我所用的是LINUX AS+VSFTPD-1.2.0-4的系统架构,在这里说明的是如果对配置文件不是很熟悉,最好做个备份,以免误操作:
1. 匿名服务器的连接(独立的服务器)
在/etc/vsftpd/vsftpd.conf配置文件中添加如下几项:
Anonymous_enable=yes (允许匿名登陆)
Dirmessage_enable=yes (切换目录时,显示目录下.message的内容)
Local_umask=022 (FTP上本地的文件权限,默认是077)
Connect_form_port_20=yes (启用FTP数据端口的数据连接)*
Xferlog_enable=yes (激活上传和下传的日志)
Xferlog_std_format=yes (使用标准的日志格式)
Ftpd_banner=XXXXX (欢迎信息)
Pam_service_name=vsftpd (验证方式)*
Listen=yes (独立的VSFTPD服务器)*
功能:只能连接FTP服务器,不能上传和下传
注:其中所有和日志欢迎信息相关连的都是可选项,打了星号的无论什么帐户都要添加,是属于FTP的基本选项
2. 开启匿名FTP服务器上传权限
在配置文件中添加以下的信息即可:
Anon_upload_enable=yes (开放上传权限)
Anon_mkdir_write_enable=yes (可创建目录的同时可以在此目录中上传文件)
Write_enable=yes (开放本地用户写的权限)
Anon_other_write_enable=yes (匿名帐号可以有删除的权限)
3. 开启匿名服务器下传的权限
在配置文件中添加如下信息即可:
Anon_world_readable_only=no
注:要注意文件夹的属性,匿名帐户是其它(other)用户要开启它的读写执行的权限
(R)读-----下传 (W)写----上传 (X)执行----如果不开FTP的目录都进不去
4.普通用户FTP服务器的连接(独立服务器)
在配置文件中添加如下信息即可:
Local_enble=yes (本地帐户能够登陆)
Write_enable=no (本地帐户登陆后无权删除和修改文件)
功能:可以用本地帐户登陆vsftpd服务器,有下载上传的权限
注:在禁止匿名登陆的信息后匿名服务器照样可以登陆但不可以上传下传
5. 用户登陆限制进其它的目录,只能进它的主目录
设置所有的本地用户都执行chroot
Chroot_local_user=yes (本地所有帐户都只能在自家目录)
设置指定用户执行chroot
Chroot_list_enable=yes (文件中的名单可以调用)
Chroot_list_file=/任意指定的路径/vsftpd.chroot_list
注意:vsftpd.chroot_list 是没有创建的需要自己添加,要想控制帐号就直接在文件中加帐号即可
6. 限制本地用户访问FTP
Userlist_enable=yes (用userlistlai 来限制用户访问)
Userlist_deny=no (名单中的人不允许访问)
Userlist_file=/指定文件存放的路径/ (文件放置的路径)
注:开启userlist_enable=yes匿名帐号不能登陆
7. 安全选项
Idle_session_timeout=600(秒) (用户会话空闲后10分钟)
Data_connection_timeout=120(秒) (将数据连接空闲2分钟断)
Accept_timeout=60(秒) (将客户端空闲1分钟后断)
Connect_timeout=60(秒) (中断1分钟后又重新连接)
Local_max_rate=50000(bite) (本地用户传输率50K)
Anon_max_rate=30000(bite) (匿名用户传输率30K)
Pasv_min_port=50000 (将客户端的数据连接端口改在
Pasv_max_port=60000 50000—60000之间)
Max_clients=200 (FTP的最大连接数)
Max_per_ip=4 (每IP的最大连接数)
Listen_port=5555 (从5555端口进行数据连接)
8. 查看谁登陆了FTP,并杀死它的进程
ps –xf |grep ftp
kill 进程号
SSH 的详细使用方法如下:
ssh [-l login_name] [hostname &line; user@hostname] [command]
ssh [-afgknqtvxCPX246] [-c blowfish &line; 3des] [-e escape_char]
[-i identity_file] [-l login_name] [-o option] [-p port] [-L port:host:hostport]
[-R port:host:hostport] [hostname &line; user@hostname] [command]
sshd 为执行 ssh 的 daemon,在读者使用 ssh 之前必须去激活 sshd,在此建议把它加在 /etc/init/rc.local 中,在每次开机时激活。
在执行 sshd 之前可以指定它的 port,例如:sshd –p 999 若有安装 SSL,可以指定 SSL 的 port 443,例如:sshd –p 443 这样就可以经过 SSL 及 SSH 双重的保护,但必须去指明使用的 port
ssh –l user –p 443 mouse.oit.edu.tw 才行,若不指明则仍然使用预设的port 22
ssh 选项: -l login_name
指定登入于远程机器上的使用者,若没加这个选项,而直接打 ssh lost 也是可以的,它是以读者目前的使用者去做登入的动作。 例如: ssh –l shie mouse.oit.edu.tw -c blowfish&line;3des
在期间内选择所加密的密码型式。预设是3des,3des(作三次的资料加密) 是用三种不同的密码键作三次的加密-解密-加密。 blowfish 是一个快速区块密码编制器,它比3des更安全以及更快速。
严格说来,这样的处理作业,应选择像 sed,awk 这样的工具,在处理效率上比较好;如果,处理需求单纯的话,grep也足以应付。但那样的选择,通常是在处理流程已经相当成熟,且有必要经常性的重复使用之下,所做的工具选择。在突发性且处理模式尚未理清前,使用 vi是较具弹性的选择。
我以一个整理 httpd access_log 来作说明。
2001/12/16 凌晨,我刚好在主机上做点测试。当时的网络有点忙,我使用 netstat -ct 看了一会儿网络的状况,知道目前
httpd 有几位访客。一时兴起想看看她们来看什么,于是我使用 vi 去看了一下 Apache 的
access_log,意外地发现,同一时间,我的同胞 202.102.141.56 正在扫描主机的 httpd server。再观察一下
netstat -ct 的讯息,我发觉她还没有完全做完。心想不应该打断人家的工作。当时人已有点困了,所以我退出了 vi
并赶紧继续做我的事情。不久,周公他老人家就来抓我出公差,做他最近经营的 playboy
网站。虚拟实境的欧,采会员制,非十八岁以下的梦遗才俊不收。我只有做苦工的份,没资格加入。
隔日自然醒来,打开计算机,先来上一段 Queen 的 We are the champions
加上一杯咖啡。突然想起凌晨未完成的观察,马上用 vi 再查看 access_log。乖乖!不是一个,前后共三位青年才俊上网。此时在 vi模式下,我想分别将三位的资料从 access_log档案中分离出来,建立三个个别档案。这种想法,以前不曾想过!一时卡住了,不知道该怎么做?拿起笔来,在纸上写下了"如何"挪移"这几个字。喝完我的咖啡
后,趴在桌上小咪一下..才一下,就被周公槌醒,我看着"挪移"两字,方法找到了。
1、假设充许连结图片的主机域名为:www.demo.com.cn
2、修改httpd.conf
CODE:
Referer "^http://www.demo.com.cn/&qu... local_ref=1
<FilesMatch ".(gif&line;jpg)">
Order Allow,Deny
Allow from env=local_ref
</FilesMatch>
这个简单的应用不光可以解决图片盗链的问题,稍加修改还可以防止任意文件盗链下载的问题。
使用以上的方法当从非指定的主机连结图片时,图片将无法显示,如果希望显示一张“禁止盗链”的图片,我们可以用mod_rewrite 来实现。
首先在安装 apache 时要加上 --enable-rewrite 参数加载 mod_rewrite 模组。
假设“禁止盗链”的图片为abc.gif,我们在 httpd.conf 中可以这样配置:
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)?demo.com.cn /.*$ [NC]
RewriteRule \.(gif&line;jpg)$ http://www.demo.com.cn/abc... [R,L]
当主机的图片被盗链时,只会看到 abc.gif 这张“禁止盗链”的图片!
计算机系统相互合作,之所以能做到这一点,是因为Samba能够理解微软公司使用的联网协议SMB(
Session Message Block,任务消息块).从系统管理员的观点看,这意味着不需要在网络中所有的
Windows客户机上都安装NFS服务就可以使用一个基于UNIX操作系统的服务器,而客户机则可以使用
自己原来的方式与服务器进行通信,这样减少了用户在系统管理方面的劳动强度,在网络无缝集成方面
也可以多一些选择.Samba属于GNU Public License(简称GPL)的软件;因此,任何用户都可以
合法且免费地使用它。
Samba 的主要功能如下:
(1)提供Windows NT风格的文件和打印机共享 Windows 95、Windows 98、Windows NT等以
据此共享UNIX等其他操作系统的资源,外表看起来和共享NT的资源没有区别。
(2)解析NetBIOS名字IP 在Windows网络中,为了能够利用网上资源,同时自己的资源也能被
别人所利用;各个主机都定期地向网上广播自己的身份信息。而负责收集这些信息,为别
的主机;提供检索情报的服务器就被称为浏览服务器.Samba可以有效地完成这项功能,在
跨越网关的时候Samba还可以作WINS服务器使用。
(3)提供SMB客户功能 利用Samba提供的smbclint程序可以从UNIX下以类似于 FTP的方式访
问Windows的资源。
(4)备份PC上的资源 利用一个叫smbtar的shell 脚本,可以使用 tar 格式备份和恢复一台
远程 Windows上的共享文件。
(5)提供一个命令行工具,在其上可以有限制地支持NT的某些管理功能。
九月十五号,samba公司发布了samba3.0的版本,鉴于以前samba有诸多问题,于是我将我的samba服务
进行了升级,由于源码刚发布不久,它的rpm包还没有(抱歉我的系统是redhat),于是我选择了用tar包
来安装.源代码包可以从samba公司的官方网站http://www.samba.org上获得.
