-----------------------------------------------------------------------------------------------------------------------------------------------
SAN:iSCSI(tcp/ip),FC SAN(光纤式传输网络存储),Block(块级别存储设备不建议多台同时挂载使用)
(2)SDS(Software Defined Storage),软件定义存储
1、File Transfer Protocol 早期的三个应用级协议之一
命令(控制):客户端:随机port ---服务器:tcp21
命令(控制):客户端:随机port ---服务器:tcp21
227 Entering Passive Mode (172,16,0,1,224,59)
匿名用户:ftp,anonymous,对应Linux用户ftp
系统用户:Linux用户,用户/etc/passwd,密码/etc/shadow
nsswitch:networkservice switch名称解析框架
pam:pluggableauthentication module 用户认证
/lib64/security /etc/pam.d/ /etc/pam.conf
4、服务脚本:/usr/lib/systemd/system/vsftpd.service
5、配置文件:/etc/vsftpd/vsftpd.conf
6、匿名用户(映射为系统用户ftp ,可认为是ftp用户在做)共享文件位置:/var/ftp
connect_from_port_20=YES 主动模式端口为20
ftp_data_port=20 (默认)指定主动模式的端口
use_localtime=YES 使用当地时间(默认为NO,使用GMT)
no_anon_password=YES(默认NO) 匿名用户略过口令检查anon_world_readable_only(默认YES)只能下载全部读的文件
anon_upload_enable=YES 匿名上传,注意:文件系统权限
anon_mkdir_write_enable=YES匿名建目录
anon_umask=0333 指定匿名上传文件的umask,默认077
anon_other_write_enable=YES 可删除和修改上传的文件
local_enable=YES 是否允许linux用户登录
write_enable=YES 允许linux用户上传文件
local_umask=022 指定系统用户上传文件的默认权限
guest_enable=YES 所有系统用户都映射成guest用户
guest_username=ftp 配合上面选项才生效,指定guest用户
local_root=/ftprootguest用户登录所在目录
chroot_local_user=YES(默认NO,不禁锢)禁锢系统用户
8、禁锢或不禁锢特定的系统用户在家目录中,与上面设置功能相反
chroot_list_file=/etc/vsftpd/chroot_list
当chroot_local_user=YES时,则chroot_list中用户不禁锢
当chroot_local_user=NO时,则chroot_list中用户禁锢
xferlog_enable=YES (默认)启用记录上传下载日志
xferlog_std_format=YES (默认)使用wu-ftp日志格式
xferlog_file=/var/log/xferlog(默认)可自动生成记录上传下载日志
dual_log_enable=YES 使用vsftpd日志格式,默认不启用
vsftpd_log_file=/var/log/vsftpd.log(默认)可自动生成
ftpd_banner=“welcometo mage ftp server"
banner_file=/etc/vsftpd/ftpbanner.txt 优先上面项生效
message_file=.message(默认)信息存放在指定目录下.message
13、使用pam(Pluggable Authentication Modules)完成用户认证
/etc/vsftpd/ftpusers默认文件中用户拒绝登录
userlist_deny=YES(默认值) 黑名单,不提示口令,NO为白名单
userlist_file=/etc/vsftpd/users_list 此为默认值
18、连接时间:秒为单位,如果网络延迟大,这些调整数值较大较好
connect_timeout=60 主动模式数据连接超时时长
accept_timeout=60 被动模式数据连接超时时长
data_connection_timeout=300 数据连接无数据输超时时长,数据连接空闲时长
idle_session_timeout=60 无命令操作超时时长
所有虚拟用户会统一映射为一个指定的系统帐号:访问共享位置,即为此系统帐号的家目录
各虚拟用户可被赋予不同的访问权限,通过匿名用户的权限控制参数进行指定
db_load -T -t hash -f vusers.txt vusers.db
/usr/share/doc/pam_mysql-0.7/README
db_load -T -t hash -f vusers.txt vusers.db ----->db工具
useradd vuser -d /var/ftproot-s /sbin/nologin
setfacl-m u:vuser:rwx /var/ftproot/upload
auth required pam_userdb.so db=/etc/vsftpd/vusers ------>此处不能带.db后缀
account required pam_userdb.so db=/etc/vsftpd/vusers
禁用SELinux或者setsebool -P ftpd_full_access1
(1)mdkir/etc/vsftpd/vusers.d/ 创建配置文件存放的路径
(2)vim /etc/vsftpd/vsftpd.conf
user_config_dir=/etc/vsftpd/vusers.d/
(3)cd /etc/vsftpd/vusers.d/ 进入此目录,systemctl restarted vsftpd重启服务,看是否依然可用
anon_upload_enable=YES ----->能上传权限
anon_mkdir_write_enable=YES ----->能写入权限
anon_other_write_enable=YES ----->能删除权限
local_root=/ftproot 登录目录改变至指定的目录
说明:本实验在两台CentOS主机上实现,一台做为FTP服务器,一台做数据库服务器
systemctlstart mariadb.service
yum -y groupinstall"Development Tools"
yum -y install mariadb-develpam-develvsftpd
tar xvfpam_mysql-0.7RC1.tar.gz
./configure --with-pam-mods-dir=/lib64/security --with-mysql=/usr--with-pam=/usr
mysql> CREATE DATABASE vsftpd;
mysql> GRANT SELECT ON vsftpd.* TO
vsftpd@'172.16.%.%' IDENTIFIED BY 'magedu';
mysql> GRANT SELECT ON vsftpd.* TO
vsftpd@localhostIDENTIFIED BY 'magedu';
mysql> GRANT SELECT ON vsftpd.* TO
vsftpd@'127.0.0.1' IDENTIFIED BY 'magedu';
id INT AUTO_INCREMENT NOT NULL PRIMARY KEY,
name CHAR(50) BINARY NOT NULL,
password CHAR(48) BINARY NOT NULL
mysql-uvsftpd-h mysqlserver-pmagedu
根据需要添加所需要的用户,为了安全应该使用PASSWORD函数加密其密码后存储
mysql> INSERT INTOusers(name,password) values(‘wang',password('magedu'));
mysql> INSERT INTOusers(name,password) values(‘mage',password('magedu'));
vi /etc/pam.d/vsftpd.mysql添加如下两行
<1>authrequired pam_mysql.so user=vsftpd passwd=magedu host=mysqlserver db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2
<2>account required pam_mysql.so user=vsftpd passwd=magedu host=mysqlserver db=vsftpd table=users usercolumn=name passwdcolumn=password crypt=2
crypt是加密方式,0表示不加密,1表示crypt(3)加密,2表示使用mysqlpassword()函数加密,3表示md5加密,4表示sha1加密
•pam_mysql.so模块是默认的相对路径,是相对/lib64/security/路径而言,也可以写绝对路径;后面为给此模块传递的参数
•host=mysqlservermysql服务器的主机名或ip地址
•passwdcolumn=password 当做用户名字段的密码
•crypt=2 密码的加密方式为mysqlpassword()函数加密
(2)建立相应用户和修改vsftpd配置文件,使其适应mysql认证
useradd -s /sbin/nologin -d /var/ftprootv user
chmod555 /var/ftprootcentos7 需除去ftp根目录的写权限
mkdir/var/ftproot/{upload,pub}
setfacl –m u:vuser:rwx /var/ftproot/upload
service vsftpdstart;systemctlstart vsftpd
chkconfigvsftpdon;systemctlenable vsftpd
chcon -R -t public_content_rw_t /var/ftproot/
vsftpd可以在配置文件目录中为每个用户提供单独的配置文件以定义其ftp服务访问权限,每个虚拟用户的配置文件名同虚拟用户的用户名。配置文件目录可以是任意未使用目录,只需要在vsftpd.conf指定其路径及名称即可
user_config_dir=/etc/vsftpd/vusers_config
mkdir/etc/vsftpd/vusers_config/
虚拟用户对vsftpd服务的访问权限是通过匿名用户的相关指令进行的。如要让用户wang具有上传文件的权限,可修改/etc/vsftpd/vusers_config/wang文件,在里面添加如下选项并设置为YES即可,只读则设为NO
anon_mkdir_write_enable={YES|NO}
anon_other_write_enable={YES|NO}
local_root=/ftproot登录目录改变至指定的目录
1、NFS:Network File System 网络文件系统,基于内核的文件系统。Sun公司开发,通过使用NFS,用户和程序可以像访问本地文件一样访问远端系统上的文件,基于RPC(Remote Procedure Call Protocol远程过程调用)实现
2、RPC采用C/S模式。客户机请求程序调用进程发送一个有进程参数的调用信息到服务进程,然后等待应答信息。在服务器端,进程保持睡眠状态(即阻塞)直到调用信息到达为止。当一个调用信息到达,服务器获得进程参数,计算结果,发送答复信息,然后等待下一个调用信息,最后,客户端调用进程接收答复信息,获得进程结果,然后调用执行继续进行
3、NFS优势:节省本地存储空间,将常用的数据,如home目录,存放在NFS服务器上且可以通过网络访问,本地终端将可减少自身存储空间的使用
端口:2049(nfsd), 其它端口由portmap(111)分配
配置文件:/etc/exports,/etc/exports.d/*.exports
CentOS7不支持同一目录同时用nfs和samba共享,因为使用锁机制不同
相关软件包:rpcbind(必须),tcp_wrappers
十三、配置防火墙(CentOS6需要配置,CentOS7不用配置)
2、防火墙除开放上述端口,还需开放TCP和UDP的111和2049共4个端口
/dir 主机1(opt1,opt2) 主机2(opt1,opt2)...
(5)wildcards:主机名通配,例如*.magedu.com,IP不可以通配
(6)netgroups:NIS域的主机组,@group_name,NIS:网络信息服务
(1)默认选项:(ro,sync,root_squash,no_all_squash),root_squash:压缩root用户权限
(4)sync(1.0.0后为默认)同步,数据在请求时立即写入共享
(5)no_all_squash(默认)保留共享文件的UID和GID
(6)all_squash所有远程用户(包括root)都变成nfsnobody,压缩所有用户
(7)root_squash(默认)远程root映射为nfsnobody,UID为65534,早期版本是4294967294 (nfsnobody)
(8)no_root_squash远程root映射成root用户,不压缩root用户
(9)anonuid和anongid指明匿名用户映射为特定用户UID和组GID,而非nfsnobody,可配合all_squash使用
/myshare server[0-20].example.com
/myshare 2000:472:18:b51:c32:a21
/myshare *.example.com172.25.0.0/16
/myshare desktop.example.com(ro)
/myshare desktop.example.com(ro) server[0-20].example.com(rw)
/myshare diskless.example.com(rw,no_root_squash)
NFSv4支持通过挂载NFS服务器的共享“根”,从而浏览NFS服务器上的共享目录列表
1、基于安全考虑,建议使用nosuid,nodev,noexec挂载选项
rsize和wsize一次读和写数据最大字节数,rsize=32768
mount -o rw,nosuid,fg,hard,intr172.16.0.1:/testdir/mnt/nfs/
172.16.0.1:/public /mnt/nfs nfs defaults 0 0
1、可使用autofs按需要挂载NFS共享,在空闲时自动卸载
3、系统管理器指定由/etc/auto.master自动挂载器守护进程控制的挂载点
6、为所有导出到网络中的NFS启用特殊匹配-host 至“browse”
1、SMB:Server Message Block服务器消息块,IBM发布,最早是DOS网络文件共享协议
2、Cifs:common internet file system,微软基于SMB发布
3、SAMBA:1991年Andrew Tridgell,实现windows和UNIX相通
samba-winbind和AD相关(AD:windows的AD域)
4、语法检查:testparm [-v] [/etc/samba/smb.conf]
1、smb.conf继承了.ini文件的格式,用[ ] 分成不同的部分
可加入host allow = 127. 172.20. ---->白名单
log file = /var/log/samba/log.%m
5、hosts allow 可用“,” ,空格,或tab分隔,默认允许所有主机访问,也可在每个共享独立配置,如在[global]设置,将应用并覆盖所有共享设置
IPv4 network/prefix: 172.25.0.0/24 IPv4前缀: 172.25.0.
IPv4 network/netmask: 172.25.0.0/255.255.255.0
以example.com后缀的主机名: .example.com
hosts allow = 172.25. .example.com
7、config file=/etc/samba/conf.d/%U 用户独立的配置文件
8、Log file=/var/log/samba/log.%m不同客户机采用不同日志
9、log level = 2 日志级别,默认为0,不记录日志
10、max log size=50 日志文件达到50K,将轮循rotate,单位KB
user:samba用户(采有linux用户,samba的独立口令)
domain:使用DC(DOMAINCONTROLLER)认证
12、passdb backend = tdbsam密码数据库格式
samba用户须是Linux用户,建议使用/sbin/nologin
/var/lib/samba/private/passdb.tdb
public 能否被guest访问的共享,默认no,和guest ok 类似
browsable是否允许所有用户浏览此共享,默认为yes,no为隐藏
read only=no 和writable=yes等价,如与以上设置冲突,放在后面的设置生效,默认只读
write list 三种形式:用户,@组名,+组名,用,分隔如writable=no,列表中用户或组可读写,不在列表中用户只读
valid users 特定用户才能访问该共享,如为空,将允许所有用户,用户名之间用空格分隔
1、UNC路径: Universal Naming Convention,通用命名规范
smbclient-L instructor.example.com
smbclient-L instructor.example.com -U wang
smbclient//instructor.example.com/shared -U wang
可以使用-U选项来指定用户%密码,或通过设置和导出USER和PASSWD环境变量来指定
mount -t cifs-o user=wang,password=magedu //server//shared /mnt/smb
(1)cat /etc/fstab可以用文件代替用户名和密码的输入
//server/homes /mnt cifs credentials=/etc/smb.txt 0 0
3、结合文件系统权限,可以实现自己可以读别人的文件,但只能修改删除自己的文件(粘滞键)