userlist_enable=YES
userlist_file=/etc/vsftpd.user_list
把禁止登錄FTP的賬戶名寫入文件/etc/vsftpd.user_list中,一行一個賬戶名
[root@vm ~]vi /etc/vsftpd.user_list
root
bin
nobody
……
②設置vsftpd使用PAM模塊進行身份驗證,阻止實體用戶登錄FTP服務器。
指定禁止登錄賬戶的列表文件
[root@vm ~]vi /etc/pam.d/vsftpd
需要這一行
auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd.ftpusers onerr=succed
把需要禁止登錄FTP服務的賬戶名寫入/etc/vsftpd. ftpusers中
[root@vm ~]vi /etc/vsftpd. ftpusers
文件/etc/vsftpd. ftpusers的內容與/etc/vsftpd.user_list相同
(4)指定能使用FTP服務的實體用戶賬戶。
啟用並配置FTP相關配置參數項
[root@vm ~]vi /etc/vsftpd.conf
userlist_enable=YES
userlist_deny=NO
userlist_file=/etc/vsftpd.user_list
把允許使用FTP服務的賬戶名寫入/etc/vsftpd.user_list文件
huser1
huser2
……
(5)阻止指定的Email地址用於匿名登錄。
啟用阻止Email地址登錄功能
[root@vm ~]vi /etc/vsftpd.conf
deny_email_enable=YES
banned_email_file=/etc/vsftpd.banned_emails
把要阻止的Email地址寫入/etc/vsftpd.banned_emails文件
[root@vm ~]vi /etc/vsftpd.banned_emails
文件中郵箱用戶名與郵件服務器域之間的@用點“.”代替
ty1.21cn.com
nan.sina.com.cn
重新啟動FTP服務
[root@vm ~]service vsftpd restart
或
[root@vm ~]service xinetd restart
學藝錦囊
◎限製用戶登錄FTP涉及/etc/vsftpd.user_list和/etc/vsftpd. ftpusers兩個賬戶列表文件,它們內容相同,UID號小於500的係統賬戶都應寫入這兩個文件中。
◎匿名用戶的FTP默認主目錄是/var/ftp。
◎修改了FTP的配置參數後,必須重新啟動服務器後才能生效。
◎建議對於實體用戶,最好配置為默認實體用戶都不能登錄FTP服務器且限製在其主目錄中,然後根據需要開放相應的權限。
四、測試FTP服務器
在Windows中使用命令行工具ftp、IE瀏覽器或資源管理器都可以連接到FTP服務器進行文件傳輸和文件管理。
使用命令行工具ftp在Windows命令窗口的命令行上輸入並執行命令ftp -A ftp主機名或IP地址。
-A表示匿名訪問。
ftp>是ftp的提示符,輸入?可以查看ftp提供的命令。
使用IE瀏覽器連接到FTP服務器在地址欄輸入ftp://FTP服務器IP地址或主機名。
在資源管理器中管理FTP服務器上的文件在資源管理器中,可以用管理本地文件的方式來管理遠程FTP服務器上的文件。
任務二 實施Web服務器
Web服務是World Wide Web服務的簡稱,也稱為WWW服務。Web服務是互聯網上最廣泛使用的用於信息發布和共享的應用服務,是企業服務器中運行的最重要的服務之一。
在Linux係統中Web服務器主要是Apache,它為企業提供了廉價的Web服務解決方案。本任務要求讀者配置Apache實現Web基礎服務和安全要求,根據要求建立虛擬主機,然後測試Web服務器的工作。
任務準備
一、Web服務的工作過程
Web服務通過超文本技術把文字、圖像、聲音、視頻等多媒體信息通過互聯網傳遞到全世界每個角落。提供Web服務的服務器俗稱為網站服務器,網站實際上是一組采用HTML語言編寫的網頁文件的集合。
(1)Web服務器存儲有網站文檔並運行Web服務器軟件,如Apache。Web服務器采用HTTP協議,默認在80端口監聽來自網絡上客戶端的請求。
(2)用戶在客戶端計算機上啟動網站瀏覽器,如IE、Firefox等,在瀏覽器地址欄輸入Web服務器的主機地址來請求要訪問的Web服務器。
(3)Web服務器接收到請求後,通過HTTP協議向客戶機瀏覽器傳送網頁文檔數據。
(4)瀏覽器對收到的網頁文檔數據進行解釋執行,並以圖形方式顯示在客戶機屏幕上,供用戶查看。
學藝錦囊
◎URL是Uniform Resource Locator的簡稱,即統一資源定位器,它規定了在互聯網上定位網絡資源的標準地址格式:協議://主機地址[:端口][/目錄名|網頁文件名]。
◎在URL中協議可能是HTTP、FTP等,服務端口采用默認端口時可以省略,省略目錄名或網頁文件名時請求的是默認網頁,也就是網站的首頁。
◎一般隻需要在開始訪問一個網站時才需要在地址欄輸入網站的URL地址,請求網站首頁成功就隻需要單擊網頁上的超鏈接來請求網站其他的網頁或其他的網站。當前網頁的URL顯示在瀏覽器的地址欄內。
◎主機地址可以是IP地址,更多時候采用的是FQDN(Fully Qualified DomainName,完全合格域名)地址,采用後者必須在客戶機上正確設置DNS服務地址。
二、Apache服務器
Apache是在Linux平台上應用最廣泛的Web服務器,在MySQL和PHP的配置組合下可以實現功能強大的動態網站服務功能。它們是自由軟件,企業可以用最低的成本來構建信息發布和應用平台。
1.Apache的目錄結構
(1)/etc/httpd/conf/httpd.conf:Apache的主配置文件。
(2)/etc/httpd/conf.d/*.conf:輔助配置文件,必須以conf作為文件後綴名。Apache在啟動時會把/etc/httpd/conf.d目錄中的所有配置文件中的設置讀入到主配置文件中。
(3)/usr/lib/httpd/modules:存放Apache使用的程序模塊。
(4)/var/www/html:默認的網站根目錄。
(5)/var/www/error:服務出錯信息頁的存放目錄。
(6)/var/www/cgi-bin:存入CGI程序。
(7)/var/log/httpd:存放Apche的日誌文件。
(8)/usr/sbin/papchectl:Apche的執行腳本文件,簡化Apche的啟動。
(9)/ usr/sbin/httpd:Apche的執行文件。
(10)/usr/bin/htpasswd:用於生成認證網頁密碼的工具程序。
2.MySQL的目錄結構
(1)/etc/my.cnf:MySQL的配置文件。
(2)/var/lib/mysql:存放MySQL數據庫的目錄,很重要。
3.PHP的目錄結構
(1)/usr/lib/httpd/modules/libphp4.so:Apache支持PHP的模塊。
(2)/etc/httpd/conf.d/php.conf:使Apache支持PHP的配置文件。
(3)/etc/php.ini:PHP的配置文件。
(4)/etc/php.d/mysql.ini和/usr/lib/php4/mysql.so:提供PHP對MySQL的支持。
4.瀏覽權限設置
(1)權限處理策略。
Order deny,allow:優先處理deny規則,默認允許所有用戶訪問。
Order allow,deny:優先處理allow規則,默認禁止所有客戶訪問。
(2)權限規則。
allow IP地址|網絡|域名|all
deny IP地址|網絡|域名|all
例如:allow 172.39.5.111,allow 179.45.0.0/16,allow hws.com等,all代表所有。
5.在HTTP協議中定義的常見的網頁訪問行為
GET:客戶端請求從服務器獲得數據。
POST:客戶端發送網頁上的數據到服務器端。
HEAD:隻請求頁麵的頭部數據。
DELETE:請求服務器刪除指定的頁麵。
OPTIONS:允許客戶端查看服務器的性能。
MOVE:請求服務器將指定的頁麵移至另一個網絡地址。
COPY:請求服務器將指定的頁麵拷貝至另一個網絡地址。
LINK:請求服務器建立鏈接關係。
UNLINK:斷開鏈接關係。
任務實施
配置Apache實現Web基礎服務
Apache是在伊利諾大學的國家超級計算機中心開發的Web服務器httpd基礎上修改而來的,因此Apache的主配置文件是/etc/httpd/conf/httpd.conf,它包括3個部分:全局環境、主服務配置和虛擬主機。基礎配置包括設置根目錄、網頁文檔目錄、網站首頁、Web服務器主機名、客戶連接限製等。
1.配置全局參數
[root@vm ~]vi /etc/httpd/conf/httpd.conf
全局配置
向客戶端通告Web服務器的版本和操作係統信息,不告知則設置為Minor
ServerTokens OS
設置根目錄,ServerRoot用於指定配置文件、錯誤文件和日誌文件的存放目錄,是
整個目錄樹的根,其後的路徑不能以斜線結束
ServerRoot "/etc/httpd"
設置PID日誌文件,可以用於重新讀取設置文件等功能,該文件用的是相對路徑,
其絕對路徑是/etc/httpd/run/httpd.pid
PidFile run/httpd.pid
設置連接超時,當客戶機超過120秒還不能接入主機時,就作斷線處理
Timeout 120