【笔记】Linux就该这么学-第十三课第十一、十二（上）章

    httpd服务程序的主要配置文件及存放位置

    服务目录  /etc/httpd
    主配置文件  /etc/httpd/conf/httpd.conf

    个人用户主页功能 /etc/httpd/conf.d/userdir.conf
    网站数据目录  /var/www/html
    访问日志  /var/log/httpd/access_log
    错误日志  /var/log/httpd/error_log

    vim /etc/httpd/conf/httpd.conf

    配置httpd服务程序时最常用的参数以及用途描述

    ServerRoot  服务目录
    ServerAdmin  管理员邮箱
    User  运行服务的用户
    Group  运行服务的用户组
    ServerName  网站服务器的域名
    DocumentRoot  网站数据目录
    Listen  监听的IP地址与端口号
    DirectoryIndex  默认的索引页页面
    ErrorLog  错误日志文件
    CustomLog 访问日志文件
    Timeout  网页超时时间，默认为300秒

 

    做任何配置变更都需要重启服务

    systemctl restart httpd

 

 

    SELinux安全子系统

    SELinux（Security-Enhanced Linux）是美国国家安全局在Linux开源社区的帮助下开发的一个强制访问控制（MAC，Mandatory Access Control）的安全子系统。RHEL 7系统使用SELinux技术的目的是为了让各个服务进程都受到约束，使其仅获取到本应获取的资源。

 

    SELinux服务有三种配置模式：

    enforcing：强制启用安全策略模式，将拦截服务的不合法请求。
    permissive：遇到服务越权访问时，只发出警告而不强制拦截。
    disabled：对于越权的行为不警告也不拦截。

 

    selinux配置文件所在

    vim /etc/selinux/config

    SELINUX=enforcing #这就是配置中的模式选择

    

    可使用命令查看当前SELinux当前模式

    getenforce  #就这么一个词

 

    有的时候一些服务出现问题，可能会是SELinux所导致的，如果确认是其导致的，可以用setenforce [0|1]命令修改SELinux当前的运行模式（0为禁用，1为启用）。注意，这种修改只是临时的，在系统重启后就会失效：

    setenforce 0   #将运行模式禁用

    getenforce    #再次查看SELinux运行模式

 

    semanage [选项] [文件]  用于管理SELinux的策略

    -l参数用于查询；
    -a参数用于添加；
    -m参数用于修改；
    -d参数用于删除。

 

    使用getsebool命令查询并过滤出所有与HTTP协议相关的安全策略。其中，off为禁止状态，on为允许状态

    getsebool -a | grep http

 

    使用setsebool修改SELinux策略中各条规则的布尔值。在setsebool命令后面加上-P参数，让修改后的SELinux策略规则永久生效且立即生效

    setsebool -P httpd_enable_homedirs=on

 

    登陆个人用户主页时，使用密码验证

    先使用htpasswd命令生成密码数据库。-c参数表示第一次生成；后面再分别添加密码数据库的存放文件，以及验证要用到的用户名称（该用户不必是系统中已有的本地账户）

    htpasswd -c /etc/httpd/passwd linuxprobe

 

    编辑个人用户主页功能的配置文件

[[email protected] ~]# vim /etc/httpd/conf.d/userdir.conf
27 #
28 # Control access to UserDir directories. The following is an example
29 # for a site where these directories are restricted to read-only.
30 #
31 <Directory "/home/*/public_html">
32 AllowOverride all
#刚刚生成出来的密码验证文件保存路径
33 authuserfile "/etc/httpd/passwd"
#当用户尝试访问个人用户网站时的提示信息
34 authname "My privately website"
35 authtype basic
#用户进行账户密码登录时需要验证的用户名称
36 require user linuxprobe
37 </Directory>
[[email protected] ~]# systemctl restart httpd

 

有些文件需要通过ls -ldZ 查看文件的权限，再由semanage修改权限后才能同权selinxu权限认证

    ls -ldZ 查看文件的 “安全上下文”

    semanage fcontext -a -t http_sys_content /home/wwwroot 修改目录安全上下文 （修改后进行生效，而非重启服务。只有服务配置文件被修改才重启服务）

    -a 修改

    -t 值

    

    restorecon -Rv /home/wwwroot 对编辑过的安全上下文进行“立刻生效”

    -R 递归

    -v 显示过程

 

 

虚拟网站主机功能

 

 

 

    FTP服务器是按照FTP协议在互联网上提供文件存储和访问服务的主机，FTP客户端则是向服务器发送连接请求，以建立数据传输链路的主机。

 

    FTP协议有下面两种工作模式：

    主动模式：FTP服务器主动向客户端发起连接请求。

    被动模式：FTP服务器等待客户端发起连接请求（FTP的默认工作模式）。

 

    vsftpd（very secure ftp daemon，非常安全的FTP守护进程）是一款运行在Linux操作系统上的FTP服务程序，不仅完全开源而且免费，此外，还具有很高的安全性、传输速度，以及支持虚拟用户验证等其他FTP服务程序不具备的特点。

    yum安装

    yum install vsftpd

 

    iptables防火墙管理工具默认禁止了FTP传输协议的端口号，因此在正式配置vsftpd服务程序之前，为了避免这些默认的防火墙策略“捣乱”，还需要清空iptables防火墙的默认策略，并把当前已经被清理的防火墙策略状态保存下来：

    iptables -F #清空iptables防火墙策略

    service iptables save #保存防火墙策略状态

 

    vsftpd服务程序的主配置文件（/etc/vsftpd/vsftpd.conf）内容总长度达到123行，但其中大多数参数在开头都添加了井号（#），grep命令后面添加-v参数，过滤并反选出没有包含井号（#）的参数行（即过滤掉所有的注释信息）

[[email protected] ~]# mv /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf_bak
[[email protected] ~]# grep -v "#" /etc/vsftpd/vsftpd.conf_bak > /etc/vsftpd/vsftpd.conf
[[email protected] ~]# cat /etc/vsftpd/vsftpd.conf
 

vsftpd服务程序常用的参数以及作用：

listen=[YES|NO] 是否以独立运行的方式监听服务
listen_address=IP地址 设置要监听的IP地址
listen_port=21 设置FTP服务的监听端口
download_enable＝[YES|NO] 是否允许下载文件
userlist_enable=[YES|NO]
userlist_deny=[YES|NO] 设置用户列表为“允许”还是“禁止”操作
max_clients=0 最大客户端连接数，0为不限制
max_per_ip=0 同一IP地址的最大连接数，0为不限制
anonymous_enable=[YES|NO] 是否允许匿名用户访问
anon_upload_enable=[YES|NO] 是否允许匿名用户上传文件
anon_umask=022 匿名用户上传文件的umask值
anon_root=/var/ftp 匿名用户的FTP根目录
anon_mkdir_write_enable=[YES|NO] 是否允许匿名用户创建目录
anon_other_write_enable=[YES|NO] 是否开放匿名用户的其他写入权限（包括重命名、删除等操作权限）
anon_max_rate=0 匿名用户的最大传输速率（字节/秒），0为不限制
local_enable=[YES|NO] 是否允许本地用户登录FTP
local_umask=022 本地用户上传文件的umask值
local_root=/var/ftp 本地用户的FTP根目录
chroot_local_user=[YES|NO] 是否将用户权限禁锢在FTP目录，以确保安全
local_max_rate=0 本地用户最大传输速率（字节/秒），0为不限制

 

    vsftpd作为更加安全的文件传输的服务程序，允许用户以三种认证模式登录到FTP服务器上

    匿名开放模式：是一种最不安全的认证模式，任何人都可以无需密码验证而直接登录到FTP服务器。
    本地用户模式：是通过Linux系统本地的账户密码信息进行认证的模式，相较于匿名开放模式更安全，而且配置起来也很简单。但是如果被黑客**了账户的信息，就可以畅通无阻地登录FTP服务器，从而完全控制整台服务器。
    虚拟用户模式：是这三种模式中最安全的一种认证模式，它需要为FTP服务单独建立用户数据库文件，虚拟出用来进行口令验证的账户信息，而这些账户信息在服务器系统中实际上是不存在的，仅供FTP服务程序进行认证使用。这样，即使黑客**了账户信息也无法登录服务器，从而有效降低了破坏范围和影响。

 

 

TFTP简单文件传输协议

    简单文件传输协议（Trivial File Transfer Protocol，TFTP）是一种基于UDP协议在客户端和服务器之间进行简单文件传输的协议。顾名思义，它提供不复杂、开销不大的文件传输服务（可将其当作FTP协议的简化版本）。

 

安装TFTP的软件包

yum install tftp-server tftp

 

安装TFTP软件包后，还需要在xinetd服务程序中将其开启，把默认的禁用（disable）参数修改为no

vim /etc/xinetd.d/tftp

disable    = no

 

 

重启xinetd服务并将它添加到系统的开机启动项中，以确保TFTP服务在系统重启后依然处于运行状态。考虑到有些系统的防火墙默认没有允许UDP协议的69端口，因此需要手动将该端口号加入到防火墙的允许策略中

systemctl restart xinetd

systemctl enable xinetd

firewall-cmd --permanent --add-port=69/udp

firewall-cmd --reload

 

TFTP的根目录为/var/lib/tftpboot

 tftp命令中可用的参数以及作用

? 帮助信息
put 上传文件
get 下载文件
verbose 显示详细的处理信息
status 显示当前的状态信息
binary 使用二进制进行传输
ascii 使用ASCII码进行传输
timeout 设置重传的超时时间
quit 退出

 

 

SAMBA文件共享服务

 

yum install samba

 

过滤samba配置文件并查看

mv /etc/samba/smb.conf /etc/samba/smb.conf.bak

cat /etc/samba/smb.conf.bak | grep -v "#" | grep -v ";" | grep -v "^$" > /etc/samba/smb.conf 

cat /etc/samba/smb.conf

 

Samba服务程序中的参数以及作用

[global] #全局参数。
    workgroup = MYGROUP #工作组名称
    server string = Samba Server Version %v #服务器介绍信息，参数%v为显示SMB版本号
    log file = /var/log/samba/log.%m #定义日志文件的存放位置与名称，参数%m为来访的主机名
    max log size = 50 #定义日志文件的最大容量为50KB
    security = user #安全验证的方式，总共有4种
    #share：来访主机无需验证口令；比较方便，但安全性很差
    #user：需验证来访主机提供的口令后才可以访问；提升了安全性
    #server：使用独立的远程主机验证来访主机提供的口令（集中管理账户）
    #domain：使用域控制器进行身份验证
    passdb backend = tdbsam #定义用户后台的类型，共有3种
    #smbpasswd：使用smbpasswd命令为系统用户设置Samba服务程序的密码
    #tdbsam：创建数据库文件并使用pdbedit命令建立Samba服务程序的用户
    #ldapsam：基于LDAP服务进行账户验证
    load printers = yes #设置在Samba服务启动时是否共享打印机设备
    cups options = raw #打印机的选项
[homes] #共享参数
    comment = Home Directories #描述信息
    browseable = no #指定共享信息是否在“网上邻居”中可见
    writable = yes #定义是否可以执行写入操作，与“read only”相反
[printers] #打印机共享参数
    comment = All Printers
    path = /var/spool/samba #共享文件的实际路径(重要)。
    browseable = no
    guest ok = no #是否所有人可见，等同于"public"参数。
    writable = no
    printable = yes

 

用于设置Samba服务程序的参数以及作用

[database] 共享名称为database
    comment = Do not arbitrarily modify the database file 警告用户不要随意修改数据库
    path = /home/database 共享目录为/home/database
    public = no 关闭“所有人可见”
    writable = yes 允许写入操作

 

pdbedit [选项] 账户  用于管理SMB服务程序的账户信息数据库

    -a 用户名 建立Samba用户

    -r 用户名 修改Samba用户
    -x 用户名 删除Samba用户
    -L 列出用户列表
    -Lv 列出用户详细信息的列表

 

设置SELinux服务与策略，使其允许通过Samba服务程序访问普通用户家目录

getsebool -a | grep samba

samba_enable_home_dirs --> off

 

setsebool -P samba_enable_home_dirs on

 

Samba服务程序的配置工作基本完毕。接下来重启smb服务（Samba服务程序在Linux系统中的名字为smb）并清空iptables防火墙

systemctl restart smb

systemctl enable smb

iptables -F   #清空Linux系统iptables防火墙的默认策略

service iptables save