FTP服务
    vsftp,proftp

软件仓库：
[Server]
name=Server
baseurl=ftp://10.1.1.22/rhel5_source/Server
enabled=1
gpgcheck=0


协议： ftp/tcp
端口： 20,21


关闭：selinux
    # setenforce  0
关闭：iptables
    # service iptables stop

例子1：直接完成允许匿名访问ftp服务器
# yum install vsftpd -y

# service vsftpd start

# ftp 10.1.1.21

用户名ftp,密码随意，或者空

匿名登录之后，直接到了它的家目录/var/ftp，并且所有操作都锁定在该目录里

权限：默认只允许下载文件。不允许上传文件。

ftp> get fstab 《－－下载文件



例子2：验证ftp的主动模式和被动模式

    client <----> ftp

主动模式：
    使用21端口进行控制命令传输，普通数据是ftp服务器主动使用20号端口连接客户端进行传输。

    client ---控制指令----> ftp:21

    client <-----普通数据传输---- ftp:20    

    传输数据的时候，是由服务器主动发起连接，第一个包又服务器产生。


client     <--->          [router]     <---> ftp
10.1.1.20    10.1.1.1        210.38.2.3    210.38.2.4

适合场景：
    客户端在内网，服务器在内网。



客户端
ftp> passive
Passive mode off. 《－－被动模式被关闭，主动模式开启
ftp> ls

服务端
# netstat -ant | grep :20
tcp    0   0 10.1.1.21:20    10.1.1.22:16051    TIME_WAIT   
              ^^^




被动模式：

    使用21端口进行控制命令传输，服务器首先打开某个端口，然后客户端主动连接该端口，把数据要回来。
    client ---控制指令----> ftp:21

    client -----连接服务器，准备取回数据----> ftp:xxxx
        连接成功之后
    client <-----数据开始传输----- ftp:xxxx

使用场景：
    客户端处于私有网络，可以访问互联网，然后ftp服务器必须是处于互联网。


客户端：
# telnet 10.1.1.21 21
Trying 10.1.1.21...
Connected to s22 (10.1.1.21).
Escape character is '^]'.
220 (vsFTPd 2.0.5)
USER ftp
331 Please specify the password.
PASS
230 Login successful.
PASV
227 Entering Passive Mode (10,1,1,21,121,222) <--服务已经在121*256+222的端口上进行监听，等待客户端主动连接上来获得数据


服务器：
    
# netstat -ntlp | grep $((121*256+222))
tcp        0      0 10.1.1.21:31198             0.0.0.0:*                   LISTEN      3032/vsftpd

客户端：
# nc -p 12345 10.1.1.21 31198 《－－主动连接服务器的31198端口


服务端：
# netstat -an | grep $((121*256+222))
tcp        0      0 10.1.1.21:31198             0.0.0.0:*                   LISTEN      
tcp        0      0 10.1.1.21:31198             10.1.1.22:12345             ESTABLISHED  《－－连接已经建立，随时待命传输数据。

客户端：    
LIST 《－－列表

    在nc指令的窗口可以看到列表结果





<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<

开启selinux
# vim /etc/sysconfig/selinux
SELINUX=enforcing
SELINUXTYPE=targeted

重启计算机
安全上下文
    系统上的所有事物（普通文件，目录，命令，用户，运行的进程）的一切属性（身份，角色，类型或域）

Selinux的策略中定义了这些身份，角色，类型和域

    身份：
        selinux策略中定义，用于表明事物的身份。
        例如:一个名字叫小明的人，小明就是这个人的身份。

    角色：
        用于表明事物的角色。
        例如：一个叫小明的人，它的角色是男生。


    类型或者域
        类型针对目录、文件而已
        域针对运行的进程而已
        表明事物的操作范围。

        例如： 一个叫小明的人，它的角色是男生，男生是可以进如男厕所。
        

# id
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel) context=root:system_r:unconfined_t:SystemLow-SystemHigh

context=root:system_r:unconfined_t:SystemLow-SystemHigh
    身份:角色：域/类型

# ls -lZ /etc/passwd
-rw-r--r--  root root system_u:object_r:etc_t          /etc/passwd
            身份:角色:类型
# ls -lZ /bin/touch
-rwxr-xr-x  root root system_u:object_r:bin_t          /bin/touch



策略：
    targeted <---一般采用这个
    strict

启动模式：
    enforcing    强制 所有保护功能都有
    permissive    允许 只会记录日志，不会采用真正的保护
    disabled    禁用 关闭所有功能

临时改变它的运行模式：
# getenforce
Enforcing
# setenforce 0
# getenforce
Permissive
    

查看selinux的审计日志
    必须首先确认打开auditd服务
    # sealert  -a /var/log/audit/audit.log

    图形界面：
    # sealert -b /var/log/audit/audit.log

注意：为了支持图形界面，必须打开以下服务
messagebus    
setroubleshoot



<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
例子3：在打开selinux前提下，允许匿名帐号上传下载文件。


1、把selinux设定为permissive

2、设定vsftp

# vim /etc/vsftpd/vsftpd.conf

anon_upload_enable=YES <--增加该参数

write_enable=YES <--默认就有，确包存在

3、建立一个新目录，或者使用已经存在的目录，然后给予ftp匿名帐号可写的权限

# chmod 777 /var/ftp/pub

注意：
    不能允许匿名帐号直接在ftp的根目录上传文件，只能在具有写权限的子目录上传文件。

4、测试
# service vsftpd restart
ftp> put /etc/hosts  /pub/hosts  # 保存到 /var/ftp/pub/hosts

5、查看selinux的审计日志，判断相关的操作是否违反策略，如果违反，就应该修改策略。
# sealert  -a /var/log/audit/audit.log

.....
在允许访问:

如果应该允许让ftp后台写入这个目录，你需要开启allow_ftpd_anon_write布尔值
并且修改公共目录的文件上下文为public_content_rw_t。
阅读ftpd_selinux的man获得更多信息： "setsebool -P
allow_ftpd_anon_write=1; chcon -t public_content_rw_t "

以下命令将允许这个权限:

setsebool -P allow_ftpd_anon_write=1
....

目录原有安全上下文
# ls -ldZ /var/ftp/pub
drwxrwxrwx  root root system_u:object_r:public_content_t /var/ftp/pub

public_content_t 《－－公共的，可以被读访问的类型
public_content_rw_t 《－－公共的，可以被读写访问的类型



1）修改策略，打开“允许匿名上传文件“的开关

查看
# getsebool -a | grep ftp
allow_ftpd_anon_write --> off  《－－－－
allow_ftpd_full_access --> off
allow_ftpd_use_cifs --> off
allow_ftpd_use_nfs --> off
allow_tftp_anon_write --> off
ftp_home_dir --> off
ftpd_connect_db --> off
ftpd_disable_trans --> off
ftpd_is_daemon --> on
httpd_enable_ftp_server --> off
tftpd_disable_trans --> off


# setsebool -P allow_ftpd_anon_write=1

# getsebool -a | grep ftp
allow_ftpd_anon_write --> on  《－－－

# chcon -R -t public_content_rw_t /var/ftp/pub


恢复enforcing
# setenforce 1


例子4：允许匿名帐号下载自己上传的文件
    删除自己上传的文件，新建目录等操作
anon_world_readable_only=NO
anon_mkdir_write_enable=YES
anon_other_write_enable=YES



例子5：更改匿名帐号的ftp根目录

方法一：
    修改ftp匿名帐号的家目录

方法二：
    通过参数指定
# mkdir /ftp/pub
# chmod 777 /ftp/pub
# vim /etc/vsftpd/vsftpd.conf
anon_root=/ftp

# service vsftpd restart

# chcon -R -t public_content_t /ftp
# chcon -R -t public_content_rw_t /ftp/pub/





例子6：锁定普通帐号ftp根目录

默认：普通帐号登录之后，可以访问任何该帐号可以访问的路径，例如：/etc/,/bin。。。。
local_enable=YES 《－－默认就有，允许本地帐号登录
write_enable=YES  《－－默认就有，允许普通帐号有写的权限
chroot_local_user=YES


# setsebool -P ftp_home_dir=1


例子7：只锁定部分用户的家目录，部分用户不锁定

chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list 《－－该文件里的帐号都不锁定目录

# vim /etc/vsftpd/chroot_list
bean一行一个名字


ftp> pwd
257 "/home/bean"




应用场景：
    网站 ---> 网站根目录/wwwroot/
    网站bbs.upl.com  ---> 网站根目录/wwwroot/bbs.upl.com
    ftp帐号：www ，该帐号只能访问/wwwroot/目录下的所有文件
    ftp帐号：bbs ，该帐号只能访问/wwwroot/bbs.upl.com目录下的所该帐号可以管理以上两个网站有文件
    ftp帐号：mgr ,  该帐号可以管理以上两个网站，甚至访问其他任何可以访问的目录，该帐号就可以不锁定家目录


    # useradd -d /wwwroot/ -s /sbin/nologin www    
    # useradd -d /wwwroot/ -s /sbin/nologin bbs

    

    



例子8：实现某些帐号允许登录，某些帐号不允许登录

方法一：
    如果需要禁止登录帐号是普通帐号（不是匿名帐号），只需要把用户的默认shell修改成/bin/false
    注意：不是/sbin/nologin,该shell不允帐号登录系统，但允许登录ftp

方法二：
userlist_deny=YES <--如果该参数YES,那么userlist_file指定的文件就是黑名单
userlist_enable=YES
userlist_file=/etc/vsftpd/user_list


# vim /etc/vsftpd/user_list
tom 增加一行


思考：
    什么时候使用黑名单，什么时候使用白名单？





课后思考：
    恢复系统ftp为系统认证方式。
    把所有普通帐号的根目录都统一锁定在/ftp
    避免不同帐号上传的文件被其他帐号删除。
    文件上传之后，权限自动为600。

    man vsftpd.conf
    


例子9：使用虚拟帐号登录ftp

虚拟的帐号，系统本身不要存在，只是在vsftp服务里生效。


anonymous_enable=YES
guest_enable=YES  <---启用虚拟帐号登录
guest_username=vuser <---虚拟帐号被映射成该系统帐号进行一切操作。
user_sub_token=$USER

pam_service_name=vuser 《－－名字随意，对应/etc/pam.d/vuser
#pam_service_name=vsftpd 《－－把原有的系统验证模块注释

建立对应自定义pam模块文件
# vim /etc/pam.d/vuser
#%PAM-1.0
auth    sufficient      /lib/security/pam_userdb.so db=/etc/vsftpd/vus
er crypt=hash
account    sufficient      /lib/security/pam_userdb.so db=/etc/vsftpd/vuser  crypt=hash

建立对应的虚拟帐号数据库文件
# yum install db4-utils -y
# vim /etc/vsftpd/vuser.txt
vuser1
123
vuser2
456
mary
789

# chmod 600 /etc/vsftpd/vuser.txt
# db_load -T -t hash /etc/vsftpd/vuser.db < /etc/vsftpd/vuser.txt

把映射的系统帐号vuser建立起来
# useradd -d '/ftp'  -s /sbin/nologin vuser
# usermod -d '/ftp/$USER' vuser

# finger vuser
Login: vuser                            Name: (null)
Directory: /ftp/$USER                   Shell: /sbin/nologin


把对应的家目录建立起来
# mkdir /ftp/vuser1
# mkdir /ftp/vuser2
# mkdir /ftp/mary
# chown vuser:vuser /ftp/*

# service vsftps restart



验证：
    发现默认所有虚拟帐号都可以上传下载文件，原因：他们被映射成vuser这个系统存在的普通帐号。

    
假如，需要实现每个虚拟帐号都有独立的权限。
    vuser1 可以上传下载，默认就可以上传下载，所以不需要建立独立配置文件
    vuser2 只能下载。建立一个独立配置文件，取消上传功能。

# vim /etc/vsftpd/vsftpd.conf
user_config_dir=/etc/vsftpd/user_config

# mkdir /etc/vsftpd/user_config

# vim /etc/vsftpd/user_config/vuser2
write_enable=NO 《－－该选项如何和vsftpd.conf冲突，那么vuser2登录时候采用本文件的参数，而其他选项将会使用vsftpd.conf




下周：
    dns
    http,nfs

    samba
    dhcp
    sendmail
    xinetd/tcpwrapper

shell 5
mysql 5
ule实践 10