ftp配置ldap

㈠ 在虚拟机里安装好linux之后怎么安装vsftpd，samba 和webmin啊看了鸟哥的书，没

linux之后安装vsftpd
安装vsftpd服务程序包：
[root@linuxprobe ~]# yum install vsftpd -y
Loaded plugins: langpacks, proct-id, subscription-manager
…………………省略部分安装过程………………
---> Package vsftpd.x86_64 0:3.0.2-9.el7 will be installed
--> Finished Dependency Resolution
…………………省略部分安装过程…………………
Installed:
vsftpd.x86_64 0:3.0.2-9.el7
Complete!

清空默认的防火墙默认规则：
[root@linuxprobe ~]# iptables -F

保存清空后的防火墙规则表：
[root@linuxprobe ~]# service iptables save

Vsftpd的程序与配置文件：
主程序 /usr/sbin/vsftpd
用户禁止登陆列表 /etc/vsftpd/ftpusers
/etc/vsftpd/user_list
主配卜改置文件 /etc/vsftpd/vsftpd.conf

先来分析下vsftpd程序的主配置文件吧誉雀：
[root@linuxprobe ~]# cat /etc/vsftpd/vsftpd.conf
主配置文件长达123行，但大部分是以#号开始的，这些都是注释信息，我们可以过滤掉它们。
备份vsftpd的主配置文件：
[root@linuxprobe ~]# mv /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf_bak

过滤掉所有包含#号的行，并将过滤结果写回到vsftpd.conf文件中：
[root@linuxprobe ~]# grep -v "#" /etc/vsftpd/vsftpd.conf_bak > /etc/vsftpd/vsftpd.conf

此时再分析下vsftpd程序的主配置文件吧：
[root@linuxprobe ~]# cat /etc/vsftpd/vsftpd.conf
anonymous_enable=YES
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES

vsftpd程序配置文件参数的作用：
参数 作用
listen=[YES|NO] 是否以独立运行的方式监听服务。
listen_address=IP地址 设置要监听的IP地址。
listen_port=21 设置FTP服务庆弊早的监听端口。
download_enable＝[YES|NO] 是否允许下载文件。
userlist_enable=[YES|NO]
userlist_deny=[YES|NO] 是否启用“禁止登陆用户名单”。
max_clients=0 最大客户端连接数，0为不限制。
max_per_ip=0 同一IP地址最大连接数，0位不限制。
anonymous_enable=[YES|NO] 是否允许匿名用户访问。
anon_upload_enable=[YES|NO] 是否允许匿名用户上传文件。
anon_umask=022 匿名用户上传文件的umask值。
anon_root=/var/ftp 匿名用户的FTP根目录。
anon_mkdir_write_enable=[YES|NO] 是否允许匿名用户创建目录。
anon_other_write_enable=[YES|NO] 是否开放匿名用户其他写入权限。
anon_max_rate=0 匿名用户最大传输速率(字节)，0为不限制。
local_enable=[YES|NO] 是否允许本地用户登陆FTP。
local_umask=022 本地用户上传文件的umask值。
local_root=/var/ftp 本地用户的FTP根目录。
chroot_local_user=[YES|NO] 是否将用户权限禁锢在FTP目录，更加的安全。
local_max_rate=0 本地用户最大传输速率(字节)，
看下这里，比较详细、。http://www.linuxprobe.com/chapter-11.html

安装Samba服务软件包：
[root@linuxprobe Desktop]# yum install samba
Loaded plugins: langpacks, proct-id, subscription-manager
………………省略部分安装过程………………
Installing:
samba x86_64 4.1.1-31.el7 rhel7 527 k
………………省略部分安装过程………………
Complete!

浏览Samba配置文件：
[root@linuxprobe ~]# cat/etc/samba/smb.conf

配置文件竟然有320行！有没有被吓到？其实Samba服务配置文件中大部分是注释信息，我们可以来筛选过滤下：
备份原始的配置文件：
[root@linuxprobe ~]# mv /etc/samba/smb.conf /etc/samba/smb.conf.bak

过滤掉无用的内容：
先使用cat命令读入Smb配置文件后通过grep命令-v参数（反向选择）去掉所有注释信息，然后分别删选掉包含#号的行("#")，包含;号的行(";")以及所有的空白行("^$")，最后最后将过滤后的信息覆盖写入到/etc/samba/smb.conf文件中。
cat /etc/samba/smb.conf.bak | grep -v "#" | grep -v ";" | grep -v "^$" > /etc/samba/smb.conf

让我们来看看过滤后的配置文件吧：
[global] #全局参数。
workgroup = MYGROUP #工作组名称。
server string = Samba Server Version %v #服务器介绍信息,参数%v为显示SMB版本号。
log file = /var/log/samba/log.%m #定义日志文件存放位置与名称，参数%m为来访的主机名。
max log size = 50 #定义日志文件最大容量为50Kb。
security = user #安全验证的方式,总共有4种。
#share:来访主机无需验证口令，更加方便，但安全性很差。
#user:需由SMB服务验证来访主机提供的口令后才可建立访问,更加的安全。
#server:使用独立的远程主机验证来访主机提供的口令（集中管理帐号）。
#domain:使用PDC来完成验证
passdb backend = tdbsam #定义用户后台的类型，共有3种。
#smbpasswd:使用SMB服务的smbpasswd命令给系统用户设置SMB密码。
#tdbsam:创建数据库文件并使用pdbedit建立SMB独立的用户。
#ldapsam:基于LDAP服务进行帐户验证。
load printers = yes #设置是否当Samba服务启动时共享打印机设备。
cups options = raw #打印机的选项
[homes] #共享参数
comment = Home Directories #描述信息
browseable = no #指定共享是否在“网上邻居”中可见。
writable = yes #定义是否可写入操作，与"read only"相反。
[printers] #打印机共享参数
comment = All Printers
path = /var/spool/samba #共享文件的实际路径(重要)。
browseable = no
guest ok = no #是否所有人可见，等同于"public"参数。
writable = no
printable = yes
标准的Samba共享参数是这样的：
参数 作用
[linuxprobe] 共享名称为linuxprobe
comment = Do not arbitrarily modify the database file 警告用户不要随意修改数据库
path = /home/database 共享文件夹在/home/database
public = no 关闭所有人可见
writable = yes 允许写入操作
我们将上面的配置参数直接追加到SMB服务配置文件(/etc/samba/smb.conf)并重启SMB服务程序即可生效。
但此时SMB服务默认的验证模式为user，我们需要先创建用户数据库后才可以正常使用，现在来学习下如何创建吧~
12.2.2 安全共享文件
使用Samba服务口令验证方式可以让共享文件更加的安全，做到仅让信任的用户访问，而且验证过程也很简单，要想使用口令验证模式，我们需要先创建Samba服务独立的数据库。
第1步:检查当前是否为user验证模式。
[root@linuxprobe ~]# cat /etc/samba/smb.conf

第2步:创建共享文件夹：
[root@linuxprobe ~]# mkdir /database

第3步:描述共享文件夹信息。
在SMB服务主配置文件的最下面追加共享文件夹的配置参数：
[database]
comment = Do not arbitrarily modify the database file
path = /database
public = no
writable = yes
保存smb.conf文件后重启启动SMB服务：
[root@linuxprobe ~]# systemctl restart smb

添加到开机启动项：
[root@linuxprobe ~]# systemctl enable smb
ln -s '/usr/lib/systemd/system/smb.service' '/etc/systemd/system/multi-user.target.wants/smb.service'
第4步：使用Windows主机尝试访问
读者按照下表的IP地址规划动手配置下Windows的网卡参数，应该都会吧~

主机名称 操作系统 IP地址
Samba共享服务器 红帽RHEL7操作系统 192.168.10.10
客户端 红帽RHEL7操作系统 192.168.10.20
客户端 微软Windows7操作系统 192.168.10.30

在Windows主机的运行框中输入远程主机的信息

此时访问Samba服务报错
此时访问Samba服务是报错的，如果读者已经看完Apache(httpd)服务程序的章节，应该还记得防火墙和SELinux规则吧。
第5步:清空防火墙规则链：
Windows访问Samba主机提示报错，我们怀疑是Iptables阻止了访问操作，于是执行：
[root@linuxprobe ~]# Iptables -F
[root@linuxprobe ~]# service iptables save

因为Windows系统的缓存关系，可能需要先重启下Windows主机再尝试访问Samba共享。

Windows系统被要求验证帐户口令
那么这个问题就是出在Iptables防火墙的默认规则中了，所以请对SELinux多一点耐心，不要直接关闭SELinux。
第6步:创建SMB服务独立的帐号。
现在Windows系统要求先验证后才能访问共享，而SMB服务配置文件中密码数据库后台类型为"tdbsam"，所以这个帐户和口令是Samba服务的独立帐号信息，我们需要使用pdbedit命令来创建SMB服务的用户数据库。
pdbedit命令用于管理SMB服务的帐户信息数据库，格式为：“pdbedit [选项] 帐户”。

参数 作用
-a 用户名 建立Samba用户
-x 用户名 删除Samba用户
-L 列出用户列表
-Lv 列出用户详细信息的列表
创建系统用户：
[root@linuxprobe ~]# useradd smbuser

将此系统用户提升为SMB用户：
[root@linuxprobe ~]# pdbedit -a -u smbuser
new password:设置SMB服务独立的密码
retype new password:
Unix username: smbuser
NT username:
Account Flags: [U ]
User SID: S-1-5-21-4146456071-3435711857-2069708454-1000
Primary Group SID: S-1-5-21-4146456071-3435711857-2069708454-513
Full Name:
Home Directory: \\linuxprobe\smbuser
HomeDir Drive:
Logon Script:
Profile Path: \\linuxprobe\smbuser\profile
Domain: LINUXPROBE
Account desc:
Workstations:
Munged dial:
Logon time: 0
Logoff time: Wed, 06 Feb 2036 23:06:39 CST
Kickoff time: Wed, 06 Feb 2036 23:06:39 CST
Password last set: Sat, 11 Jul 2015 18:27:04 CST
Password can change: Sat, 11 Jul 2015 18:27:04 CST
Password must change: never
Last bad password : 0
Bad password count : 0
Logon hours :

第7步:使用Windows主机验证共享结果：
请您按照下面的幻灯片逐步操作，可点击图片两侧箭头或下方小圆点“○”切换步骤。

Windows验证SMB服务口令

Windows成功访问SMB服务

Windows进入共享目录失败
1
2
3
<
>

第8步：允许SELinux规则
使用Windows主机访问Samba共享果然可以使用smbuser用户登入，但对于共享文件这么重要的事情，SELinux一定会强制管理，刚刚没有妥当的配置好SELinux，现在果然又报错了。
将共享目录的所有者和所有组设置为smbuser用户：
[root@linuxprobe ~]# chown -Rf smbuser:smbuser /database

允许SELinux对于SMB用户共享家目录的布尔值：
[root@linuxprobe ~]# setsebool -P samba_enable_home_dirs on

将共享目录的SELinux安全上下文设置妥当：
[root@linuxprobe ~]# semanage fcontext -a -t samba_share_t /database

使新的安全上下文立即生效：
[root@linuxprobe ~]# restorecon -Rv /database/

第9步：使用Windows主机验证共享结果
我们配置好Samba服务后又陆续的调整好了Iptables防火墙与SELinux安全规则，现在终于可以正常的使用共享了。

使用SMB服务并创建文件
第10步：使用Linux主机验证共享结果
刚刚好像让读者产生了一些小误解，Samba服务程序并不仅仅是能够实现Linux与Windows系统间的文件共享，还可以实现Linux系统之间的文件共享哦，先动手配置下客户端主机的IP地址吧：
主机名称 操作系统 IP地址
Samba共享服务器 红帽RHEL7操作系统 192.168.10.10
客户端 红帽RHEL7操作系统 192.168.10.20
客户端 微软Windows7操作系统 192.168.10.30
在客户端安装cifs-utils软件包：
[root@linuxprobe ~]# yum install -y cifs-utils
Loaded plugins: langpacks, proct-id, subscription-manager
………………省略部分安装过程………………
Installing:
cifs-utils x86_64 6.2-6.el7 rhel7 83 k
………………省略部分安装过程………………
Complete!

创建挂载目录：
[root@linuxprobe ~]# mkdir /database

在root家目录创建认证文件(依次为SMB用户名、SMB用户密码、SMB共享域)：
[root@linuxprobe ~]# vim auth.smb
username=smbuser
password=redhat
domain=MYGROUP

此文件太重要了，权限应该给小一些：
[root@linuxprobe ~]# chmod -Rf 600 auth.smb

配置其挂载信息（内容依次为远程共享信息、本地挂载目录、文件系统类型、认证文件以及开机自检选项）：
[root@linuxprobe ~]# vim /etc/fstab
//192.168.10.10/database /database cifs credentials=/root/auth.smb 0 0

使用mount命令的-a参数挂载所有在fstab文件中定义的文件信息：
[root@linuxprobe ~]# mount -a

成功挂载Samba的共享目录（能够看到共享文件了）：
[root@linuxprobe ~]# cat /database/Memo.txt
i can edit it .

http://www.linuxprobe.com/chapter-12.html这里可以看下这图文教程……

㈡ 电脑服务和端口问题，谢谢！

端口分为3大类

1） 公认端口（Well Known Ports）：从0到1023，它们紧密绑定于一些服务。通常 这些端口的通讯明确表明了某种服 务的协议。例如：80端口实际上总是h++p通讯。

2） 注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服 务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如： 许多系统处理动态端口从1024左右开始。

3） 动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。 理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也 有例外：SUN的RPC端口从32768开始。
本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。

记住：并不存在所谓 ICMP端口。如果你对解读ICMP数据感兴趣，请参看本文的其它部分。

0 通常用于分析* 作系统。这一方*能够工作是因为在一些系统中“0”是无效端口，当你试 图使用一 种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描：使用IP地址为 0.0.0.0，设置ACK位并在以太网层广播。

1 tcpmux这显示有人在寻找SGIIrix机 器。Irix是实现tcpmux的主要提供者，缺省情况下tcpmux在这种系统中被打开。Iris 机器在发布时含有几个缺省的无密码的帐户，如lp,guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox,
和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索 tcpmux 并利用这些帐户。

7Echo你能看到许多人们搜索Fraggle放大器时，发送到x.x.x.0和x.x.x.255的信 息。常见的一种DoS攻击是echo循环（echo-loop），攻击者伪造从一个机器发送到另 一个UDP数据包，而两个机器分别以它们最快的方式回应这些数据包。（参见 Chargen） 另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做 Resonate Global Dispatch”，它与DNS的这一端口连接以确定最近的路 由。Harvest/squid cache将从3130端口发送UDPecho：“如果将cache的 source_ping on选项打开，它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。

11 sysstat这是一种UNIX服务，它会列出机器上所有正在运行的进程以及是什么启动 了这些进程。这为入侵者提供了许多信息而威胁机器的安全，如暴露已知某些弱点或 帐户的程序。这与UNIX系统中“ps”命令的结果相似再说一遍：ICMP没有端口，ICMP port 11通常是ICMPtype=1119 chargen 这是一种仅仅发送字符的服务。UDP版本将 会在收到UDP包后回应含有垃圾字符的包。TCP连
接时，会发送含有垃圾字符的数据流知道连接关闭。Hacker利用IP欺骗可以发动DoS 攻击伪造两 个chargen服务器之间的UDP由于服务器企图回应两个服务器之间的无限 的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggle DoS攻击向目标 地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过 载。
21 ftp最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方*。这些服务器 带有可读写的目录。Hackers或tackers利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。

22 sshPcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱 点。如果配置成特定的模式，许多使用RSAREF库的版本有不少漏洞。（建议在其它端 口运行ssh）还应该注意的是ssh工具包带有一个称为ake-ssh-known-hosts的程序。 它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。UDP（而不 是TCP）与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632 （十六进 制的0x1600）位交换后是0x0016（使进制的22）。

23 Telnet入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是 为了找到机器运行的*作系统。此外使用其它技术，入侵者会找到密码。

25 smtp攻击者（spammer）寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总 被关闭，他们需要拨号连接到高带宽的e-mail服务器上，将简单的信息传递到不同的 地址。SMTP服务器（尤其是sendmail）是进入系统的最常用方*之一，因为它们必须 完整的暴露于Internet且邮件的路由是复杂的（暴露+复杂=弱点）。
53 DNSHacker或crackers可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏 其它通讯。因此防火墙常常过滤或记录53端口。 需要注意的是你常会看到53端口做为 UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker 常使用这种方*穿透防火墙。

67和68 Bootp和DHCPUDP上的Bootp/DHCP：通过DSL和cable-modem的防火墙常会看 见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个 地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中 间人”（man-in-middle）攻击。客户端向68端口（bootps）广播请求配置，服务器 向67端口（bootpc）广播回应请求。这种回应使用广播是因为客户端还不知道可以发 送的IP地址。69 TFTP(UDP) 许多服务器与bootp一起提供这项服务，便于从系统下载 启动代码。但是它们常常错误配置而从系统提供任何文件，如密码文件。它们也可用 于向系统写入文件

79 finger Hacker用于获得用户信息，查询*作系统，探测已知的缓冲区溢出错误， 回应从自己机器到其它机器finger扫描。

98 linuxconf 这个程序提供linuxboxen的简单管理。通过整合的h++p服务器在98端 口提供基于Web界面的服务。它已发现有许多安全问题。一些版本setuidroot，信任 局域网，在/tmp下建立Internet可访问的文件，LANG环境变量有缓冲区溢出。 此外 因为它包含整合的服务器，许多典型的h++p漏洞可
能存在（缓冲区溢出，历遍目录等）109 POP2并不象POP3那样有名，但许多服务器同 时提供两种服务（向后兼容）。在同一个服务器上POP3的漏洞在POP2中同样存在。
110 POP3用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用 户名和密码交换缓冲区溢出的弱点至少有20个（这意味着Hacker可以在真正登陆前进 入系统）。成功登陆后还有其它缓冲区溢出错误。

111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND。访问portmapper是 扫描系统查看允许哪些RPC服务的最早的一步。常 见RPC服务有：pc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提 供 服务的特定端口测试漏洞。记住一定要记录线路中的
daemon, IDS, 或sniffer，你可以发现入侵者正使用什么程序访问以便发现到底发生 了什么。

113 Ident auth .这是一个许多机器上运行的协议，用于鉴别TCP连接的用户。使用 标准的这种服务可以获得许多机器的信息（会被Hacker利用）。但是它可作为许多服 务的记录器，尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常如果有许多客户通过 防火墙访问这些服务，你将会看到许多这个端口的连接请求。记住，如果你阻断这个 端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在 TCP连接的阻断过程中发回T，着将回停止这一缓慢的连接。

119 NNTP news新闻组传输协议，承载USENET通讯。当你链接到诸 如：news:p.security.firewalls/. 的地址时通常使用这个端口。这个端口的连接 企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新 闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务 器，匿名发帖或发送spam。
135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end- point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或 RPC的服务利用 机器上的end-point mapper注册它们的位置。远
端客户连接到机器时，它们查询end-point mapper找到服务的位置。同样Hacker扫描 机器的这个端口是为了找到诸如：这个机器上运 行Exchange Server吗？是什么版 本？ 这个端口除了被用来查询服务（如使用epmp）还可以被用于直接攻击。有一些 DoS攻 击直接针对这个端口。
137 NetBIOS name service nbtstat (UDP)这是防火墙管理员最常见的信息，请仔 细阅读文章后面的NetBIOS一节 139 NetBIOS File and Print Sharing
通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件 和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。 大 量针对这一端口始于1999，后来逐渐变少。2000年又有回升。一些VBS（IE5 VisualBasicScripting）开始将它们自己拷贝到这个端口，试图在这个端口繁殖。

143 IMAP和上面POP3的安全问题一样，许多IMAP服务器有缓冲区溢出漏洞运行登陆过 程中进入。记住：一种Linux蠕虫（admw0rm）会通过这个端口繁殖，因此许多这个端 口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允 许IMAP后，这些漏洞变得流行起来。Morris蠕虫以后这还是第一次广泛传播的蠕虫。 这一端口还被用于IMAP2，但并不流行。 已有一些报道发现有些0到143端口的攻击源 于脚本。

161 SNMP(UDP)入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息 都储存在数据库中，通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于 Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们 可能会试验所有可能的组合。 SNMP包可能会被错误的指向你的网络。Windows机器常 会因为错误配置将HP JetDirect rmote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名，你会看见这种包在子网 内广播（cable modem, DSL）查询sysName和其它信
息。

162 SNMP trap 可能是由于错误配置

177 xdmcp 许多Hacker通过它访问X-Windows控制台，它同时需要打开6000端口。
513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。 这些人为Hacker进入他们的系统提供了很有趣的信息

553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN，你将会看到这个端口 的广播。CORBA是一种面向对象的RPC（remote procere call）系统。Hacker会利 用这些信息进入系统。 600 Pcserver backdoor 请查看1524端口一些玩script的孩 子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal.

635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端 口的扫描是基于UDP的，但基于TCP 的mountd有所增加（mountd同时运行于两个端 口）。记住，mountd可运行于任何端口（到底在哪个端口，需要在端口111做portmap 查询），只是Linux默认为635端口，就象NFS通常运行于2049
1024 许多人问这个 端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络，它 们请求*作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。 这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一 点，你可以重启机器，打开Telnet，再打开一个窗口运行“natstat -a”，你将会看 到Telnet被分配1024端口。请求的程序越多，动态端口也越多。*作系统分配的端口 将逐渐变大。再来一遍，当你浏览Web页时用“netstat”查看，每个Web页需要一个 新端口。 ?ersion 0.4.1, June 20, 2000 h++p://www.robertgraham.com/ pubs/firewall-seen.html Copyright 1998-2000 by Robert Graham
(mailto:[email protected].
All rights reserved. This document may only be reproced (whole orin part) for non-commercial purposes. All reproctions must
contain this right notice and must not be altered, except by
permission of the author.

1025 参见1024

1026参见1024
1080 SOCKS 这一协议以管道方式穿过防火墙，允许防火墙后面的许多人通过一个IP 地址访问Internet。理论上它应该只
允许内部的通信向外达到Internet。但是由于错误的配置，它会允许Hacker/Cracker 的位于防火墙外部的攻
击穿过防火墙。或者简单地回应位于Internet上的计算机，从而掩饰他们对你的直接 攻击。
WinGate是一种常见的Windows个人防火墙，常会发生上述的错误配置。在加入IRC聊 天室时常会看到这种情况。

1114 SQL 系统本身很少扫描这个端口，但常常是sscan脚本的一部分。

1243 Sub-7木马（TCP）参见Subseven部分。

1524 ingreslock后门 许多攻击脚本将安装一个后门Sh*ll 于这个端口（尤其是那些 针对Sun系统中Sendmail和RPC服务漏洞的脚本，如statd,ttdbserver和cmsd）。如 果你刚刚安装了你的防火墙就看到在这个端口上的连接企图，很可能是上述原因。你 可以试试Telnet到你的机器上的这个端口，看看它是否会给你一个Sh*ll 。连接到 600/pcserver也存在这个问题。
2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于 哪个端口，但是大部分情况是安装后NFS杏谡飧龆丝冢?acker/Cracker因而可以闭开 portmapper直接测试这个端口。

3128 squid 这是Squid h++p代理服务器的默认端口。攻击者扫描这个端口是为了搜 寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口：
000/8001/8080/8888。扫描这一端口的另一原因是：用户正在进入聊天室。其它用户 （或服务器本身）也会检验这个端口以确定用户的机器是否支持代理。请查看5.3节。

5632 pcAnywere你会看到很多这个端口的扫描，这依赖于你所在的位置。当用户打开 pcAnywere时，它会自动扫描局域网C类网以寻找可能得代理（译者：指agent而不是 proxy）。Hacker/cracker也会寻找开放这种服务的机器，所以应该查看这种扫描的 源地址。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫描。

6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。 例如当控制者通过电话线控制另一台机器，而被控机器挂断时你将会看到这种情况。 因此当另一人以此IP拨入时，他们将会看到持续的，在这个端口的连接企图。（译 者：即看到防火墙报告这一端口的连接企图时，并不表示你已被Sub-7控制。）
6970 RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070 端口外向控制连接设置13223 PowWow PowWow 是Tribal Voice的聊天程序。它允许 用户在此端口打开私人聊天的接。这一程序对于建立连接非常具有“进攻性”。它 会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个 拨号用户，从另一个聊天者手中“继承”了IP地址这种情况就会发生：好象很多不同 的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四个字节。

17027 Concent这是一个外向连接。这是由于公司内部有人安装了带有Concent "adbot" 的共享软件。
Concent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件 是Pkware。有人试验：阻断这一外向连接不会有任何问题，但是封掉IP地址本身将会 导致adbots持续在每秒内试图连接多次而导致连接过载：
机器会不断试图解析DNS名—ads.concent.com，即IP地址216.33.210.40 ；
216.33.199.77 ；216.33.199.80 ；216.33.199.81；216.33.210.41。（译者：不 知NetAnts使用的Radiate是否也有这种现象）

27374 Sub-7木马(TCP) 参见Subseven部分。

30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。

31337 Back Orifice “eliteHacker中31337读做“elite”/ei’li:t/（译者：* 语，译为中坚力量，精华。即 3=E, 1=L, 7=T）。因此许多后门程序运行于这一端 口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。 现在它的流行越来越少，其它的 木马程序越来越流行。

31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马 （RAT,Remote Access Trojan）。这种木马包含内置的31790端口扫描器，因此任何 31789端口到317890端口的连 接意味着已经有这种入侵。（31789端口是控制连 接，317890端口是文件传输连接）

32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说：早期版本 的Solaris（2.5.1之前）将 portmapper置于这一范围内，即使低端口被防火墙封闭 仍然允许Hacker/cracker访问这一端口。 扫描这一范围内的端口不是为了寻找 portmapper，就是为了寻找可被攻击的已知的RPC服务。

33434~33600 traceroute 如果你看到这一端口范围内的UDP数据包（且只在此范围 之内）则可能是由于traceroute。参见traceroute分。

41508 Inoculan早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。 参见
h++p://www.circlemud.org/~jelson/software/udpsend.html
h++p://www.ccd.bnl.gov/nss/tips/inoculan/index.html端口1~1024是保留端 口，所以它们几乎不会是源端口。但有一些例外，例如来自NAT机器的连接。 常看见 紧接着1024的端口，它们是系统分配给那些并不在乎使用哪个端口连接的应用程序 的“动态端口”。 Server Client 服务描述
1-5/tcp 动态 FTP 1-5端口意味着sscan脚本
20/tcp 动态 FTP FTP服务器传送文件的端口
53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连 接。
123 动态 S/NTP 简单网络时间协议（S/NTP）服务器运行的端口。它们也会发送 到这个端口的广播。
27910~27961/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其 服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。

61000以上 动态 FTP 61000以上的端口可能来自Linux NAT服务器
端口大全（中文）
1 tcpmux TCP Port Service Multiplexer 传输控制协议端口服务多路开关选择器
2 compressnet Management Utility compressnet 管理实用程序
3 compressnet Compression Process 压缩进程
5 rje Remote Job Entry 远程作业登录
7 echo Echo 回显
9 discard Discard 丢弃
11 systat Active Users 在线用户
13 daytime Daytime 时间
17 qotd Quote of the Day 每日引用
18 msp Message Send Protocol 消息发送协议
19 chargen Character Generator 字符发生器
20 ftp-data File Transfer [Default Data] 文件传输协议(默认数据口)
21 ftp File Transfer [Control] 文件传输协议(控制)
22 ssh SSH Remote Login Protocol SSH远程登录协议
23 telnet Telnet 终端仿真协议
24 ? any private mail system 预留给个人用邮件系统
25 smtp Simple Mail Transfer 简单邮件发送协议
27 nsw-fe NSW User System FE NSW 用户系统现场工程师
29 msg-icp MSG ICP MSG ICP
31 msg-auth MSG Authentication MSG验证
33 dsp Display Support Protocol 显示支持协议
35 ? any private printer server 预留给个人打印机服务
37 time Time 时间
38 rap Route Access Protocol 路由访问协议
39 rlp Resource Location Protocol 资源定位协议
41 graphics Graphics 图形
42 nameserver WINS Host Name Server WINS 主机名服务
43 nicname Who Is "绰号" who is服务
44 mpm-flags MPM FLAGS Protocol MPM(消息处理模块)标志协议
45 mpm Message Processing Mole [recv] 消息处理模块
46 mpm-snd MPM [default send] 消息处理模块(默认发送口)
47 ni-ftp NI FTP &

㈢ FTP服务器的账号如何与公司的AD域账号关联

首选 FTP服务器的软绝贺件支持LDAP或AD；
其次 FTP服务器可与高举LDAP或AD可连通并做相关配置；
请提供FTP服务器所使用的软件戚宏碧先--更多请关注：我爱运维[5Iops]

㈣ Smbpasswd与LDAP 如何同步

请教各位学长可否枝岩给个研究的方向。
小弟这阵子一直在研究LDAP帐号整合，目前完成的有Postfix+LDAP认证，Apache+LDAP，FTP+LDAP，现在转向Samba研究但碰到smbpasswd 与LDAP无法同步问题。
小弟试着在System-auth 加入pam_smbpass.so以氏野及在歼搭喊smb.conf加入ldap password sync = yes 或是Only，查询过所有网路资料以及Samba How To但是研究方向是乎有误....。
pam_smbpass.so小弟测试此参数应该是Unix帐号与Samba 同步变更而ldap password sync = yes 测试的结果应该是原本smbpasswd已经建好在变更密码下可同步将LDAP也变更。
小弟一直苦恼希望能只要在LDAP新增一个帐号一个群组，samba的smbpasswd以及安装samba主机的系统帐号统一读取LDAP的新增帐号不必再去键入smbpasswd -a xxx这样就可以达到在一机新增密码多机使用的方便。
目前只好向学长提出求助希望学长能够提供一个研究方向....感谢了！记录

㈤ 请问高手

端口概念
在网络技术中，端口（Port）大致有两种意思：一是物理意义上的端口，比如，ADSL Modem、集线器、交换机、路由器用于连接其他网络设备的接口，如RJ-45端口、SC端口等等。二是逻辑意义上的端口，一般是指TCP/IP协议中的端口，端口号的范围从0到65535，比如用伏盯尘于浏览网页服务的80端口，用于FTP服务的21端口等等。我们这里将要介绍的就是逻辑意义上的端口。

查看端口
在Windows 2000/XP/Server 2003中要查看端口，可以使用Netstat命令：
依次点击“开始→运行”，键入“cmd”并回车，打开命令提示符窗口。在命令提示符状态下键入“netstat -a -n”，按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端口号及状态。

关闭/开启端口
在介绍各种端口的作用前，这里先介绍一下在Windows中如何关闭/打开端口，因为默认的情况下，有很多不安全的或没有什么用的端口是开启的，比如Telnet服务的23端口、FTP服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性，我们可以通过下面的方法来关闭/开启端口。

关闭端口
比如在Windows 2000/XP中关闭SMTP服务的25端口，可以这样做：首先打开“控制面板”，双击“管理工具”，再双击“服务”。接着在打开的服务窗口中找到并双击“Simple Mail Transfer Protocol （SMTP）”服务，单击“停止”按钮来停止该服务，然后在“启动类型”中选择“已禁用”，最后单击“确定”按钮即可。这样，关闭了SMTP服务就相当于关闭了对应的端口。

开启端口
如果要开启该端口只要先在“启动类型”选择“自动”，单击“确定”按钮，再打开该服务，在“服务状态”中单击“启动”按钮即可启用该端口，最后，单击“确定”按钮即可。
提示：在Windows 98中没有“服务”选项，你可以使用防火墙的规则设置功能来关闭/开启端口。
端口分类

逻辑意义上的端口有多种分类标准，下面将介绍两种常见的分类：

1. 按端口号分布划分

（1）知名端口（Well-Known Ports）
知名端口即众所周知的端口号，范围从0到1023，这些端口号一般固定分配给一些服务。比如21端口分配给FTP服务，25端口分配给SMTP（简单邮件传输协议）服务，80端口分配给HTTP服务则滚，135端口分配给RPC（远程过程调用）服务等等。

（2）动态端口（Dynamic Ports）
动态端口的范围从1024到65535，这些端口号一般不固定分配给某个服务，也就是说许多服务都可以使用这些端口。只要运行的程序向系统提出访问网络的申请，那么系统就可以从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的程序。在关闭程序进程后，就会释放所占用的端口号。
不过，动态端口也常常被病毒木马程序所利用，如冰河默认连接端口是7626、WAY 2.4是8011、Netspy 3.0是7306、YAI病毒是1024等等。

2. 按协议类型划分
按协议类型划分，可以分为TCP、UDP、IP和ICMP（Internet控制消息协议）等端口。下面主要介绍TCP和UDP端口：

（1）TCP端口
TCP端口，即传输控制协议端口，需要在缺禅客户端和服务器之间建立连接，这样可以提供可靠的数据传输。常见的包括FTP服务的21端口，Telnet服务的23端口，SMTP服务的25端口，以及HTTP服务的80端口等等。

（2）UDP端口
UDP端口，即用户数据包协议端口，无需在客户端和服务器之间建立连接，安全性得不到保障。常见的有DNS服务的53端口，SNMP（简单网络管理协议）服务的161端口，QQ使用的8000和4000端口等等。
常见网络端口

网络基础知识!端口对照

端口：0
服务：Reserved
说明：通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描，使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。
端口：1
服务：tcpmux
说明：这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者，默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户，如：IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。

端口：7
服务：Echo
说明：能看到许多人搜索Fraggle放大器时，发送到X.X.X.0和X.X.X.255的信息。

端口：19
服务：Character Generator
说明：这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。

端口：21
服务：FTP
说明：FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。

端口：22
服务：Ssh
说明：PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用RSAREF库的版本就会有不少的漏洞存在。

端口：23
服务：Telnet
说明：远程登录，入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。

端口：25
服务：SMTP
说明：SMTP服务器所开放的端口，用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。

端口：31
服务：MSG Authentication
说明：木马Master Paradise、Hackers Paradise开放此端口。

端口：42
服务：WINS Replication
说明：WINS复制

端口：53
服务：Domain Name Server（DNS）
说明：DNS服务器所开放的端口，入侵者可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其他的通信。因此防火墙常常过滤或记录此端口。

端口：67
服务：Bootstrap Protocol Server
说明：通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们，分配一个地址把自己作为局部路由器而发起大量中间人（man-in-middle）攻击。客户端向68端口广播请求配置，服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。

端口：69
服务：Trival File Transfer
说明：许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。

端口：79
服务：Finger Server
说明：入侵者用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其他机器Finger扫描。

端口：80
服务：HTTP
说明：用于网页浏览。木马Executor开放此端口。

端口：99
服务：Metagram Relay
说明：后门程序ncx99开放此端口。

端口：102
服务：Message transfer agent(MTA)-X.400 over TCP/IP
说明：消息传输代理。

端口：109
服务：Post Office Protocol -Version3
说明：POP3服务器开放此端口，用于接收邮

件，客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。

端口：110
服务：SUN公司的RPC服务所有端口
说明：常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等

端口：113
服务：Authentication Service
说明：这是一个许多计算机上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器，尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，将会看到许多这个端口的连接请求。记住，如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。

端口：119
服务：Network News Transfer Protocol
说明：NEWS新闻组传输协议，承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制，只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送SPAM。

端口：135
服务：Location Service
说明：Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时，它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗？什么版本？还有些DOS攻击直接针对这个端口。

端口：137、138、139
服务：NETBIOS Name Service
说明：其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。

端口：143
服务：Interim Mail Access Protocol v2
说明：和POP3的安全问题一样，许多IMAP服务器存在有缓冲区溢出漏洞。记住：一种LINUX蠕虫（admv0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后，这些漏洞变的很流行。这一端口还被用于IMAP2，但并不流行。

端口：161
服务：SNMP
说明：SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中，通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。

端口：177
服务：X Display Manager Control Protocol
说明：许多入侵者通过它访问X-windows操作台，它同时需要打开6000端口。

端口：389
服务：LDAP、ILS
说明：轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。

端口：443
服务：Https
说明：网页浏览端口，能提供加密和通过安全端口传输的另一种HTTP。

端口：456
服务：[NULL]
说明：木马HACKERS PARADISE开放此端口。

端口：513
服务：Login,remote login
说明：是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。

端口：544
服务：[NULL]
说明：kerberos kshell

端口：548
服务：Macintosh,File Services(AFP/IP)
说明：Macintosh,文件服务。

端口：553
服务：CORBA IIOP （UDP）
说明：使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象
的RPC系统。入侵者可以利用这些信息进入系统。

端口：555
服务：DSF
说明：木马PhAse1.0、Stealth Spy、IniKiller开放此端口。

端口：568
服务：Membership DPA
说明：成员资格 DPA。

端口：569
服务：Membership MSN
说明：成员资格 MSN。

端口：635
服务：mountd
说明：Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的，但是基于TCP的mountd有所增加（mountd同时运行于两个端口）。记住mountd可运行于任何端口（到底是哪个端口，需要在端口111做portmap查询），只是Linux默认端口是635，就像NFS通常运行于2049端口。

端口：636
服务：LDAP
说明：SSL（Secure Sockets layer）

端口：666
服务：Doom Id Software
说明：木马Attack FTP、Satanz Backdoor开放此端口

端口：993
服务：IMAP
说明：SSL（Secure Sockets layer）

端口：1001、1011
服务：[NULL]
说明：木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。

端口：1024
服务：Reserved
说明：它是动态端口的开始，许多程序并不在乎用哪个端口连接网络，它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器，打开Telnet，再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。

端口：1025、1033
服务：1025：network blackjack 1033：[NULL]
说明：木马netspy开放这2个端口。

端口：1080
服务：SOCKS
说明：这一协议以通道方式穿过防火墙，允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置，它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误，在加入IRC聊天室时常会看到这种情况。

端口：1170
服务：[NULL]
说明：木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。

端口：1234、1243、6711、6776
服务：[NULL]
说明：木马SubSeven2.0、Ultors Trojan开放1234、6776端口。木马SubSeven1.0/1.9开放1243、6711、6776端口。

端口：1245
服务：[NULL]
说明：木马Vodoo开放此端口。

端口：1433
服务：SQL
说明：Microsoft的SQL服务开放的端口。

端口：1492
服务：stone-design-1
说明：木马FTP99CMP开放此端口。

端口：1500
服务：RPC client fixed port session queries
说明：RPC客户固定端口会话查询

端口：1503
服务：NetMeeting T.120
说明：NetMeeting T.120

端口：1524
服务：ingress
说明：许多攻击脚本将安装一个后门SHELL于这个端口，尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图，很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口，看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。

㈥ 协议ldaps和ldap的区别

1. curl是libcurl这个库支持的，wget是一个纯改迹碰粹的命州困令行命令。

2. 2.curl支持更多的协议。curl supports FTP, FTPS, HTTP, HTTPS, SCP, SFTP, TFTP, TELNET, DICT, LDAP, LDAPS, FILE, POP3, IMAP, SMTP and RTSP at the time of this writing. Wget supports HTTP, HTTPS and FTP.

3. 3.curl 默认支持HTTP1.1（也支持1.0），而wget仅仅支持HTTP1.0规范。

4. 4.curl在指定要的链接时能核谈够支持URL的序列或集合，而wget则不能这样;

5. 5.wget支持递归，而curl则没有这个功能。（这是wget的一个主要好处，wget也是有优势的）
   

㈦ 如何在Debian里用Pure-FTPd里创建一个匿名FTP

一、安装：
apt-get install pure-ftp-common pure-ftpd

二、配置：
Pure-FTPd的配置比较怪异，它的配置不像其他FTP通过一个配置文件来实现，而是通过命令行+参数来启动，据开发这是为了更好的性能和安全性，我实在想不通这能起到多大的作用，相反觉得增加了用户的使用难度。Debian的开发人员为了降低难度，采用一种变通的配置方式，在/etc下建立一个pure-ftpd的目录，底下还有conf、db、auth这三个目录和一个pureftpd-alias-dir文件。

每一个配置选项将以一个文件的形式存在于/etc/pure-ftpd/conf之中，例如如果想配置AnonymousOnly=yes（只允许匿名用户），则在/etc/pure-ftpd/conf中创建一个名为AnonymousOnly的文件，里面只有一行内容：yes。

cat /etc/pure-ftpd/conf/芹告AnonymousOnly
yes

了解了基本的配置规则后下面开始配置我们的匿名FTP服务器，因为是匿名的，所以安全性就需要考虑得多一些。
1、创建ftp帐号和组
groupadd ftp
useradd -s /bin/false -m -c Anonymous ftp -d /home/ftp ftp ftp

2、限制匿名用户权限
cd /etc/pure-ftpd/conf
echo yes > AnonymousOnly
echo no > NoAnonymous
# 只允许匿名用户
echo no > AnonymousCanCreateDirs
# 不允许匿名用户创建目录
echo yes > AnonymousCantUpload
# 不允许匿名用户上传
echo no > AllowAnonymousFXP
# 不允许匿名FXP
echo yes > ChrootEveryone
# 将则渗匿名用户限定到ftp的家目录，也就是/home/ftp，这样可以提高安全性

3、绑嫌盯明定IP地址和端口
Pure-FTPd默认下会监听所有的网卡地址，默认的端口是21
我们只需要让它监听本机的eth0就OK了，eth0连接的是企业的内网段，假设为192.168.100.1/24
echo yes > IPV4Only
echo 192.168.100.1,21 > Bind

4、限速
匿名FTP意味着什么人都可以登陆我们的FTP，那就不能提供太高的下载速率，否则容易引起性能问题，甚至DDOS。
echo 2000 > AnonymousBandwidth
# 只允许所有匿名用户使用2000 KB/s的带宽

5、限用户进程
同时一个IP只允许开启两个登陆进程
echo 2 > MaxClientsPerIP

6、配置匿名FTP的文件夹
将共享文件夹拷贝到/home/ftp，例如software
cp -r software /home/ftp
chown -R ftp:ftp /home/ftp/software
chmod -R 550 /home/ftp/software
这里需要将权限设为550，如果设为只读的话用户无法进入software这个目录中。

7、重启服务器
/etc/init.d/pure-ftpd restart
大功告成，一个简单、高效的匿名FTP服务器就这样安装成功了。下一篇将讲如何将Pure-FTPd和LDAP进行整合。

㈧ windows98配置如何架设FTP

二、用Ｓｅｒｖ－Ｕ等第三方ＦＴＰ服务器软件架设
除ＩＩＳ外，还有很多ＦＴＰ服务器软件可以架设，如Ｗｕ－ＦＴＰ、ＰｒｏＦｔｐｄ、Ｓｅｒｖ－Ｕ等，但大部分只适用于Ｕｎｉｘ、Ｌｉｎｕｘ系统，如果使用Ｗｉｎｄｏｗｓ系统，强烈推荐使用Ｓｅｒｖ－Ｕ。Ｓｅｒｖ－Ｕ（下载地址：ｈｔｔｐ�／／ｗｗｗ．ｎｅｗｈｕａ．ｃｏｍ／ＦＴＰＳｅｒｖＵ．ｈｔｍ，含汉化包）是一种被广泛运用的ＦＴＰ服务器端软件，支持Ｗｉｎｄｏｗｓ ３ｘ／９ｘ／Ｍｅ／ＮＴ／２０００等全Ｗｉｎｄｏｗｓ系列。芹此它安装简单，功能强大，可以用同一个ＩＰ设定多个ＦＴＰ服务器、限定登录用户的权限、登录主目录及空间大小、支持远程登录管理等，适合绝大部分个人自建ＦＴＰ的需要。

１．安装
Ｓｅｒｖ－Ｕ的安装比ＩＩＳ还简单。先执行英文原版安装文件，按提示一路“ＮＥＸＴ”即可。要注意的是，在选择安装目录时，最好选择安装在一个非系统盘里，以免将来系统发生异常时还要重新进行账号等的设置。然后执行汉化文件，选择原版安装目录，一路“下一步”即可完成安装。

２．设置
与ＩＩＳ不同，Ｓｅｒｖ－Ｕ在第一次运行时会以向导的方式一步一步地提示用户进行设置，整个过程不超过五分钟，非常人性化。为了方便说明，先假设我们要架设一个固定ＩＰ为２１８．１．１．１，端口为２１，根目录绝对路径为Ｇ�＼Ｆｔｐ，允许匿名访问和拥有一个用户名为ｄｙｓ、密码为ｓｙｄ、嫌神迅管理账户名叫“ＭｙＦｔｐ”的公网ＦＴＰ服务器。运行Ｓｅｒｖ－Ｕ，弹出向导窗口，依次设置如下选项：
１）“您的ＩＰ地址”：这里我们填入２１８．１．１．１，如果你是ＡＤＳＬ等方式拨号上网，拥有的是动态ＩＰ或者不知道本机ＩＰ，此处请留空。
２）“域名”：就是该ＦＴＰ站点的名称，可以随意取名，这里填入“ＭｙＦｔｐ”。
３）“匿名账号”：瞎掘决定该ＦＴＰ站点是否允许匿名用户访问。选择“是”。
４）“匿名主目录”：设置匿名用户登录站点后所处的目录位置。输入“Ｇ�＼Ｆｔｐ”。
５）“锁定于主目录”：假设在“匿名主目录”中设置匿名用户登录后所处的目录位置为“Ｇ�＼Ｆｔｐ＼Ｇｕｅｓｔ”，那么，选择“是”后，当匿名用户登录ＦＴＰ后，就被锁定在Ｇ�＼Ｆｔｐ＼Ｇｕｅｓｔ目录下，只能查看Ｇｕｅｓｔ目录里的内容，不能进入上级目录“Ｆｔｐ”，同时该目录在ＦＴＰ客户端软件中显示为“＼”，如果未被锁定，则会完整显示为“Ｇ�＼Ｆｔｐ＼Ｇｕｅｓｔ”。这里选择“是”。
６）“命名的账号”：决定是否要创建有一定管理权限的账户。这里选“是”。
７）“账号名称”：就是具有一定管理权限的账户登录名称。填入“ｄｙｓ”。
８）“账号密码”：设置账户的登录密码。输入“ｓｙｄ”。
９）“主目录”：与“匿名主目录”一样，用来设置管理账户登录后所处的目录位置。输入“Ｇ�＼Ｆｔｐ”。
１０）“锁定于主目录”：选择“是”。
１１）“管理员权限”：用来设置管理账户的管理权限级别。这里选“无权限”，后面再详述。
设置完成，地址为：ｆｔｐ�／／２１８．１．１．１�２１的ＦＴＰ服务器就算架设成功了。最后可用ＣｕｔｅＦＴＰ分别以匿名和ｄｙｓ的账户登录验证。
提示：以上这些设置并非最终设定，你还可以在Ｓｅｒｖ－Ｕ主界面中随时修改。

３．用同一个ＩＰ架设多个ＦＴＰ服务器
如果带宽允许的话，你还可利用同一个ＩＰ轻松架设多个服务器。在Ｓｅｒｖ－Ｕ中，将“本地服务器”下“域”中的每个ＦＴＰ服务器称为“域”，刚才创建的“ＭｙＦｔｐ”服务器就是一个名叫“ＭｙＦｔｐ”的域。要架设多个服务器，实际上就是创建多个拥有不同端口的域而已。
右击“域”，选“新建域”，在弹出的向导中参照“ＭｙＦｔｐ”进行设置，只是在端口处一定不要与已经创建的“域”的端口或被其他系统服务占用的端口冲突即可。如果填入２２，则此服务器的地址就是：ｆｔｐ�／／２１８．１．１．１�２２。依此而为，就可以架设多个ＦＴＰ服务器了。

三、用动态ＩＰ域名解析软件架设拥有固定域名的ＦＴＰ服务器
在上面的介绍中，我们假设的是该服务器拥有２１８．１．１．１的固定ＩＰ，而事实上，大部分想架设个人ＦＴＰ的用户通常都是用ＡＤＳＬ等方式拨号上网。由于每次拨号上网后被分配到的ＩＰ地址都不相同，那这是否就意味着不能架设ＦＴＰ服务器呢？

有两个解决办法：一是在刚才向导中的“您的ＩＰ地址”中留空，然后完成其它向导设置。进入Ｓｅｒｖ－Ｕ主界面，先点击菜单栏上的“帮助→本机ＩＰ地址”，将本机ＩＰ地址复制，再通过其他途径告知每个用户。每拨号上网一次就重复此操作一次；二是到网上下载安装一个动态ＩＰ域名解析软件，如国外的ＤＮＳ２Ｇｏ、国内的花生壳、８８ＩＰ等，此类软件不管本机的ＩＰ如何变化都能将一个固定域名自动解析到本机ＩＰ上。这样，用户只要输入这个固定域名作ＦＴＰ地址就可以访问到你的服务器。很明显，第一种方法相当麻烦，需要你有极大的耐心，第二种就相当简便，用户只要记住此域名而不用管ＩＰ是否变化。美中不足的是，目前绝大部分此类软件需要付费注册才能永久使用，不注册只能免费使用３０天。
我们以８８ＩＰ为例，来了解它的设置。

假设我们要申请一个域名：ｄｙｓ２．８８ｉｐ．ｃｏｍ。首先如前文所述用Ｓｅｒｖ－Ｕ（ＩＩＳ和其他ＦＴＰ服务器软件亦可）架设好ＦＴＰ服务器，注意将“您的ＩＰ地址”处留空，然后到ｈｔｔｐ�／／ｗｗｗ．８８ｉｐ．ｎｅｔ去下载并安装８８ＩＰ标准版。
８８ＩＰ需要付费注册才能拥有一个永久域名，如果免费注册则仅能试用１５天。运行８８ＩＰ标准版客户端，会弹出设置窗口。要获得一个域名，需要先注册。在“基本资料”中，依次填写好用户登录名、有效电子邮件地址、密码和联系电话，接下来就要选择你的域名，在“域名资料”中，“域名”框填入ｄｙｓ２，“域名后缀”下拉框里选择“８８ｉｐ．ｃｏｍ”，这时，下方的“你的完整域名为”会显示为ｄｙｓ２．８８ｉｐ．ｃｏｍ，确认无误后，点“注册”按钮注册。如果注册的用户名或申请的域名已经被其他用户注册过，软件会做出相应的提示，修改后再次注册即可。注册成功后，在“执行状态”中会显示“注册成功，用户ＩＤ：�ｘｘｘｘｘｘｘｘ�”，记下用户ＩＤ，以备将来缴费或需要技术支持之用。最后要点击“装载”按钮将刚刚申请成功的账户信息装载至本机上。
突破内网建网站详细说明
1，ADSL映射设置
在主菜单中点“NAT”，会有个“natchannellist”，以在内部pc192.168.1.2上架设webserver为例子，web的一般默认端口是80，设置如下：在natchannellist里面的mupltipleportforwarding里面填写以下内容：

㈨ 求linux中ftp目录中文件夹只可以写不可以删除不可以覆盖权限设置；急用，

只需要修改ftp目录的权限即可，去掉写和执行权限，凯租使带孙冲用chmod命令：chmod a-w-x file。这是对所有用户生效，要精确控制个别用户，请学习蠢歼chmod命令。

㈩ 求助，如何ftp和samba共用同一个目录

FTP的目录是可以自己选择的，可以选择C盘 D盘 E盘，也可以随便选择一个文件夹或者新建一个文件夹当做FTP文件夹。这个可以在搭建FTP服务器的时候选择路径。
而使用SMB协议的话，需要右键选择你需要的那个文件夹，点击属性设置为共享。你可以选择用户为everyone，这样方便点。
按以上步骤即可实现FTP文件夹和SMB共享文件夹都是一个文件夹。