Linux网络操作系统项目式教程（统信UOS）（微课版） 课件 张运嵩 项目8、9 部署文件共享服务、部署Web与Mail服务

项目8部署文件共享服务Linux网络服务器配置与管理（统信UOS版）任务11Samba服务概述部署Samba服务2Samba服务端配置3Samba客户端验证1Samba服务概述1Samba的由来Samba服务概述早期共享文件使用FTP服务，不能直接修改服务器上的文件FTP要求先把文件下载到本机，修改后再提交到服务器解决方案：Windows：通用网络文件系统（CommonInternetFileSystem，CIFS）UNIX：网络文件系统（NetworkFileSystem，NFS）1Samba工作原理Samba服务概述Samba基于NetBIOS协议，在小型局域网内部进行网络通信根据NetBIOS协议，主机必须有一个唯一的名字，即NetBIOSNameNetBIOS协议的通过包括两个步骤加入到相同的群组并登录对方主机根据拥有的权限访问共享资源Samba使用两个守护进程实现主机的通信nmbd：负责名称解析及文件浏览，工作在137,138/UDP端口smbd：提供文件和打印机共享及用户验证服务，工作在139,445/TCP端口1Samba联机模式－对等模式Samba服务概述各台主机之间没有主从关系，彼此独立每台主机都独立地管理自己的账号和密码在主机A上输入主机B的账号和密码，并交由主机B进行账户验证主机多了会有什么问题？1Samba联机模式－主控模式Samba服务概述所有主机的账号和密码都保存在主域控制器（PrimaryDomainController，PDC）上主域控制器进行用户验证，并根据验证结果给予用户适当的访问权限所有的验证操作都交给主域控制器2Samba服务端配置2Samba安装与启停Samba服务端配置软件名称：samba后台守护进程：smb[root@uosv20~]#yuminstallsamba-y //一键安装Samba[root@uosv20~]#rpm-qa|grepsamba //安装后再次查看samba-4.10.16-5.el7.x86_64samba-client-libs-4.10.16-5.el7.x86_64systemctlstart|stop|restart|status|enablesmb2Samba服务器的搭建步骤Samba服务端配置安装Samba软件配置Samba服务端创建共享目录添加Samba用户启动Samba服务在Samba客户端访问共享资源2Samba主配置文件－smb.confSamba服务端配置位于/etc/samba目录参数配置的基本格式是“参数名=参数值”以“#”开头的行表示注释以“;”开头的行表示Samba参数，可忽略[global]workgroup=SAMBAsecurity=user[homes]comment=HomeDirectoriesvalidusers=%S,%D%w%S2Samba主配置文件－全局参数Samba服务端配置全局参数的配置对整个Samba服务器有效“[global]”之后的部分表示全局参数Samba全局参数功能说明workgroup=工作组名称设置工作组名称，使用Samba服务的主机的工作组名称要相同netbiosname=NetBIOSName同一工作组内的主机拥有唯一的NetBIOSNameserverstring=服务器描述信息默认显示Samba版本，改为有实际意义的服务器描述信息interfaces=网络接口指定Samba监听哪些网络接口hostsallow=允许主机列表设置主机白名单，白名单里的主机可以访问Samba服务器资源hostsdeny=禁止主机列表设置主机黑名单，黑名单里的主机禁止访问Samba服务器资源logfile=日志文件名设置Samba服务器上日志文件的存储位置和日志文件名称maxlogsize=最大容量设置日志文件的最大容量，以KB为单位，值为0表示不做限制security=安全性级别设置Samba客户端的身份验证方式2Samba主配置文件－共享参数Samba服务端配置共享参数用来设置共享域的属性共享域的格式是“[共享名]”，表示共享资源对外显示的名称Samba共享参数功能说明comment共享目录的描述信息path共享目录的绝对路径browseable共享目录是否可以浏览public是否允许用户匿名访问共享目录readonly共享目录是否只读writable共享目录是否可写validusers允许访问Samba服务的用户和组invalidusers禁止访问Samba服务的用户和组readlist对共享目录只有读权限的用户和组writelist可以在共享目录内进行写操作的用户和组hostsallow允许访问该Samba服务器的主机IP或网络hostsdeny不允许访问该Samba服务器的主机IP或网络[docs]comment=PublicResourcepath=/ito/pubbrowseable=yeswritable=noadminusers=ssvalidusers=@ito2Samba主配置文件－参数变量Samba服务端配置参数变量就是“占位符”，会被实际的参数值取代Samba参数变量功能说明%S当前服务名%LSamba服务器的NetBIOSName%mSamba客户端的NetBIOSName%hSamba服务器的主机名（hostname）%MSamba客户端的主机名（hostname）%HSamba用户的主目录%ISamba客户端的IP地址%U当前连接Samba服务的用户名%g当前用户所属的用户组%D当前用户所属的域或工作组名称%TSamba服务器的日期与时间%vSamba服务器的版本[homes]comment=HomeDirectorybrowseable=nowritable=yesvalidusers=%S2添加Samba用户Samba服务端配置Samba用户必须对应一个同名的Linux系统用户先创建Linux用户，然后使用smbpasswd命令添加Samba用户[root@uosv20~]#useraddsmbuser[root@uosv20~]#passwdsmbuser新的密码：

重新输入新的密码：

passwd：所有的身份验证令牌已经成功更新。[root@uosv20~]#smbpasswd-asmbuserNewSMBpassword:RetypenewSMBpassword:Addedusersmbuser.smbpasswd[-axden][用户名]选项功能说明-a增加Samba用户并设置密码-x删除Samba用户-d冻结Samba用户-e解冻（恢复）Samba用户-n将Samba用户密码置空密码可以不同3Samba客户端验证3Linux客户端验证－smbclientSamba客户端验证yuminstallsamba-client-y[zys@smbcli~]$smbclient//00/docs-UzsuserEnterSAMBA\zsuser'spassword: <==输入zsuser的Samba密码smb:\>putfile1 <==上传测试文件smb:\>ls <==查看服务器中文件file1A0SunDec419:41:552022smb:\>quit <==退出交互环境3Windows客户端验证－方式一Samba客户端验证依次选择【开始】→【附件】→【运行】选项，弹出【运行】对话框，在【打开】文本框中输入Samba服务器的访问路径3Windows客户端验证－方式二Samba客户端验证右击桌面上的【计算机】图标，在弹出的快捷菜单中选择【映射网络驱动器】选项或者双击【计算机】图标，选择【工具】→【映射网络驱动器】选项。弹出【映射网络驱动器】对话框，输入Samba服务器共享资源的路径任务21NFS服务概述部署NFS服务2NFS服务端配置3NFS客户端验证1NFS服务概述1NFS服务概述NFS服务概述网络文件系统：NetworkFileSystem主流的异构平台共享文件系统，支持用户在不同的系统之间通过网络共享文件NFS服务器是文件资源的实际存放地，NFS客户端能够像访问本地资源一样访问NFS服务器中的文件资源提供透明文件访问以及文件传输服务能发挥数据集中的优势，降低NFS客户端的存储空间需求配置灵活，性能优异，能够根据不同的应用需要灵活调整2NFS服务端配置NFS安装与启停软件名称：nfs-utils后台守护进程：nfs[root@uosv20~]#yuminstallrpcbind-y //NFS依赖RPC服务[root@uosv20~]#yuminstallnfs-utils-y[root@uosv20~]#rpm-qa|grep-E'rpcbind|nfs-utils‘ //安装后检查nfs-utils-1.3.0-0.61.el7.x86_64rpcbind-0.2.0-47.el7.x86_64systemctlstart|stop|restart|status|enablenfs2NFS服务端配置2NFS主配置文件－/etc/exportsNFS服务端配置每一行代表一个共享目录，包括共享目录、客户端和选项3部分共享目录：用绝对路径表示的共享目录名客户端：一个或多个客户端，有多种表示方式选项：表示NFS服务器为NFS客户端提供的共享选项，也就是允许客户端以何种方式使用共享目录[root@uosv20~]#vim/etc/exports/datashare0(rw,sync,no_sub_tree)/24(ro)共享目录客户端1(选项1)客户端2(选项2)…客户端2(选项3)2NFS主配置文件－客户端表示方式NFS服务端配置客户端有多种表示方式，可以是单台主机的实际IP地址或IP网段，也可以是完整主机名或域名。其中，主机名还可以使用通配符客户端表示方式含义0指定IP地址对应的客户端/24指定IP网段下的所有客户端指定完整主机名对应的客户端*.指定域名下的所有客户端2NFS主配置文件－选项NFS服务端配置对于同一共享目录，可以为不同的客户端设定不同的共享选项多个共享选项用逗号进行分隔2NFS相关命令－exportfsNFS服务端配置使用exportfs命令在不重启服务的情况下应用新配置选项功能说明-a打开或取消所有目录共享-r重新读取/etc/exportfs文件中的配置并使其立即生效-v当共享或者取消共享时，输出详细信息-u取消一个或多个目录的共享exportfs[-arvu]2NFS相关命令－showmountNFS服务端配置显示NFS服务器文件系统的挂载信息选项功能说明-a显示连接到某NFS服务器的客户端主机名和挂载点目录-d仅显示被客户端挂载的目录名-e显示NFS服务器的共享目录清单showmount[-ade]3NFS客户端验证3NFS客户端验证NFS客户端验证手动挂载：使用mount命令，挂载NFS共享目录mount-tnfs00:/webdata/nfsdata自动挂载：修改/etc/fstab文件，挂载NFS共享目录00:/webdata/nfsdatanfsdefaults00任务31FTP服务概述部署FTP服务2FTP服务端配置3配置不同FTP用户1FTP服务概述1FTP服务简介FTP服务概述历史悠久，是应用最广泛的应用层协议运行于TCP之上，文件传输可靠，跨平台、跨系统采用客户机/服务器模式，上传和下载文件方便登录用户类型：匿名用户：没有对应的系统账户，可以访问公开的、没有版权和保密性要求的文件本地用户：实际存在的操作系统用户，以本地用户身份登录FTP服务器虚拟用户：可以使用FTP服务但不能登录操作系统，登录时被映射为实际的操作系统用户1FTP运行模式－主动模式FTP服务概述控制信道的发起方是FTP客户端，数据信道的发起方是FTP服务器容易受到防火墙和NAT的影响连接建立过程：客户端选择端口PortA与服务器的21端口建立TCP连接FTP客户端随机启用端口PortB，通过控制信道通知服务器采用主动模式，以及端口PortB服务器用20端口与客户端的PortB建立TCP连接1FTP运行模式－被动模式FTP服务概述控制信道的发起方是FTP客户端，数据信道的发起方也是FTP客户端客户端很可能不能使用被动模式与位于防火墙后方或内网的服务器建立数据连接连接建立过程：客户端选择PortA与服务器的21端口建立TCP连接客户端通过控制信道通知FTP服务器采用被动模式FTP服务器随机启用端口PortP，并通过控制信道将这个端口告知FTP客户端客户端随机使用PortB与服务器的PortP建立TCP连接2FTP服务端配置FTP安装与启停软件名称：vsftpd后台守护进程：vsftpd[root@uosv20~]#yuminstallvsftpd-y//安装vsftpd软件[root@uosv20~]#

rpm-qa|grepvsftpdvsftpd-3.0.2-28.el7.x86_64systemctlstart|stop|restart|status|enablevsftpd客户端软件名称：ftp[root@uosv20~]#yuminstallftp-y//安装ftp软件2FTP服务端配置2FTP服务主配置文件FTP服务端配置/etc/vsftpd/vsftpd.conf注释以“#”开头先对文件进行备份，然后过滤掉所有以“#”开头的行，只保留有效的行包含单行指令和配置段语法是“参数名=参数值”“=”前后不能有空格[root@uosv20~]#cd/etc/vsftpd[root@uosv20vsftpd]#

mvvsftpd.confvsftpd.conf.bak[root@uosv20vsftpd]#grep-v‘^#'vsftpd.conf.bak>vsftpd.conf[root@uosv20vsftpd]#catvsftpd.confanonymous_enable=YESlocal_enable=YESwrite_enable=YES2FTP全局参数FTP服务端配置全局参数对三种类型的登录用户都适用FTP全局参数功能说明listen指定FTP服务是否以独立方式运行，默认为NOlisten_address指定在独立方式下FTP服务的监听地址listen_port指定在独立方式下FTP服务的监听端口，默认是21max_clients指定最大的客户端连接数，值为0表示不限制max_per_ip指定同一IP地址可以发起的最大连接数，值为0表示不限制port_enable指定是否允许主动模式，默认为YESpasv_enable指定是否允许被动模式，默认为YESwrite_enable指定是否允许用户上传文件、新建目录、删除文件和目录等操作，默认为NOdownload_enable指定是否允许用户下载文件，默认为YESvsftpd_log_filevsftpd进程的日志文件，默认是/var/log/vsftpd.log3配置不同FTP用户3FTP用户登录－匿名用户配置不同FTP用户要特别注意控制匿名用户的访问权限和根目录匿名用户相关参数功能说明anonymous_enable是否允许匿名用户登录，默认为YESanon_root匿名用户登录后使用的根目录。这里的根目录是指匿名用户的主目录，而不是文件系统的根目录“/”ftp_username匿名用户登录后具有哪个用户的权限，默认是ftpno_anon_password如果设为YES，那么vsftpd服务不会向匿名用户询问密码。默认为NOanon_upload_enable是否允许匿名用户上传文件，默认为NOanon_mkdir_write_enable是否允许匿名用户创建目录anon_umask匿名用户上传文件时使用的umask值，默认为077anon_other_write_enable是否允许匿名用户执行除上传文件和创建目录之外的写操作。默认为NOanon_max_rate指定匿名用户的最大传输速率，单位是字节/秒，值为0表示不限制第1步：在FTP服务器上创建根目录，在根目录下新建测试文件file1.100例允许匿名用户登录，根目录是/var/anon_ftp，只能下载文件，不可以上传文件、创建目录，或删除和重命名文件等3配置不同FTP用户FTP用户登录－匿名用户[root@uosv20~]#mkdir-p/var/anon_ftp[root@uosv20~]#ls-ld/var/anon_ftpdrwxr-xr-x. 2 rootroot 6 12月520:13 /var/anon_ftp[root@uosv20~]#touch/var/anon_ftp/file1.100第2步：修改vsftpd主配置文件例允许匿名用户登录，根目录是/var/anon_ftp，只能下载文件，不可以上传文件、创建目录，或删除和重命名文件等3配置不同FTP用户FTP用户登录－匿名用户[root@uosv20~]#vim/etc/vsftpd/vsftpd.confanonymous_enable=YES <==允许匿名登录anon_root=/var/anon_ftp <==匿名用户根目录write_enable=NO <==全局参数，不允许写操作第3步：重启FTP服务，修改防火墙和SELinux设置第4步：登录FTP客户端，在/tmp目录中新建测试文件file1.110[zys@uosv20~]$cd/tmp[zys@uosv20tmp]$touchfile1.110[root@uosv20~]#vim/etc/vsftpd/vsftpd.confanonymous_enable=YES <==允许匿名登录anon_root=/var/anon_ftp <==匿名用户根目录write_enable=NO <==全局参数，不允许写操作第5步：在客户端使用ftp命令连接FTP服务器并查询服务器端测试文件例允许匿名用户登录，根目录是/var/anon_ftp，只能下载文件，不可以上传文件、创建目录，或删除和重命名文件等3配置不同FTP用户FTP用户登录－匿名用户[zys@uosv20tmp]$ftp00Name(00:zys):ftp<==输入匿名用户的登录身份Password:<==提示输入密码，这里直接按Enter键即可230Loginsuccessful. <==登录成功ftp>pwd<==查看当前工作目录257"/"ftp>ls<==使用ls命令查看文件-rw-r--r--100 0Dec0512:14 file1.100ftp>第6步：测试匿名用户的文件上传和下载权限。从服务器下载file1.100文件时操作成功，但上传file1.110文件时提示“550Permissiondenied”，即没有权限执行上传操作例允许匿名用户登录，根目录是/var/anon_ftp，只能下载文件，不可以上传文件、创建目录，或删除和重命名文件等3配置不同FTP用户FTP用户登录－匿名用户ftp>getfile1.100226Transfercomplete.ftp>putfile1.110550Permissiondenied.ftp>quit3FTP用户登录－本地用户配置不同FTP用户推荐的做法是允许本地用户使用FTP服务，但是不能登录操作系统，这样可以降低账号密码泄露带来的系统风险本地用户相关参数功能说明local_enable是否允许本地用户登录FTP服务器，默认为NOlocal_max_rate指定本地用户的最大传输速率，单位是字节/秒，值为0表示不限制。默认为0local_umask本地用户上传文件时使用的umask值，默认为077local_root本地用户登录后使用的根目录chroot_local_user是否将用户锁定在根目录，默认为NOchroot_list_enable指定是否启用chroot用户列表文件，默认为NOchroot_list_file用户列表文件。根据chroot_list_enable的设置，文件中的用户可能被chroot，也可能不被chroot3FTP用户登录－本地用户chroot配置不同FTP用户被chroot的用户登录FTP服务器后将被锁定在自己的根目录内chroot_local_user用来设置是否将用户锁定在根目录chroot_list_enable和chroot_list_file两个参数指定一个文件，文件中的用户作为默认设置的“例外”而存在。如果默认设置是锁定所有用户的根目录，那么文件中的用户将不被锁定，反之亦然

chroot_local_user=NOchroot_local_user=YESchroot_list_enable=NO所有用户都不被chroot所有用户都被chrootchroot_list_enable=YES所有用户都不被chroot。chroot_list_file文件指定的用户是例外，被chroot所有用户都被chroot。chroot_list_file文件指定的用户是例外，不被chroot第1步：确保系统中存在本地用户ss和zys。在FTP服务器中新建目录/siso/ito及两个测试文件例目录/siso/ito，管理员用户ss对目录有全部的读写权限，而且不被chroot。用户zys可以执行上传下载等操作，但是要被chroot3配置不同FTP用户FTP用户登录－本地用户[root@uosv20~]#idssuid=1237(ss)gid=1237(ss)组=1237(ss),1003(devteam1),1004(devteam2)[root@uosv20~]#

idzysuid=1000(zys)gid=1000(zys)组=1000(zys),1002(devteam)[root@uosv20~]#mkdir-p/siso/ito[root@uosv20~]#

ls-ld/siso/itodrwxr-xr-x. 2 rootroot40 12月520:37 /siso/ito[root@uosv20~]#touch/siso/ito/file2.100 //新建服务器端测试文件[root@uosv20~]#touch/siso/ito/file3.100第2步：修改主配置文件，设置两个的读写权限及chroot。重启FTP服务例目录/siso/ito，管理员用户ss对目录有全部的读写权限，而且不被chroot。用户zys可以执行上传下载等操作，但是要被chroot3配置不同FTP用户FTP用户登录－本地用户[root@uosv20~]#vim/etc/vsftpd/vsftpd.confwrite_enable=YES <==允许用户写入download_enable=YES<==允许用户下载local_enable=YES <==允许本地用户登录FTP服务器local_root=/siso/ito <==本地用户根目录chroot_local_user=YES<==所有用户默认被chrootchroot_list_enable=YES<==启用例外用户chroot_list_file=/etc/vsftpd/chroot_list <==例外用户列表文件[root@uosv20~]#systemctlrestartvsftpd第3步：新建例外用户列表文件/etc/vsftpd/chroot_list，添加用户ss例目录/siso/ito，管理员用户ss对目录有全部的读写权限，而且不被chroot。用户zys可以执行上传下载等操作，但是要被chroot3配置不同FTP用户FTP用户登录－本地用户[root@uosv20~]#vim/etc/vsftpd/chroot_listss<==只添加ss一个用户第4步：修改防火墙和SELinux设置第5步：在FTP客户端中新建测试文件file2.110和file3.110[zys@uosv20~]$cd/tmp[zys@uosv20tmp]$touchfile2.110file3.110第6步：在FTP客户端中使用用户zys登录FTP服务器，测试能否更改目录例目录/siso/ito，管理员用户ss对目录有全部的读写权限，而且不被chroot。用户zys可以执行上传下载等操作，但是要被chroot3配置不同FTP用户FTP用户登录－本地用户[zys@uosv20tmp]$ftp00Name(00:zys):zys <==输入用户名zysPassword: <==输入用户zys的密码230Loginsuccessful.ftp>pwd

<==查看当前目录257"/" <==即/siso/itoftp>cd/siso <==更改目录550Failedtochangedirectory. <==更改目录失败ftp>

ls

<==查看目录内容-rw-r--r--10 0 0 Nov2811:46 file2.100-rw-r--r--10 0 0 Nov2812:34 file3.100ftp>第7步：继续测试下载和上传操作。用户zys可以下载文件，但是上传文件时系统提示“553Couldnotcreatefile”，即无权限创建文件例目录/siso/ito，管理员用户ss对目录有全部的读写权限，而且不被chroot。用户zys可以执行上传下载等操作，但是要被chroot3配置不同FTP用户FTP用户登录－本地用户ftp>getfile2.100 <==下载文件226Transfercomplete.ftp>putfile2.110 <==上传文件553Couldnotcreatefile. <==上传文件失败ftp>quit

注意：一般从两个方面检查：一，检查主配置文件中是否开放了相应的权限二，检查FTP服务器的相应目录是否开放写权限第8步：在主配置文件中，已经设置为允许本地用户上传文件。但是/siso/ito目录权限是rwxr-xr-x，没有对zys开放写权限。可以直接赋予zys写权限，也可以修改/siso/ito目录的所有者和属组例目录/siso/ito，管理员用户ss对目录有全部的读写权限，而且不被chroot。用户zys可以执行上传下载等操作，但是要被chroot3配置不同FTP用户FTP用户登录－本地用户[root@uosv20~]#chmodo+w/siso/ito

//或chownzys/siso/ito[root@uosv20~]#

ls-ld/siso/itodrwxr-xrwx. 2 rootroot 4012月520:37 /siso/ito例目录/siso/ito，管理员用户ss对目录有全部的读写权限，而且不被chroot。用户zys可以执行上传下载等操作，但是要被chroot3配置不同FTP用户FTP用户登录－本地用户第9步：修改完之后继续测试，登录FTP服务器时出现新错误[zys@uosv20tmp]$ftp00Name(00:zys):zysPassword: 500OOPS:vsftpd:refusingtorunwithwritablerootinsidechroot()Loginfailed.421Servicenotavailable,remoteserverhasclosedconnectionftp>quit注意：如果用户被chroot，就不能再对主目录具有写权限例目录/siso/ito，管理员用户ss对目录有全部的读写权限，而且不被chroot。用户zys可以执行上传下载等操作，但是要被chroot3配置不同FTP用户FTP用户登录－本地用户第10步：在主配置文件中设置allow_writeable_chroot参数，重启FTP服务[root@uosv20~]#vim/etc/vsftpd/vsftpd.confallow_writeable_chroot=YES <==增加这一行，允许对主目录的写操作[root@uosv20~]#systemctlrestartvsftpd例目录/siso/ito，管理员用户ss对目录有全部的读写权限，而且不被chroot。用户zys可以执行上传下载等操作，但是要被chroot3配置不同FTP用户FTP用户登录－本地用户第11步：重新登录服务器，再次尝试上传文件，现在文件上传成功[zys@uosv20tmp]$

ftp00Name(00:zys):zysPassword:230

Loginsuccessful. <==登录成功ftp>putfile2.110226Transfercomplete. <==文件上传成功ftp>

ls-rw-r--r--1 0 0 0 Dec0512:37 file2.100-rw-r--r--1 1000 1000 0 Dec0513:00 file2.110-rw-r--r--1 0 0 0 Dec0512:37 file3.100ftp>quit例目录/siso/ito，管理员用户ss对目录有全部的读写权限，而且不被chroot。用户zys可以执行上传下载等操作，但是要被chroot3配置不同FTP用户FTP用户登录－本地用户第12步：在FTP客户端中使用用户ss进行以上测试[siso@localhosttmp]$ftp00Name(00:zys):ss<==输入用户名ssPassword: <==输入用户ss的密码ftp>

cd/siso <==更改目录250Directorysuccessfullychanged.<==目录更改成功ftp>cdito <==返回根目录250Directorysuccessfullychanged.ftp>getfile3.100 <==上传文件226Transfercomplete.ftp>

putfile3.110 <==下载文件226Transfercomplete.3FTP用户登录－虚拟用户配置不同FTP用户虚拟账户被映射为本地用户，默认情况下和匿名用户具有相同的权限可以为每个虚拟用户指定不同的配置文件，放在user_config_dir参数指定的目录下。自定义配置文件中的设置比主配置文件具有更高的优先级虚拟用户相关参数功能说明local_enable启用虚拟用户也要将此参数设为YES，默认为NOguest_enable启用虚拟账户功能，默认为NOguest_username虚拟账户对应的本地用户user_config_dir用户自定义配置文件所在目录virtual_use_local_privs指定虚拟账户是否和本地用户具有相同的权限，默认为NOanon_upload_enable允许虚拟用户上传文件时要将此参数设为YES，默认为NOpam_service_namevsftpd使用的PAM模块名例创建两个虚拟用户vuser1和vuser2，根目录分别为/siso/ito/pub和/var/ftp/vuser，分别映射到本地用户itopub和ftp；vuser1可以上传和下载文件，vuser2只能下载文件3配置不同FTP用户FTP用户登录－虚拟用户第1步：建立保存虚拟用户的账号和密码的文件，奇数行是用户名，偶数行是密码。然后使用db_load命令生成本地数据库文件[root@uosv20~]#cd/etc/vsftpd[root@uosv20vsftpd]#

vimvuser.pwdvuser1 <==奇数行是用户名123456 <==偶数行是密码vuser2abcdef[root@uosv20vsftpd]#db_load-T-thash-fvuser.pwdvuser.db[root@uosv20vsftpd]#chmod700vuser.db[root@uosv20vsftpd]#lsvuser*vuser.dbvuser.pwd例目录/siso/ito，管理员用户ss对目录有全部的读写权限，而且不被chroot。用户zys可以执行上传下载等操作，但是要被chroot。3配置不同FTP用户FTP用户登录－虚拟用户第2步：调用操作系统提供的PAM以使用第1步中生成的数据库文件对虚拟用户进行验证。修改vsftpd对应的PAM配置文件/etc/pam.d/vsftpd，将默认配置全部注释掉，添加以下内容[root@uosv20vsftpd]#vim/etc/pam.d/vsftpdauth required pam_userdb.so db=/etc/vsftpd/vuseraccount required pam_userdb.so db=/etc/vsftpd/vuser例目录/siso/ito，管理员用户ss对目录有全部的读写权限，而且不被chroot。用户zys可以执行上传下载等操作，但是要被chroot。3配置不同FTP用户FTP用户登录－虚拟用户第3步，创建vuser1的根目录和测试文件，并修改权限，新建vuser1的映射用户itopub[root@uosv20vsftpd]#mkdir-p/siso/ito/pub[root@uosv20vsftpd]#chmodo+w/siso/ito/pub[root@uosv20vsftpd]#ls-ld/siso/ito/pubdrwxr-xrwx. 2 rootroot612月521:19 /siso/ito/pub[root@uosv20vsftpd]#touch/siso/ito/pub/file4.100[root@uosv20vsftpd]#

useradditopub[root@uosv20vsftpd]#passwditopub[root@uosv20vsftpd]#mkdir-p/siso/ito/pub[root@uosv20vsftpd]#chmodo+w/siso/ito/pub[root@uosv20vsftpd]#ls-ld/siso/ito/pubdrwxr-xrwx. 2 rootroot612月521:19 /siso/ito/pub[root@uosv20vsftpd]#touch/siso/ito/pub/file4.100[root@uosv20vsftpd]#

useradditopub[root@uosv20vsftpd]#passwditopub例目录/siso/ito，管理员用户ss对目录有全部的读写权限，而且不被chroot。用户zys可以执行上传下载等操作，但是要被chroot。3配置不同FTP用户FTP用户登录－虚拟用户第4步，创建vuser2的根目录和测试文件，并修改权限[root@uosv20vsftpd]#mkdir-p/var/ftp/vuser[root@uosv20vsftpd]#chmodo+w/var/ftp/vuser[root@uosv20vsftpd]#ls-ld/var/ftp/vuserdrwxr-xrwx. 2 rootroot 612月521:21 /var/ftp/vuser[root@uosv20vsftpd]#touch/var/ftp/vuser/file5.100[root@uosv20vsftpd]#mkdir-p/var/ftp/vuser[root@uosv20vsftpd]#chmodo+w/var/ftp/vuser[root@uosv20vsftpd]#ls-ld/var/ftp/vuserdrwxr-xrwx. 2 rootroot 612月521:21 /var/ftp/vuser[root@uosv20vsftpd]#touch/var/ftp/vuser/file5.100[root@uosv20vsftpd]#mkdir-p/var/ftp/vuser[root@uosv20vsftpd]#chmodo+w/var/ftp/vuser[root@uosv20vsftpd]#ls-ld/var/ftp/vuserdrwxr-xrwx. 2 rootroot 612月521:21 /var/ftp/vuser[root@uosv20vsftpd]#touch/var/ftp/vuser/file5.100例目录/siso/ito，管理员用户ss对目录有全部的读写权限，而且不被chroot。用户zys可以执行上传下载等操作，但是要被chroot。3配置不同FTP用户FTP用户登录－虚拟用户第5步，修改vsftpd主配置文件，通过user_config_dir参数指定保存用户自定义配置文件的目录[root@uosv20vsftpd]#vim/etc/vsftpd/vsftpd.confanonymous_enable=NOlocal_enable=YESguest_enable=YESanon_upload_enable=NOallow_writeable_chroot=YESuser_config_dir=/etc/vsftpd/user_conf<==此目录要手动创建pam_service_name=vsftpd[root@uosv20vsftpd]#vim/etc/vsftpd/vsftpd.confanonymous_enable=NOlocal_enable=YESguest_enable=YESanon_upload_enable=NOallow_writeable_chroot=YESuser_config_dir=/etc/vsftpd/user_conf<==此目录要手动创建pam_service_name=vsftpd例目录/siso/ito，管理员用户ss对目录有全部的读写权限，而且不被chroot。用户zys可以执行上传下载等操作，但是要被chroot。3配置不同FTP用户FTP用户登录－虚拟用户第6步，创建上一步中指定的目录，同时为两个虚拟用户添加自定义配置文件，文件名和虚拟用户名相同[root@uosv20vsftpd]#mkdir/etc/vsftpd/user_conf[root@uosv20vsftpd]#vim/etc/vsftpd/user_conf/vuser1//文件名和虚拟用户名相同guest_username=itopubwrite_enable=YESanon_upload_enable=YESlocal_root=/siso/ito/pub[root@uosv20vsftpd]#vim/etc/vsftpd/user_conf/vuser2guest_username=ftpwrite_enable=NOlocal_root=/var/ftp/vuser例目录/siso/ito，管理员用户ss对目录有全部的读写权限，而且不被chroot。用户zys可以执行上传下载等操作，但是要被chroot。3配置不同FTP用户FTP用户登录－虚拟用户第7步，重启FTP服务，并且修改防火墙和SELinux设置[zys@uosv20~]$cd/tmp[zys@uosv20tmp]$touchfile4.110file5.110第8步，在FTP客户端中创建测试文件例目录/siso/ito，管理员用户ss对目录有全部的读写权限，而且不被chroot。用户zys可以执行上传下载等操作，但是要被chroot。3配置不同FTP用户FTP用户登录－虚拟用户第9步，在FTP客户端中使用vuser1登录服务器并测试下载和上传操作[zys@uosv20tmp]$ftp00Name(00:zys):vuser1

<==输入用户名vuser1Password:<==输入用户vuser1的密码123456230Loginsuccessful.ftp>ls-rw-r--r--1 00 0 Dec0513:20 file4.100ftp>getfile4.100

<==下载文件226Transfercomplete.ftp>putfile4.110 <==上传文件226Transfercomplete.ftp>quit例目录/siso/ito，管理员用户ss对目录有全部的读写权限，而且不被chroot。用户zys可以执行上传下载等操作，但是要被chroot。3配置不同FTP用户FTP用户登录－虚拟用户第10步，在FTP客户端中使用vuser2登录服务器并测试下载和上传操作[zys@uosv20tmp]$ftp00Name(00:zys):vuser2<==输入用户名vuser2Password:<==输入用户vuser2的密码abcdef230Loginsuccessful.ftp>ls-rw-r--r--1 000 Dec0513:21 file5.100ftp>getfile5.100<==下载文件226Transfercomplete.ftp>putfile5.110<==上传文件550Permissiondenied.ftp>quit谢谢项目9部署Web与Mail服务Linux网络服务器配置与管理（统信UOS版）任务11Web服务概述部署Web服务2Web服务端配置3配置虚拟主机1Web服务概述1Web服务简介Web服务概述当今人们获取和传播信息的主要方式之一Web服务提供的资源多种多样，可能是简单的文本，也可能是图片、音频和视频等多媒体数据常用的浏览器有谷歌公司的Chrome、InternetExplorer，以及Firefox等手机等移动设备成为Web服务的主要入口1Web服务工作过程Web服务概述客户机/服务器模式，运行于TCP协议之上工作过程连接过程：浏览器和Web服务器之间建立TCP连接请求过程：浏览器向Web服务器发出资源查询请求应答过程：Web服务器根据URL把相应的资源返回给浏览器，浏览器则以网页的形式把资源展示给用户关闭连接：应答过程完成以后，浏览器和Web服务器之间断开连接1Web相关技术－HTTPWeb服务概述超文本传输协议（HyperTextTransferProtocol，HTTP）：浏览器和Web服务器通信时所使用的应用层协议规定浏览器和Web服务器之间可以发送什么类型的消息、每种消息的语法和语义、收发消息的顺序等内容HTTP是一种无状态协议，即Web服务器不会保留与浏览器之间的会话状态。这种设计可以减轻Web服务器的处理负担，加快响应速度HTTP规范定义了9种请求方法，每种请求方法规定了浏览器和服务器之间不同的信息交换方式，最常用的请求方法是GET和POST1Web相关技术－HTMLWeb服务概述超文本标记语言（HypertextMarkupLanguage，HTML）：由一系列标签组成的一种描述性语言主要用来描述网页的内容和格式。网页上的不同内容，如文字，图形、动画、声音、表格、超链接等，都可以用HTML标签来表示“超文本”是一种组织和管理信息的方式，通过超链接将文本中的文字、图表与其他信息关联通过超文本这种方式可以将分散的资源整合在一起，方便用户浏览、检索信息2Web服务端配置Web安装与启停软件名称：httpd后台守护进程：httpd[root@uosv20~]#yuminstallhttpd-y //安装Apache软件[root@uosv20~]#yuminstallfirefox-y //安装Firefox浏览器[root@uosv20~]#rpm-qa|grephttpdhttpd-2.4.6-88.el7.centos.x86_64httpd-tools-2.4.6-88.el7.centos.x86_64systemctlstart|stop|restart|status|enablehttpd2Web服务端配置Web安装后验证在Firefox浏览器中输入2Web服务端配置2Web服务主配置文件Web服务端配置/etc/httpd/conf/httpd.conf安装后大部分说明行或空行注释以“#”开头配置前先对文件进行备份，过滤掉所有的说明行，只保留有效配置包含一些单行的指令和配置段指令的语法是“参数名参数值”配置段是用一对标签表示的选项[root@uosv20~]#cd/etc/httpd/conf[root@uosv20conf]#mvhttpd.confhttpd.conf.bak[root@uosv20conf]#grep-v‘^#'httpd.conf.bak>httpd.conf[root@uosv20conf]#cathttpd.confServerRoot"/etc/httpd"<==单行指令Listen80……<Directory/><==配置段AllowOverridenoneRequirealldenied</Directory>……DocumentRoot"/var/www/html"……2主配置文件参数Web服务端配置ServerRoot：设置Apache的服务目录，默认是/etc/httpdDocumentRoot：网站数据的根目录。一般来说，除了虚拟目录，Web服务器上存储的网站资源都在这个目录下，默认值是/var/www/htmlListen：指定Apache的监听IP地址和端口，默认工作端口是80User和Group：指定运行Apache服务的用户和组，默认都是apacheServerAdmin：指定网站管理员的邮箱ServerName：指定Apache服务器的主机名2主配置文件参数Web服务端配置ErrorLog：指定Apache的错误日志文件，默认是logs/error_logCustomLog：指定Apache的访问日志文件，默认是logs/access_logLogLevel：指定日志信息级别，也就是在日志文件中写入哪些日志信息TimeOut：网页超时时间。Web客户端在发送和接受数据时，如果连线时间超过这个时间，就自动断开连接，默认是300秒Directory：设置服务器上资源目录的路径、权限及其他相关属性DirectoryIndex：指定网站的首页，默认的首页文件是index.htmlMaxClients：指定网站的最大连接数，即Web服务器可以允许多少客户端同时连接3配置虚拟主机3虚拟主机概述配置虚拟主机主要功能：在一台物理主机上搭建多个网站减少搭建Web服务器的硬件投入，降低网站维护成本基于IP地址的虚拟主机：为Web服务器设置多个IP地址，通过IP地址访问网站基于域名的虚拟主机：为Web服务器设置多个域名，通过域名区分基于端口号的虚拟主机：虚拟主机之间通过不同的端口号区分3基于IP地址的虚拟主机配置虚拟主机第1步：为服务器分配两个IP地址[root@uosv20~]#vim/etc/sysconfig/network-scripts/ifcfg-ens33IPADDR0=00PREFIX0=24GATEWAY0=IPADDR1=01PREFIX1=24GATEWAY1=DNS1=00[root@uosv20~]#systemctlrestartnetwork为Web服务器分配两个IP地址，分别为00和01例3基于IP地址的虚拟主机配置虚拟主机第2步：为两台虚拟主机分别创建文档根目录和首页文件，并修改权限[root@uosv20~]#mkdir-p/siso/www1[root@uosv20~]#mkdir-p/siso/www2[root@uosv20~]#chmodo+rx/siso/www1[root@uosv20~]#chmodo+rx/siso/www2[root@uosv20~]#echo"we'renowinwww1'shomepage...">/siso/www1/index.html[root@uosv20~]#echo"we'renowinwww2'shomepage...">/siso/www2/index.html为Web服务器分配两个IP地址，分别为00和01例[root@uosv20~]#mkdir-p/siso/www1[root@uosv20~]#mkdir-p/siso/www2[root@uosv20~]#chmodo+rx/siso/www1[root@uosv20~]#chmodo+rx/siso/www2[root@uosv20~]#echo"we'renowinwww1'shomepage...">/siso/www1/index.html[root@uosv20~]#echo"we'renowinwww2'shomepage...">/siso/www2/index.html3基于IP地址的虚拟主机配置虚拟主机第3步：新建虚拟机配置文件，指定虚拟机文档根目录[root@uosv20~]#vim/etc/httpd/conf.d/vhost.conf<Virtualhost00>DocumentRoot/siso/www1<Directory/>AllowOverridenoneRequireallgranted</Directory></Virtualhost>

#第2台虚拟机类似为Web服务器分配两个IP地址，分别为00和01例3基于IP地址的虚拟主机配置虚拟主机第4步：重启Web服务，在浏览器中验证为Web服务器分配两个IP地址，分别为00和01例3基于域名的虚拟主机配置虚拟主机第1步：配置DNS服务，添加两个域名，重启DNS服务[root@uosv20~]#vim/var/named/www1 IN A 00www2 IN A 00[root@uosv20~]#systemctlrestartnamed例虚拟机IP地址为00，配置基于域名的虚拟主机，两个域名分别是

和第2步：为两台虚拟主机分别创建文档根目录和首页文件，并修改权限。与上例完全相同3基于域名的虚拟主机配置虚拟主机第3步：修改虚拟机配置文件相关内容[root@uosv20~]#vim/etc/httpd/conf.d/vhost.conf<Virtualhost00>DocumentRoot/siso/www1ServerName</Virtualhost>

<Virtualhost00>DocumentRoot/siso/www2ServerName</Virtualhost>例虚拟机IP地址为00，配置基于域名的虚拟主机，两个域名分别是

和3基于域名的虚拟主机配置虚拟主机第4步：重启Apache服务，检查防火墙和SELinux的设置，在浏览器中验证例虚拟机IP地址为00，配置基于域名的虚拟主机，两个域名分别是

和3基于端口的虚拟主机配置虚拟主机第1步：为两台虚拟主机分别创建文档根目录和首页文件、修改权限[root@uosv20~]#mkdir-p/siso/www8080[root@uosv20~]#mkdir-p/siso/www8090[root@uosv20~]#chmodo+rx/siso/www8080[root@uosv20~]#chmodo+rx/siso/www8090[root@uosv20~]#echo"www8080'shomepage...">/siso/www8080/index.html[root@uosv20~]#echo"www8090'shomepage...">/siso/www8090/index.html例虚拟机IP地址为00，配置基于端口的虚拟主机，端口分别是8080和8090，文档根目录分别是/siso/www8080和/siso/www8090第2步：在Apache主配置文件中，启用8080和8090两个监听端口[root@uosv20~]#vim/etc/httpd/conf/httpd.confListen8080Listen8090[root@uosv20~]#mkdir-p/siso/www8080[root@uosv20~]#mkdir-p/siso/www8090[root@uosv20~]#chmodo+rx/siso/www8080[root@uosv20~]#chmodo+rx/siso/www8090[root@uosv20~]#echo"www8080'shomepage...">/siso/www8080/index.html[root@uosv20~]#echo"www8090'shomepage...">/siso/www8090/index.html3基于端口的虚拟主机配置虚拟主机第3步：修改虚拟机配置文件相关内容[root@uosv20~]#vim/etc/httpd/conf.d/vhost.conf<Virtualhost00:8080>DocumentRoot/siso/www8080</Virtualhost>

<Virtualhost00:809