var/ftp/pub
    [root@linuxprobe ~]# ls -ld /var/ftp/pub
    drwxr-xr-x. 3 ftp root 16 Jul 13 14:38 /var/ftp/pub
    [root@linuxprobe ~]# ftp 192.168.10.10
    Connected to 192.168.10.10 (192.168.10.10).
    220 (vsFTPd 3.0.2)
    Name (192.168.10.10:root): anonymous
    331 Please specify the password.
    Password:此处敲击回车即可
    230 Login successful.
    Remote system type is UNIX.
    Using binary mode to transfer files.
    ftp> cd pub
    250 Directory successfully changed.
    ftp> mkdir files
    550 Create directory operation failed.

系统再次报错!尽管我们在使用ftp命令登入FTP服务器后,再创建目录时系统依然提示操作失败,但是报错信息却发生了变化。在没有写入权限时,系统提示“权限拒绝”(Permission denied)所以刘遄老师怀疑是权限的问题。但现在系统提示“创建目录的操作失败”(Create directory operation failed),想必各位读者也应该意识到是SELinux服务在“捣乱”了吧。

下面使用getsebool命令查看与FTP相关的SELinux域策略都有哪些:

    [root@linuxprobe ~]# getsebool -a | grep ftp
    ftp_home_dir --> off
    ftpd_anon_write --> off
    ftpd_connect_all_unreserved --> off
    ftpd_connect_db --> off
    ftpd_full_access --> off
    ftpd_use_cifs --> off
    ftpd_use_fusefs --> off
    ftpd_use_nfs --> off
    ftpd_use_passive_mode --> off
    httpd_can_connect_ftp --> off
    httpd_enable_ftp_server --> off
    sftpd_anon_write --> off
    sftpd_enable_homedirs --> off
    sftpd_full_access --> off
    sftpd_write_ssh_home --> off
    tftp_anon_write --> off
    tftp_home_dir --> off

我们可以根据经验(需要长期培养,别无它法)和策略的名称判断出是ftpd_full_access--> off策略规则导致了操作失败。接下来修改该策略规则,并且在设置时使用-P参数让修改过的策略永久生效,确保在服务器重启后依然能够顺利写入文件。

[root@linuxprobe ~]# setsebool -P ftpd_full_access=on

再次提醒各位读者,在进行下一次实验之前,一定记得将虚拟机还原到最初始的状态,以免多个实验相互产生冲突。

现在便可以顺利执行文件创建、修改及删除等操作了。

    [root@linuxprobe ~]# ftp 192.168.10.10
    Connected to 192.168.10.10 (192.168.10.10).
    220 (vsFTPd 3.0.2)
    Name (192.168.10.10:root): anonymous
    331 Please specify the password.
    Password:此处敲击回车即可
    230 Login successful.
    Remote system type is UNIX.
    Using binary mode to transfer files.
    ftp> cd pub
    250 Directory successfully changed.
    ftp> mkdir files
    257 "/pub/files" created
    ftp> rename files database
    350 Ready for RNTO.
    250 Rename successful.
    ftp> rmdir database
    250 Remove directory operation successful.
    ftp> exit
    221 Goodbye.
以上内容是否对您有帮助:
11.2 Vsftpd服务程序
11.2.2 本地用户模式

推荐文章

推荐教程

推荐课程

在线笔记
App下载
App下载

扫描二维码

下载编程狮App

公众号
微信公众号

编程狮公众号