CentOS 檔案傳輸共用安裝和配置--vsftp,samba

CentOS是linux中搭建伺服器比較推崇的系統，其是來自於Red Hat Enterprise Linux依照開源規定產生的，去除了那些非開源的軟體，可以說是對穩定性和成本考慮的較好的選擇。

雖然安全性對於伺服器來說是至關重要的，但是在下面我們的學習階段，我們僅以好用為主要指標，穿插的會說明哪些地方我們在真正運行時要考慮的安全問題。

安裝完系統，首先關閉SELinux，其是增強安全性的一項功能，會對初學者在學習過程中帶來不必要的麻煩，等後面入門了再慢慢研究也不遲。

設定檔案為：/etc/syscofig/selinux ，將SELINUX=enforcing改為SELINUX=disabled。

一、網路設定

網卡設定檔位置：/etc/sysconfig/network-scripts

普通網卡:ifcfg-eth0

無線網卡:ifcfg-wlan0

配置方法，分靜態IP和動態IP

自動擷取（DHCP）：

DEVICE=eth0TYPE=EthernetHWaddr 08:00:27:70:2A:32 //MAC地址UUID=273e13cd-70cf-4a90-b3b0-f515c79ec09bONBOOT=yesNM_CONTROLLED=noBOOTPROTO=dhcp

靜態IP：

DEVICE=eth0HWADDR=08:00:27:70:2A:32ONBOOT=yesIPADDR=192.168.1.106 //靜態IP地址BOOTPROTO=static //與dhcp相對，擷取協議，另設為none也行。NETMASK=255.255.255.0TYPE=EthernetGATEWAY=192.168.1.1DNS1=x.x.x.x   //根據實際改IPV6INIT=no //靜態IPV6

DNS的設定檔為:/etc/resolv.conf

網路服務管理命令：service network {start|stop|status|restart|reload|force-reload}

當然如果覺得檔案配置不容易操作的話，也可以安裝GUI的軟體：

sudo yum -y install setuptool ntsysv system-config-firewall-tui system-config-network-tui

運行setup開始圖形話配置。

PS：

1、 禁用ping命令，即ICMP協議:echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all  啟用改為0.

 2、單一網卡添加另一IP：ifconfig eth0:0 192.168.1.106 up //第三個IP為eth0:1

刪除：ip addr delete 192.168.1.106 dev eth0  //此法是動態添加，重啟網卡，配置失效

查看ip：ip addr show或ifconfig

靜態方法就是建立/etc/sysconfig/network-scripts/ifcfg-eth0:0

設定檔內容和ifcfg-eth0相僅，僅IPADDR處綁定的IP不同

3、雙網卡，到這裡應該知道，第二塊網卡叫eth1,設定檔為ifcfg-eth1，內容同eth0

如果想用雙網卡組建負載平衡的配置，則通過ifcfg-bond0來設定

//ifcfg-eth0DEVICE=eth0  //eth1設定檔設為eth1ONBOOT=yesBOOTPROTO=none //static 也行USERCTL=noMASTER=bond0 //配置交給bond0統一設定SLAVE=yes

//bond0DEVICE=bond0ONBOOT=yesIPADDR=192.168.1.105BOOTPROTO=noneNETMASK=255.255.255.0GATEWAY=192.168.1.1DNS1=x.x.x.x

// /etc/modprobe.confalias bond0 bondingoptions bond0 miimon=100 mode=1//miimon表示每100ms時間檢查網路一次//mode 有0:balance-rr 負載平衡1:active-backup 僅網卡工作，斷線自動切換2:balance-xor 容錯3:broadcast 所有網卡接收資料包

4、禁用IP6 （求大規模使用，禁用可提高網路效率）：

二、FTP

接下來是檔案分享權限設定與傳輸的內容，首先就是vftpd的安裝和配置

vsftpd(Very Secure FTP Daemon)

rpm -qa | grep vsftpd 查看安裝與否

安裝方法 ：yum install vsftpd -y

PS:這裡補充一句，Cetos的防火牆是通過iptables來配置的，可以管理開啟哪些連接埠，

開啟的查看命令是netstat -ntlp | grep xxx(可以是連接埠號碼也可以是程式名)

想偷懶service iptables stop關閉

加一條配置也簡單：/etc/sysconfig/iptables

加上兩條：

-A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT

service iptables restart

監聽是開始了，下面就開始設定vsftpd 了

給出我的設定檔：

anonymous_enable=YES//允許匿名登入，即不要求輸入密碼，其共用的檔案是/var/ftp/publocal_enable=YES // 允許使用者帳號登入，即共用的就是/home/使用者檔案夾chroot_local_user=YES//禁止使用者切換目錄，否則一個帳號可訪問其它使用者目錄listen=YESpam_service_name=vsftpduserlist_enable=YES  //黑名單設定，檔案為/etc/vsftpd/user_list裡tcp_wrappers=YES //YES表示限制IP，設定分別在兩個檔案中，/etc/hosts.deny和/etc/host.allow中local_max_rate=300000 限制上傳下載速度為300kuser_config_dir=/etc/vsftpd/limit//這個可以配置專門使用者的上傳下載速度，只要，在limit建立以使用者名稱的檔案，加上一句local_max_rate=500000。對該使用者特殊對待。idle_session_timeout=30 //30秒沒任何操作，自動斷線。

說明一句，這裡的注釋應為#號，這裡是為了讓內容緊湊些，所以不要複製粘貼，理解意思最好。

還有幾條配置補充一下，

pasv_enable=no //設定主要模式還是被動模式，如果是被動模式，看ftp用戶端是什麼形式。不過好像在瀏覽器裡用ftp訪問，還是要主動模式，但大部分用戶端還是被動模式。

listen_port=xx//修改監聽連接埠，注意防火牆處也要改

max_per_ip=3 //限制最多3個ip串連，其它等待

chroot_list_enables=YES //限制特定使用者不可以切換目錄，設定檔在/etc/vsftpd/chroot_list,與chroot_local_user所以使用者不可以切換目錄只能一個有效

SSL/TLS加密傳輸，個人覺得一般不必要。

需安裝openssl，方法不多說，rpm -qa查一下，沒裝的yum install

這裡要簡單介紹一下ssl，什麼是ssl（security socket layer）安全傳輸層，是位於HTTP和TCP協議中間的一層協議，至於為什麼要加這層協議，是因為HTTP是明文傳輸的，意味著如果資料包被截，資訊直接泄漏，所以加了這麼一層加密層。

認證（Certification Authority）:CA是認證的簽發機構。其

公開金鑰/私密金鑰：說白了一個是加密金鑰，一個是解密密鑰，即公開金鑰公開，用於加密，而想解析這個資訊只能通過私密金鑰，這也稱為非對稱式加密。

一般公開金鑰是附帶於數位憑證（ca），而根據數位簽章驗證該認證是否是當前server所執有。

其主要的原理就是通過認證和密鑰來完成，其過程如下

首先，Client向Server發送串連請求（https），Server接受資訊並返回自己的認證並附帶公開金鑰。

Client驗證認證是否是ca所頒發，然後利用公開金鑰加密自己的工作階段金鑰資訊，返回給Server

Server接收後用自己的私密金鑰來解密，得到並產生工作階段金鑰。然後雙方利用協商出的祕密金鑰加密通訊。

建立CA認證（未驗證）：

cd /etc/pki/tls/certs

sudo openssl req -x509 -nodes -newkey rsa:1024 -keyout vsftpd.pem -out vsftpd.pem

根據提示，填寫國家，公司，主機名稱，郵件等資訊，會在當前 檔案夾下產生 vsftpd.pem

sudo chmod 600 vsftpd.pem

在vsftpd.conf中添加下列幾行

rsa_cert_file=/etc/ki/tls/certs/vsftpd.pem

ssl_enable=YES

force_local_data_ssl=YES
force_local_logins_ssl=YES

結束後service vsftpd restart

service vsftpd {start|stop|restart|reload}

瀏覽器中想訪問：ftp:user:password@ip

三、samba檔案伺服器

samba是一個用於windows和linux之間共用檔案的，像建網路位置，傳傳文檔，電影還是不錯的，還能共用印表機。

安裝samba （rpm -qa|grep samba  yum -y install samba samba-client）

建立共用目錄:

mkdir share

chown nobody:nobody  share 共用許可權

samba設定檔：/etc/samba/smb.conf

   security = share //share表示匿名登入，即不需要帳號密碼登入，預設是user表示需要帳號密碼登入。passdb backend = tdbsam //如果上面是user，則需要，如果是share則注釋，加#     workgroup = WORKGROUP //表示使用者組，像windows中的使用者組，一般改為這個        server string = Samba Server Version %v //當你串連時顯示的資訊        netbios name = MyServer表示在windows上顯示的名稱，否則顯示ip。[share]comment=share folder//說明path= /home/share //共用資料夾路徑read only=no //可讀可寫guest ok=yes //支援訪客browseable=yes //可以瀏覽public=yes //如果是share，則加上這條，如果是user模式，則把這條注釋。#valid user=@aa //如果是user，且僅允許某些使用者訪問，則加上這條。

至於[printers] 共用列印，預設就行。

service smb start  //起動守護進程，核心服務

service nmb start  //像網域名稱解析

開啟防火牆（137，1398,139，445連接埠）

測試:testparm

在windows上輸入//IP就行，或在資源管理員-網路中會出現串連。

至於在linux上訪問可以通過smbclient 

smbclient -L //IP  顯示存在線上主機

smbclient //IP   如果是share，會出現輸入密碼，按斷行符號即可

smbclient //IP   -U username%passwd //如果是user模式，輸入使用者密碼登入

其它的看smbclient --help查看

對於user模式，samba v3版本後，採用資料庫代替

對於user模式，samba v3版本後，採用tdbsam資料庫代替檔案管理使用者，密碼。

命令：pdbedit -L(Lw/Lv) 列出使用者列表

            pdbedit -a xx 添加xx使用者   //先在系統裡通過ueradd 添加使用者，且在home內有使用者的主目錄。

            pdbedit  -x xx 刪除xx使用者

            pdbedit -c "[D]" -u xx 暫時停用xx使用者

             pdbedit -c "[]" -u xx 恢複xx使用者

對於Linux中的使用者，如果想將網際網路共用檔案夾掛載至某一目錄下，命令是

sudo mount -t cifs //IP/share  /mnt/ 

想圖形化管理的話可以試一試，SWAT-Samba WEB管理工具。

PS:部分內容引自《CentOS 6.x系統管理實戰寶典》