① centos怎麼上傳文件
使用Vsftpd服務傳輸文件。
你可以配置一個vsftpd服務,具體步驟參考如下:
[root@linuxprobe ~]# yum install vsftpd -y
Loaded plugins: langpacks, proct-id, subscription-manager
………………省略部分輸出信息………………
=
iptables防火牆管理工具中默認禁止了ftp傳輸協議的埠號,因此咱們在正式配置vsftpd服務程序前還需要清空一下iptables防火牆的默認策略,並將當前已經被清理的防火牆策略狀態保存下來:
[root@linuxprobe ~]# iptables -F
[root@linuxprobe ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ]
vsftpd服務程序的主配置文件(/etc/vsftpd/vsftpd.conf)中參數總共有123行左右,但大多數都是以#(井號)開頭的注釋信息,咱們可以用grep命令的-v參數來過濾並反選出沒有包含#(井號)的參數行,也就是把所有的注釋信息都過濾掉,這樣再通過輸出重定向符寫會到原始的主配置文件名稱中即可:
[root@linuxprobe ~]# mv /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf_bak
[root@linuxprobe ~]# grep -v "#" /etc/vsftpd/vsftpd.conf_bak > /etc/vsftpd/vsftpd.conf
[root@linuxprobe ~]# cat /etc/vsftpd/vsftpd.conf
anonymous_enable=YES
l
劉遄老師給同學們整理出了vsftpd服務程序的主配置文件中常用的參數及作用介紹,您現在只要簡單的瀏覽一下,接下來的實驗中如果不明白再過來查閱就可以。
編輯
參數 作用
listen=[YES|NO] 是否以獨立運行的方式監聽服務。
listen_address=IP地址 設置要監聽的IP地址。
listen_port=21 設置FTP服務的監聽埠。
download_enable=[YES|NO] 是否允許下載文件。
userlist_enable=[YES|NO]
userlist_deny=[YES|NO] 是否啟用「禁止登陸用戶名單」。
max_clients=0 最大客戶端連接數,0為不限制。
max_per_ip=0 同一IP地址最大連接數,0位不限制。
anonymous_enable=[YES|NO] 是否允許匿名用戶訪問。
anon_upload_enable=[YES|NO] 是否允許匿名用戶上傳文件。
anon_umask=022 匿名用戶上傳文件的umask值。
anon_root=/var/ftp 匿名用戶的FTP根目錄。
anon_mkdir_write_enable=[YES|NO] 是否允許匿名用戶創建目錄。
anon_other_write_enable=[YES|NO] 是否開放匿名用戶其他寫入許可權。
anon_max_rate=0 匿名用戶最大傳輸速率(位元組),0為不限制。
local_enable=[YES|NO] 是否允許本地用戶登陸FTP。
local_umask=022 本地用戶上傳文件的umask值。
local_root=/var/ftp 本地用戶的FTP根目錄。
chroot_local_user=[YES|NO] 是否將用戶許可權禁錮在FTP目錄,更加的安全。
local_max_rate=0 本地用戶最大傳輸速率(位元組),0為不限制。
11.2 Vsftpd服務程序
vsftpd作為更加安全的FTP文件傳輸協議的服務程序,可以讓用戶分別通過匿名開放、本地用戶和虛擬用戶三種身份驗證方式來登陸到FTP伺服器上面,匿名開放是一種最不安全的驗證模式,任何人都可以無需密碼驗證就登陸到FTP服務端主機,本地用戶是通過Linux系統本地的帳號密碼信息進行的驗證模式,這種模式相比較匿名開放模式來說比較安全,配置起來也十分簡單,不過如果被駭客暴力破解出FTP帳號信息,也就可以通過這個口令登陸到咱們的伺服器系統中了,從而完全控制整台伺服器主機,最後的虛擬用戶是相比較最為安全的驗證模式,需要為FTP傳輸服務單獨建立用戶資料庫文件,虛擬出用來口令驗證的帳戶信息,這些帳號是在伺服器系統中不存在的,僅供FTP傳輸服務做驗證使用,因此這樣即便駭客破解出了帳號口令密碼後也無法登錄到咱們的伺服器主機上面,有效的降低了破壞范圍和影響。
ftp命令是用來在命令行終端中對ftp傳輸服務進行控制連接的客戶端工具,咱們需要先手動的安裝一下這個ftp客戶端工具,以便於接下來的實驗中校驗效果:
[root@linuxprobe ~]# yum install ftp
Loaded plugins: langpacks, proct-id, subscription-manager
………………省略部分輸出信息………………
Installing:
ftp x86_64 0.17-66.el7 rhel 61 k
Transaction Summary
================================================================================
Install 1 Package
Total download size: 61 k
Installed size: 96 k
Is this ok [y/d/N]: y
Downloading packages:
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
Installing : ftp-0.17-66.el7.x86_64 1/1
Verifying : ftp-0.17-66.el7.x86_64 1/1
Installed:
ftp.x86_64 0:0.17-66.el7
Complete!
11.2.1 匿名訪問模式
vsftpd服務程序中匿名開放是一種最不安全的驗證模式,任何人都可以無需密碼驗證就登陸到FTP服務端主機,這種模式一般只用來保存不重要的公開文件,尤其是在生產環境中更要注意不放敏感文件,當然也非常推薦用咱們第八章中學習的防火牆管理工具(例如Tcp_wrappers)將vsftpd服務程序的允許訪問主機范圍設置為企業內網,這樣還算能夠保證基本的安全性。
vsftpd服務程序默認已經開啟了匿名訪問模式,咱們需要做的就是進一步允許匿名用戶的上傳、下載文件的許可權,以及讓匿名用戶能夠創建、刪除、更名文件的許可權,這些許可權對於匿名用戶來講非常的危險,咱們只是為了練習Linux系統中vsftpd服務程序的配置能力,十分不推薦在生產環境中使用,匿名用戶的許可權參數及介紹:
編輯
參數 作用
anonymous_enable=YES 允許匿名訪問模式。
anon_umask=022 匿名用戶上傳文件的umask值。
anon_upload_enable=YES 允許匿名用戶上傳文件
anon_mkdir_write_enable=YES 允許匿名用戶創建目錄
anon_other_write_enable=YES 允許匿名用戶修改目錄名或刪除目錄
[root@linuxprobe ~]# vim /etc/vsftpd/vsftpd.conf
anonymous_enable=YES
anon_umask=022
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=YES
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
確認參數填寫正確後保存並退出vsftpd服務程序的主配置文件,還需要重啟vsftpd服務程序來讓新的配置服務參數生效,並且同學們在生產環境中或者紅帽RHCSA、RHCE、RHCA認證考試中也請記得一定要把配置過的服務程序加入到開機啟動項中,以保證下次伺服器重啟後依然能夠為用戶正常提供ftp文件傳輸服務:
[root@linuxprobe ~]# systemctl restart vsftpd
[root@linuxprobe ~]# systemctl enable vsftpd
ln -s '/usr/lib/systemd/system/vsftpd.service' '/etc/systemd/system/multi-user.target.wants/vsftpd.service
這樣咱們就可以在客戶端上面使用ftp命令連接到遠程的FTP伺服器上面了,FTP服務的匿名開放模式的帳號統一為anonymous,密碼為空。匿名模式登陸到FTP伺服器後默認所在位置為/var/ftp目錄,咱們可以切換至裡面的pub目錄中,然後嘗試創建一個新的目錄文件來檢驗是否已經有了寫入許可權:
[root@linuxprobe ~]# ftp 192.168.10.10
Connected to 192.168.10.10 (192.168.10.10).
220 (vsFTPd 3.0.2)
Name (192.168.10.10:root): anonymous
331 Please specify the password.
Password:此處敲擊回車即可
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> cd pub
250 Directory successfully changed.
ftp> mkdir files
550 Permission denied.
剛剛咱們已經把iptables防火牆策略清空,而且也在vsftpd服務程序的主配置文件中添加了允許匿名用戶創建目錄和寫入文件的許可權,那麼為什麼還會被拒絕呢?建議同學們先不要往下面看,思考後用自己的方法嘗試解決下這個問題,長期這樣您的Linux系統排錯能力就一定會練出來的。
回想起前面操作的細節,咱們FTP服務的匿名開放模式是默認登陸到了/var/ftp目錄中,查看下這個目錄的許可權後才發現原來只有root管理員用戶才有寫入許可權的,怪不得會提示寫入出錯呢,咱們只需要把目錄的所有者身份改成系統帳戶ftp即可,這樣就應該可以了吧~
[root@linuxprobe ~]# ls -ld /var/ftp/pub
drwxr-xr-x. 3 root root 16 Jul 13 14:38 /var/ftp/pub
[root@linuxprobe ~]# chown -Rf ftp /var/ftp/pub
[root@linuxprobe ~]# ls -ld /var/ftp/pub
drwxr-xr-x. 3 ftp root 16 Jul 13 14:38 /var/ftp/pub
[root@linuxprobe ~]# ftp 192.168.10.10
Connected to 192.168.10.10 (192.168.10.10).
220 (vsFTPd 3.0.2)
Name (192.168.10.10:root): anonymous
331 Please specify the password.
Password:此處敲擊回車即可
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> cd pub
250 Directory successfully changed.
ftp> mkdir files
550 Create directory operation failed.
又報錯了!!此時再次使用ftp命令登入到FTP伺服器主機後依然會提示寫入操作失敗,但細心的同學一定發現報錯信息已經產生了變化,在剛剛沒有寫入許可權的時候提示說許可權拒絕(Permission denied.)所以咱們懷疑是許可權的問題,但現在是提示創建目錄的操作失敗(Create directory operation failed.)那麼咱們同學應該也能馬上意識到是SELinux服務在限制這個操作了吧,查看下所有與ftp相關的SELinux域策略有那些吧:
[root@linuxprobe ~]# getsebool -a | grep ftp
ftp_home_dir --> off
ftpd_anon_write --> off
ftpd_connect_all_unreserved --> off
ftpd_connect_db --> off
ftpd_full_access --> off
ftpd_use_cifs --> off
ftpd_use_fusefs --> off
ftpd_use_nfs --> off
ftpd_use_passive_mode --> off
httpd_can_connect_ftp --> off
httpd_enable_ftp_server --> off
sftpd_anon_write --> off
sftpd_enable_homedirs --> off
sftpd_full_access --> off
sftpd_write_ssh_home --> off
tftp_anon_write --> off
tftp_home_dir --> off
根據策略的名稱和經驗可以猜測出是哪一條規則策略,咱們在設置的時候請記得使用-P參數來讓配置過的策略永久生效,保證在伺服器重啟後依然能夠順利寫入文件,咱們可以分別嘗試下創建目錄文件、對文件進行改名以及刪除目錄文件等等操作。最後,恭喜同學們完成了這個實驗課程,建議您在進行一次實驗課程前還原虛擬機到最初始的狀態,以免多個配置參數之間產生沖突。
[root@linuxprobe ~]# setsebool -P ftpd_full_access=on
[root@linuxprobe ~]# ftp 192.168.10.10
Connected to 192.168.10.10 (192.168.10.10).
220 (vsFTPd 3.0.2)
Name (192.168.10.10:root): anonymous
331 Please specify the password.
Password:此處敲擊回車即可
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> cd pub
250 Directory successfully changed.
ftp> mkdir files
257 "/pub/files" created
ftp> rename files database
350 Ready for RNTO.
250 Rename successful.
ftp> rmdir database
250 Remove directory operation successful.
ftp> exit
221 Goodbye.
11.2.2 本地用戶模式
本地用戶模式是通過Linux系統本地的帳號密碼信息進行的驗證方式,這種模式相比較匿名開放模式來說比較安全,不過如果被駭客暴力破解出FTP帳號信息,也就可以通過這個口令登陸到咱們的伺服器系統中了,從而完全控制整台伺服器主機。本地用戶模式配置起來十分簡單,而且既然本地用戶模式確實要比匿名開放模式更加的安全,因此推薦既然開啟了本地用戶模式,就把匿名開放模式給關閉了吧~咱們對本地用戶模式需要使用的許可權參數及介紹如下表:
編輯
參數 作用
anonymous_enable=NO 禁止匿名訪問模式。
local_enable=YES 允許本地用戶模式。
write_enable=YES 設置可寫入許可權。
local_umask=022 本地用戶模式創建文件的umask值。
userlist_deny=YES 參數值為YES即禁止名單中的用戶,參數值為NO則代表僅允許名單中的用戶。
userlist_enable=YES 允許「禁止登陸名單」,名單文件為ftpusers與user_list。
[root@linuxprobe ~]# vim /etc/vsftpd/vsftpd.conf
anonymous_enable=NO
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
當咱們確認參數信息已經填寫正確就可以保存退出了,要想讓新的配置參數生效還要記得重啟一下vsftpd服務程序,並且在剛剛實驗後還原了虛擬機的同學還請記得再把配置的服務加入到開機啟動項中,讓咱們的vsftpd服務程序在重啟後依然能夠正常使用。
[root@linuxprobe ~]# systemctl restart vsftpd
[root@linuxprobe ~]# systemctl enable vsftpd
ln -s '/usr/lib/systemd/system/vsftpd.service' '/etc/systemd/system/multi-user.target.wants/vsftpd.service
按道理來說咱們現在就已經可以使用本地用戶登陸到FTP伺服器中了,但使用root用戶登陸後會提示如下的錯誤信息:
[root@linuxprobe ~]# ftp 192.168.10.10
Connected to 192.168.10.10 (192.168.10.10).
220 (vsFTPd 3.0.2)
Name (192.168.10.10:root): root
530 Permission denied.
Login failed.
ftp>
在咱們輸入root管理員用戶的密碼前就已經提示被拒絕了,看來有什麼東西再禁止著用戶登陸,這是因為咱們vsftpd服務程序目錄中默認存在著兩個文件(ftpusers或user_list),這兩個文件叫做禁止用戶名單,不知道同學們有沒有看過一個叫做「死亡筆記」的日本電影,裡面就提到有一個黑色封皮的小本本,任何人的名字寫進去都會死亡,其實咱們在配置的這個vsftpd服務程序的禁止文件也有類似的功能,只要裡面寫有某個用戶的名字,那麼就不再允許這個用戶登陸到咱們的FTP伺服器上面。
具體步驟參考文檔:http://www.linuxprobe.com/chapter-11.html,可以部署一個vsftpd服務
② 硬體防火牆如何配置
一般來說,硬體防火牆的例行檢查主要針對以下內容:
1.硬體防火牆的配置文件
不管你在安裝硬體防火牆的時候考慮得有多麼的全面和嚴密,一旦硬體防火牆投入到實際使用環境中,情況卻隨時都在發生改變。硬體防火牆的規則總會不斷地變化和調整著,配置參數也會時常有所改變。作為網路安全管理人員,最好能夠編寫一套修改防火牆配置和規則的安全策略,並嚴格實施。所涉及的硬體防火牆配置,最好能詳細到類似哪些流量被允許,哪些服務要用到代理這樣的細節。
在安全策略中,要寫明修改硬體防火牆配置的步驟,如哪些授權需要修改、誰能進行這樣的修改、什麼時候才能進行修改、如何記錄這些修改等。安全策略還應該寫明責任的劃分,如某人具體做修改,另一人負責記錄,第三個人來檢查和測試修改後的設置是否正確。詳盡的安全策略應該保證硬體防火牆配置的修改工作程序化,並能盡量避免因修改配置所造成的錯誤和安全漏洞。
2.硬體防火牆的磁碟使用情況
如果在硬體防火牆上保留日誌記錄,那麼檢查硬體防火牆的磁碟使用情況是一件很重要的事情。如果不保留日誌記錄,那麼檢查硬體防火牆的磁碟使用情況就變得更加重要了。保留日誌記錄的情況下,磁碟佔用量的異常增長很可能表明日誌清除過程存在問題,這種情況相對來說還好處理一些。在不保留日誌的情況下,如果磁碟佔用量異常增長,則說明硬體防火牆有可能是被人安裝了Rootkit工具,已經被人攻破。
因此,網路安全管理人員首先需要了解在正常情況下,防火牆的磁碟佔用情況,並以此為依據,設定一個檢查基線。硬體防火牆的磁碟佔用量一旦超過這個基線,就意味著系統遇到了安全或其他方面的問題,需要進一步的檢查。
3.硬體防火牆的CPU負載
和磁碟使用情況類似,CPU負載也是判斷硬體防火牆系統運行是否正常的一個重要指標。作為安全管理人員,必須了解硬體防火牆系統CPU負載的正常值是多少,過低的負載值不一定表示一切正常,但出現過高的負載值則說明防火牆系統肯定出現問題了。過高的CPU負載很可能是硬體防火牆遭到DoS攻擊或外部網路連接斷開等問題造成的。
4.硬體防火牆系統的精靈程序
每台防火牆在正常運行的情況下,都有一組精靈程序(Daemon),比如名字服務程序、系統日誌程序、網路分發程序或認證程序等。在例行檢查中必須檢查這些程序是不是都在運行,如果發現某些精靈程序沒有運行,則需要進一步檢查是什麼原因導致這些精靈程序不運行,還有哪些精靈程序還在運行中。
5.系統文件
關鍵的系統文件的改變不外乎三種情況:管理人員有目的、有計劃地進行的修改,比如計劃中的系統升級所造成的修改;管理人員偶爾對系統文件進行的修改;攻擊者對文件的修改。
經常性地檢查系統文件,並查對系統文件修改記錄,可及時發現防火牆所遭到的攻擊。此外,還應該強調一下,最好在硬體防火牆配置策略的修改中,包含對系統文件修改的記錄。
6.異常日誌
硬體防火牆日誌記錄了所有允許或拒絕的通信的信息,是主要的硬體防火牆運行狀況的信息來源。由於該日誌的數據量龐大,所以,檢查異常日誌通常應該是一個自動進行的過程。當然,什麼樣的事件是異常事件,得由管理員來確定,只有管理員定義了異常事件並進行記錄,硬體防火牆才會保留相應的日誌備查。
上述6個方面的例行檢查也許並不能立刻檢查到硬體防火牆可能遇到的所有問題和隱患,但持之以恆地檢查對硬體防火牆穩定可靠地運行是非常重要的。如果有必要,管理員還可以用數據包掃描程序來確認硬體防火牆配置的正確與否,甚至可以更進一步地採用漏洞掃描程序來進行模擬攻擊,以考核硬體防火牆的能力。
③ 如何保存防火牆配置文件到本地計算機
保存現有防火牆配置到本地計算機
選擇"save to file",會彈出下載提示,選擇保存目錄就可以講防火牆的配置保存到本地了。
命令行:save config from flash to tftp 192.168.1.10 ssg140.cfg (須要開啟TFTP服務,192.168.1.10為TFTP伺服器地址,下面的命令行操作都須要 TFTP支持)
導入新配置覆蓋原有配置
選擇Replace Current Configuration,點擊Browse按鈕,選擇一個配置文件。點擊Apply確認。重啟防火牆。
命令行: save config from tftp 192.168.1.10 ssg140.cfg to flash
導入新配置與原有配置合並
運用根用戶或具有讀寫許可權的帳號進入Web界面,在Configuration > Update > Config File界面中,選擇Merge to Current Configuration,點擊Browse按鈕,選擇一個配置文件。點擊Apply確認。重啟防火牆。
命令行:
SSG140-> save config from tftp 192.168.1.1 ssg140.cfg merge from trustLoad config from 192.168.1.10/cfg from trust .!!!!!!!!!!!!!tftp received ctets = 2655tftp success!TFTP SucceededSave config ... ......................................................................SSH version 2 already active.................Save System Configuration ...DoneDone