linuxisforward
❶ 如何让linux下非root用户程序使用小于1024端口
在Linux下,默认端口1024下的程序是要在root下才能使用的,在其他用户下,如果尝试使用将会报错。在有的时候,我们可能考虑程序运行在root帐户下,可能会给Linux系统带来安全风险。那如何能够让非root用户运行的程序能够对外启用小于1024的端口呢?本文尝试给出一些方法:
第一种方法:
SetUID
为用户的应用程序在执行位设置user ID能够使程序可以有root权限来运行,这个方法让程序能够像在root下运行有同样的效果,不过需要非常小心,这种方法同样会带来安全风险,特别是当要执行的程序本身存在安全风险。使用的方法是:
chown root.root /path/to/application #使用SetUID chmod u+s /path/to/application
我们可以看到在系统下,/usr/bin/passwd这种文件,就使用了SetUID,使得每个系统的用户都能用passwd来修改密码——这是要修改/etc/passwd的文件(而这个只有root有权限)。
既然要使用非root用户运行程序,目的就是要降低程序本身给系统带来的安全风险,因此,本方法使用的时候需要特别谨慎。
第二种方法:
CAP_NET_BIND_SERVICE
从2.1开始,Linux内核有了能力的概念,这使得普通用户也能够做只有超级用户才能完成的工作,这包括使用端口1。
获取CAP_NET_BIND_SERVICE能力,即使服务程序运行在非root帐户下,也能够banding到低端口。使用的方法:
#设置CAP_NET_BIND_SERVICE setcap cap_net_bind_service =+ep /path/to/application
Note:
1. 这个方法并不是所有Linux系统通适,内核在2.1之前的并没有提供,因此你需要检查要使用此方法所在系统是否支持(Linux must support capacity);
2. 另外需要注意的是,如果要运行的程序文件是一个脚本,这个方法是没有办法正常工作的(Script won't work)。
第三种方法:
Port Forwarding
如果要运行的程序有权限监听其他端口,那么这个方法是可以使用的,首先让程序运行在非root帐户下,并绑定高于1024的端口,在确保能正常工作的时候,将低端口通过端口转发,将低端口转到高端口,从而实现非root运行的程序绑定低端口。要使用此方法可以使用下面的方式:
# Enable the IP FORWARD kernel parameter. sysctl -w net.ipv4.ip_forward=1 # Use iptables rules to redirect packets iptables -F -t nat iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to:8088
第一步使用sysctl确保启用IP FORWARD功能(此功能在Red Hat/CentOS默认是被禁用的),注意,代码中使用的sysctl设置是临时性设置,重启之后将会被重置,如果要长久保存,需要在/etc/sysctl.conf文件内修改:
# Default value is 0, need change to 1. # net.ipv4.ip_forward = 0 net.ipv4.ip_forward = 1
然后从文件中加载新的配置
# load new sysctl.conf sysctl -p /etc/sysctl.conf # or sysctl -p # default filename is /etc/sysctl.conf
第二步就是使用iptables的规则来实现端口转发到程序所在的端口,示例中我们要将80端口转发到8088。
此种方法能够比较好的达到我们的目的,我们的程序可以通过非root用户来运行,并能够对外提供低端口号的服务。
第四种方法:
RINETD2
这种方法使用的也是端口转发,此工具可以将本地端口映射到远程端口,但此功能对于我们当前的功能来说,有点鸡肋,毕竟我们新增了一个额外的程序,这将可能会增加我们系统的风险性。在此不做推荐。
❷ Linux 服务器如何开放端口 配置防火墙
打开配置文件
命令代码
[root@localhost~]#/etc/init.d/iptablesstop
❸ linux中如何显示当前登陆系统用户的状态
linux下查看用户及用户组的方法
whois
功能说明:查找并显示用户信息。
语 法:whois [帐号名称]
补充说明:whois指令会去查找并显示指定帐号的用户相关信息,因为它是到Network Solutions 的WHOIS数据库去查找,所以该帐号名称必须在上面注册方能寻获,且名称没有大小写的差别。
---------------------------------------------------------
whoami
功能说明:先似乎用户名称。
语 法:whoami [--help][--version]
补充说明:显示自身的用户名称,本指令相当于执行"id -un"指令。
参 数:
--help 在线帮助。
--version 显示版本信息。
---------------------------------------------------
who
功能说明:显示目前登入系统的用户信息。
语 法:who [-Himqsw][--help][--version][am i][记录文件]
补充说明:执行这项指令可得知目前有那些用户登入系统,单独执行who指令会列出登入帐号,使用的 终端机,登入时间以及从何处登入或正在使用哪个X显示器。
参 数:
-H或--heading 显示各栏位的标题信息列。
-i或-u或--idle 显示闲置时间,若该用户在前一分钟之内有进行任何动作,将标示成"."号,如果该用户已超过24小时没有任何动作,则标示出"old"字符串。
-m 此参数的效果和指定"am i"字符串相同。
-q或--count 只显示登入系统的帐号名称和总人数。
-s 此参数将忽略不予处理,仅负责解决who指令其他版本的兼容性问题。
-w或-T或--mesg或--message或--writable 显示用户的信息状态栏。
--help 在线帮助。
--version 显示版本信息。
----------------------------------------------------
w
功能说明:显示目前登入系统的用户信息。
语 法:w [-fhlsuV][用户名称]
补充说明:执行这项指令可得知目前登入系统的用户有那些人,以及他们正在执行的程序。单独执行w
指令会显示所有的用户,您也可指定用户名称,仅显示某位用户的相关信息。
参 数:
-f 开启或关闭显示用户从何处登入系统。
-h 不显示各栏位的标题信息列。
-l 使用详细格式列表,此为预设值。
-s 使用简洁格式列表,不显示用户登入时间,终端机阶段作业和程序所耗费的CPU时间。
-u 忽略执行程序的名称,以及该程序耗费CPU时间的信息。
-V 显示版本信息。
-----------------------------------------------------
finger命令
finger命令的功能是查询用户的信息,通常会显示系统中某个用户的用户名、主目录、停滞时间、登录时间、登录shell等信息。如果要查询远程机上的用户信息,需要在用户名后面接“@主机名”,采用[用户名@主机名]的格式,不过要查询的网络主机需要运行finger守护进程。
该命令的一般格式为:
finger [选项] [使用者] [用户@主机]
命令中各选项的含义如下:
-s 显示用户的注册名、实际姓名、终端名称、写状态、停滞时间、登录时间等信息。
-l 除了用-s选项显示的信息外,还显示用户主目录、登录shell、邮件状态等信息,以及用户主目录下的.plan、.project和.forward文件的内容。
-p 除了不显示.plan文件和.project文件以外,与-l选项相同。
[例]在本地机上使用finger命令。
$ finger xxq
Login: xxq Name:
Directory: /home/xxq Shell: /bin/bash
Last login Thu Jan 1 21:43 (CST) on tty1
No mail.
No Plan.
$ finger
Login Name Tty Idle Login Time Office Office Phone
root root *1 28 Nov 25 09:17
……
------------------------------------------------------------------
/etc/group文件包含所有组
/etc/shadow和/etc/passwd系统存在的所有用户名
修改当前用户所属组的方法
usermod 或者可以直接修改 /etc/paaawd文件即可
----------------------------------------------------------------
vlock(virtual console lock)
功能说明:锁住虚拟终端。
语 法:vlock [-achv]
补充说明:执行vlock指令可锁住虚拟终端,避免他人使用。
参 数:
-a或--all 锁住所有的终端阶段作业,如果您在全屏幕的终端中使用本参数,则会将用键盘
切换终端机的功能一并关闭。
-c或--current 锁住目前的终端阶段作业,此为预设值。
-h或--help 在线帮助。
-v或--version 显示版本信息。
--------------------------------------------------------
usermod
功能说明:修改用户帐号。
语 法:usermod [-LU][-c <备注>][-d <登入目录>][-e <有效期限>][-f <缓冲天数>][-g <群组>][-G <群组>][-l <帐号名称>][-s ][-u ][用户帐号]
补充说明:usermod可用来修改用户帐号的各项设定。
参 数:
-c<备注> 修改用户帐号的备注文字。
-d登入目录> 修改用户登入时的目录。
-e<有效期限> 修改帐号的有效期限。
-f<缓冲天数> 修改在密码过期后多少天即关闭该帐号。
-g<群组> 修改用户所属的群组。
-G<群组> 修改用户所属的附加群组。
-l<帐号名称> 修改用户帐号名称。
-L 锁定用户密码,使密码无效。
-s 修改用户登入后所使用的shell。
-u 修改用户ID。
-U 解除密码锁定。
-------------------------------------------------------
userdel
功能说明:删除用户帐号。
语 法:userdel [-r][用户帐号]
补充说明:userdel可删除用户帐号与相关的文件。若不加参数,则仅删除用户帐号,而不删除相关文件。
参 数:
-f 删除用户登入目录以及目录中所有文件。
----------------------------------------------------------
userconf
功能说明:用户帐号设置程序。
语 法:userconf [--addgroup <群组>][--adser <用户ID><群组><用户名称>][--delgroup <群组>][--deluser <用户ID>][--help]
补充说明:userconf实际上为linuxconf的符号连接,提供图形界面的操作方式,供管理员建立与管理各类帐号。若不加任何参数,即进入图形界面。
参 数:
--addgroup<群组> 新增群组。
--adser<用户ID><群组><用户名称> 新增用户帐号。
--delgroup<群组> 删除群组。
--deluser<用户ID> 删除用户帐号。
--help 显示帮助。
------------------------------------------------------
useradd
功能说明:建立用户帐号。
语 法:useradd [-mMnr][-c <备注>][-d <登入目录>][-e <有效期限>][-f <缓冲天数>][-g <群组>][-G <群组>][-s ][-u ][用户帐号] 或 useradd -D [-b][-e <有效期限>][-f <缓冲天数>][-g <群组>][-G <群组>][-s ]
补充说明:useradd可用来建立用户帐号。帐号建好之后,再用passwd设定帐号的密码.而可用userdel删除帐号。使用useradd指令所建立的帐号,实际上是保存在/etc/passwd文本文件中。
参 数:
-c<备注> 加上备注文字。备注文字会保存在passwd的备注栏位中。
-d<登入目录> 指定用户登入时的启始目录。
-D 变更预设值.
-e<有效期限> 指定帐号的有效期限。
-f<缓冲天数> 指定在密码过期后多少天即关闭该帐号。
-g<群组> 指定用户所属的群组。
-G<群组> 指定用户所属的附加群组。
-m 自动建立用户的登入目录。
-M 不要自动建立用户的登入目录。
-n 取消建立以用户名称为名的群组.
-r 建立系统帐号。
-s 指定用户登入后所使用的shell。
-u 指定用户ID
======================================================================
❹ linux怎么查看用户组里有哪些用户
【步骤一】cat /etc/passwd
cat /etc/passwd查看所有的用户信息,详情如下图
❺ 在linux 下如何设置iptables 防火墙
Iptable -A Input -p Tcp -d 自己的IP地址 b --dPort 端口 -J Reject
RedHat机器
cat /etc/sysconfig/iptables
*filter
:INPUT ACCEPT [10276:1578052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [13784:16761487]
-A INPUT -s 10.0.0.0/255.0.0.0 -i eth1 -j DROP
-A INPUT -s 172.16.0.0/255.240.0.0 -j DROP
-A INPUT -s 192.168.0.0/255.255.0.0 -i eth1 -j DROP #eth1 is interface to internet
# anti Sync Flood
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT
# anti some port scan
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT
# anti ping of death
-A FORWARD -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
COMMIT
chkconfig iptables on
以后每次启动iptables就会自动读取配置文件(/etc/sysconfig/iptables)
自动启动
或者是/etc/rc.d/init.d/iptables start手工启动
/etc/rc.d/init.d/iptables stop手工停止
在LINUX下架设防火墙
linuxbird
随着Internet的普及,人们的日常工作与之的关系也越来紧密,因而越来越多的单位为员工开设了Internet的代理上网服务。但当一个企业的内部网络接上Internet之后,企业的内部资源就象待卖的羔羊一样,面临任人宰割的危险,因而系统的安全除了考虑计算机病毒、系统的健壮性等内部原因之外,更主要的是防止非法用户通过Internet的入侵。而目前防止的措施主要是靠防火墙的技术完成。
一、什么是防火墙
防火墙(firewall)是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道(Internet)之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。主要是控制对受保护的网络(即网点)的往返访问,逼使各连接点的通过能得到检查和评估。
从诞生到现在,防火墙已经历了四个发展阶段:基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。目前防火墙供应商提供的大部分都是具有安全操作系统的软硬件结合的防火墙,象NETEYE、NETSCREEN、TALENTIT等。在LINUX操作系统上的防火墙软件也很多,除了下面要专门介绍的IPCHAINS外,还有很多,如:Sinus Firewall、Jfwadmin等。
目前的防火墙从结构上讲,可分为两种:
1) 代理主机结构
内部网络<----->代理网关(Proxy Gateway)<----->Internet
2) 路由器加过滤器结构
内部网络<----->过滤器(Filter)<---->路由器(Router)<---->Internet
二、用IPCHAINS构建局域网防火墙的原理
其实从本质上讲,用IPCHAINS构建局域网防火墙也是一种C/S模式的交互式的应用。一般服务器提供某特定功能的服务总是由特定的后台程序提供的。在TCP/IP网络中,常常把这个特定的服务绑定到特定的TCP或UDP端口。之后,该后台程序就不断地监听(listen)该端口,一旦接收到符合条件的客户端请求,该服务进行TCP握手后就同客户端建立一个连接,响应客户请求。与此同时,再产生一个该绑定的拷贝,继续监听客户端的请求。
IPCHAINS就是这样的一个SERVER。对内部网通往Intenet的请求,或从外部通往内部网的请求,都进行监听、检查、评估、转发、拒绝等动作。
常用的服务、协议与默认端口。
服务类型 协议 端口
WWW TCP/UDP 80
TELNET
ICMP
SMTP
POP3
ftp
DNS
三、用IPCHAINS作防火墙的步骤
1.安装
IPCHAINS现在的版本已经发展到1.3.9。一般在安装LINUX时都会安装上,如果没有的话可以到www.linux.org下载。下面笔者一TLC4.0为例安装IPCHAINS。由于它需IP-MASQ的支持,所以确定已安装了IP-MASQ模块。
在TLC4.0中,把该光盘放入光驱中,
#turbopkg
并选择ipchains,然后按OK就自动自动安装了。
如果你是下载ipchains安装包的话:
1)如果是rpm包:
#rpm –ivh *.rpm
2)如果是.tar.gz包
#tar xvfz *.tar.gz(先把包解开)
再到解开目录
#./configure
#make
#make install
这样就安装成功了。
2.启用ipchains
手工修改 /proc/sys/net/ipv4/ipforward文件,将其内容置为1。
在/etc/rc.d/目录下用touch命令建立rc.ipfwadm文件
在/etc/rc.d/目录下的rc.local文件中加上下面这段代码:
if [ -f /etc/rc.d/rc.ipfwadm ]; then /etc/rc.d/rc.ipfwadm; fi;
以后所有的ipchains的配置命令都将在rc.ipfwadm文件里修改。
3.配置ipchains(基本应用)
ipchains对机器的管理是通过对机器的ip地址作为标志的,因而首先得确保你的局域网的机器的ip地址已经配分配好,并且你对之相当熟悉。
Ipchains的配置规则一般是围绕着input、output、ipforward这三个规则进行的,其中input是指对内连接请求的过滤规则,output是指对外连接请求的过滤规则,ipforward是指对内部与外部通讯包的转发。Ipchains的命令格式一般是:
ipchains [ADC] ipchains规则 [ipchains 选项]。
有关命令的详细用法请参考有关HOWTO文档。
现在我们假设企业的内部网网段为192.168.1.0~192.168.1.255.其中防火墙的主机的IP地址为:192.168.1.1,假设目前防火墙是进行代理上网,拒绝所有的外部telnet。对内部用户访问外部站点进行限制、并授予一些机器特权可任意访问外部机器、拒绝内部某些机器访问Internet等。网段示意图为:
+--------------+
| 内部网段 | 192.168.1.1 ISDN、PSDN
| +------------|firewall|<===============>Internet
| 192.168.1.0 | +--------+
+-------------- +
配置ipchains防火墙规则一般有两种方式:
1) 首先允许所有的包,然后在禁止有危险的包通过防火墙;
2) 首先禁止所有的包,然后再根据所需要的服务允许特定的包通过防火墙。
相比较而言,第二种方式的做法更为安全。
下面是我的rc.ipfwadm的文件内容:
/sbin/depmod –a
/*自动加载所需模块,如果觉得这样有危险,需手动指定安装模块,可以如下面这一小段就是手动指定加载模块*/
#/sbin/modprobe /lib/moles/2.2.10/ipv4/ip_masq_ftp
/*加载ip伪装的ftp模块*/
#/sbin/modprobe /lib/moles/2.2.10/ipv4/ip_masq_irc
/*加载ip伪装的irc模块*/
#/sbin/modprobe /lib/moles/2.2.10/ipv4/ip_masq_raudio
#/sbin/modprobe /lib/moles/2.2.10/ipv4/ip_masq_user
#/sbin/modprobe /lib/moles/2.2.10/ipv4/ip_masq_autofw
/sbin/modprobe -a -t /lib/moles/2.2.10/ipv4/ip_masq*
/*自动加载ip伪装的相关模块*/
ipchains –F
/*刷新所有的ipchains规则*/
ipchains -P forward DENY
/*拒绝转发所有的ip包*/
/*下面允许特定的包通过*/
/*开设权限比较高的主机*/
ipchains -A forward -s 192.168.1.10/32 -j MASQ
/*允许内部的192.168.1.10主机不受限制访问。比如总经理*/
ipchains -A forward -s 192.168.1.12/32 -j MASQ
/*允许内部的192.168.1.12主机不受限制访问。比如系统管理员,在依次添加*/
ipchains -A forward -s 192.168.1.41/32 -j MASQ
/*for example linuxbird的主机地址:192.168.1.41*/
/*某些机器,因需要不能对外连接*/
ipchains -A forward -s 192.168.1.3/32 -j DENY
/*此机器为内部文档专用机,不能访问外部*/
/*设置内部普通用户能访问的站点*/
ipchains -A forward -d 202.101.98.55/32 -j MASQ # FJ-DNS
ipchains -A forward -d 202.101.0.133/32 -j MASQ # FJ-DNS
/*这是上网的DNS服务器,本人用的是福州电信局的DNS*/
/*以下是普通用户能访问的站点,根据需要可以对其增删改*/
ipchains -A forward -d 202.101.98.50/32 -j MASQ
/* public.fz.fj.cn*/
ipchains -A forward -d 202.101.98.60/32 -j MASQ
/* pub5.fz.fj.cn*/
ipchains -A forward -d 202.96.44.14/24 -j MASQ
/*freemail.263.net*/
ipchains -A forward -d 202.99.11.120/32 -j MASQ
/*www.linuxaid.com.cn*/
ipchains -A forward -d 205.227.44.44/24 -j MASQ
/* www.oracle.com*/
ipchains -A forward -d 205.227.44.46/32 -j MASQ
/* lliance.oracle.com*/
#ipchains -A forward -d 205.227.44.237/32 -j MASQ
/* support.oracle.com*/
ipchains -A forward -d 209.246.5.38/24 -j MASQ
/* technet.oracle.com*/
ipchains -A forward -d 137.69.200.8/32 -j MASQ
/* www.legato.com*/
ipchains -A forward -d 202.96.125.102/32 -j MASQ
/*www.188.net*/
ipchains -A forward -d 207.105.83.51/32 -j MASQ
/* www.borland.com*/
ipchains -A forward -d 207.46.131.30/24 -j MASQ
/* www.microsoft.com*/
ipchains -A forward -d 207.46.130.30/24 -j MASQ
/* www.microsoft.com*/
ipchains -A forward -d 204.146.81.99/32 -j MASQ
/* www.ibm.com*/
ipchains -A forward -d 202.102.24.74/24 -j MASQ
/* www.lodesoft.com*/
ipchains -A forward -d 210.77.34.109/32 -j MASQ
/* www.csdn.net*/
ipchains -A forward -d 192.138.151.66/32 -j MASQ
/* www.sybase.com*/
ipchains -A forward -d 202.102.26.1/32 -j MASQ
/* www.nari-china.com*/
ipchains -A forward -d 202.102.26.51/32 -j MASQ
/*www.aeps-info.com*/
ipchains -A forward -d 202.106.185.2/32 -j MASQ
/* www.sohu.com */
……
❻ 如何在linux下用tcp传输文件
一. FTP 说明 linux 系统下常用的FTP 是vsftp, 即Very Security File Transfer Protocol. 还有一个是proftp(Profession ftp)。 我们这里也是简单的说明下vsftp的配置。 vsftp提供3种远程的登录方式: (1)匿名登录方式 就是不需要用户名,密码。就能登录到服务器电脑里面 (2)本地用户方式 需要帐户名和密码才能登录。而且,这个帐户名和密码,都是在你linux系统里面,已经有的用户。 (3)虚拟用户方式 同样需要用户名和密码才能登录。但是和上面的区别就是,这个用户名和密码,在你linux系统中是没有的(没有该用户帐号) 二. Vsftp的安装配置 2.1 安装 vsftp 的安装包,可以在安装里找到。 用yum 安装过程也很简单。 安装命令:yum install vsftpd 2.2. 相关命令 2.2.1 启动与关闭 [root@singledb ~]# service vsftpd start Starting vsftpd for vsftpd: [ OK ] [root@singledb ~]# service vsftpd stop Shutting down vsftpd: [ OK ] [root@singledb ~]# service vsftpd restart Shutting down vsftpd: [FAILED] Starting vsftpd for vsftpd: [ OK ] [root@singledb ~]# /etc/init.d/vsftpd start Starting vsftpd for vsftpd: [FAILED] [root@singledb ~]# /etc/init.d/vsftpd stop Shutting down vsftpd: [ OK ] [root@singledb ~]# /etc/init.d/vsftpd restart Shutting down vsftpd: [FAILED] Starting vsftpd for vsftpd: [ OK ] [root@singledb ~]# /etc/init.d/vsftpd status vsftpd (pid 3931) is running... [root@singledb ~]# 2.2.2. 其他命令 --查看vsftpd 启动状态 [root@singledb ~]# chkconfig --list vsftpd vsftpd 0:off 1:off 2:off 3:off 4:off 5:off 6:off [root@singledb ~]# chkconfig vsftpd on [root@singledb ~]# chkconfig --list vsftpd vsftpd 0:off 1:off 2:on 3:on 4:on 5:on 6:off 这里看到,默认情况下从2到5设置为on了。2到5是多用户级别。 这个对应的是linux不同的运行级别。 我们也可以加level 选项来指定: [root@singledb ~]# chkconfig --level 0 vsftpd on [root@singledb ~]# chkconfig --list vsftpd vsftpd 0:on 1:off 2:on 3:on 4:on 5:on 6:off 我们看到0已经设置为on了。 我们可以使用man chkconfig 来查看帮助: --level levels Specifies the run levels an operation should pertain to. It is given as a string of numbers from 0 to 7. For example, --level 35 specifies runlevels 3 and 5. 传统的init 定义了7个运行级(run level),每一个级别都代表系统应该补充运行的某些特定服务: (1)0级是完全关闭系统的级别 (2)1级或者S级代表单用户模式 (3)2-5 级 是多用户级别 (4)6级 是 重新引导的级别 (1)查看防火墙 我一般都是把系统的防火墙关闭了。 因为开了会有很多限制。 [root@singledb ~]# /etc/init.d/iptables status Table: nat Chain PREROUTING (policy ACCEPT) num target prot opt source destination Chain POSTROUTING (policy ACCEPT) num target prot opt source destination 1 MASQUERADE all -- 192.168.122.0/24 !192.168.122.0/24 Chain OUTPUT (policy ACCEPT) num target prot opt source destination Table: filter Chain INPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 3 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67 4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:67 Chain FORWARD (policy ACCEPT) num target prot opt source destination 1 ACCEPT all -- 0.0.0.0/0 192.168.122.0/24 state RELATED,ESTABLISHED 2 ACCEPT all -- 192.168.122.0/24 0.0.0.0/0 3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 4 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable 5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable Chain OUTPUT (policy ACCEPT) num target prot opt source destination You have new mail in /var/spool/mail/root --添加开放21号端口: [root@singledb ~]# /sbin/iptables -I INPUT -p tcp --dport 21 -j ACCEPT [root@singledb ~]# /etc/init.d/iptables status Table: nat Chain PREROUTING (policy ACCEPT) num target prot opt source destination Chain POSTROUTING (policy ACCEPT) num target prot opt source destination 1 MASQUERADE all -- 192.168.122.0/24 !192.168.122.0/24 Chain OUTPUT (policy ACCEPT) num target prot opt source destination Table: filter Chain INPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 2 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 3 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 4 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67 5 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:67 Chain FORWARD (policy ACCEPT) num target prot opt source destination 1 ACCEPT all -- 0.0.0.0/0 192.168.122.0/24 state RELATED,ESTABLISHED 2 ACCEPT all -- 192.168.122.0/24 0.0.0.0/0 3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 4 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable 5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable Chain OUTPUT (policy ACCEPT) num target prot opt source destination --保存配置 [root@singledb ~]# /etc/rc.d/init.d/iptables save Saving firewall rules to /etc/sysconfig/iptables: [ OK ] --重启防火墙: [root@singledb ~]# service iptables {startstoprestart} (2)查看关闭selinux [root@singledb ~]# sestatus SELinux status: disabled 我这里在安装操作系统的时候就关闭了selinux,如果没有关闭,可以修改如下文件来关闭: [root@singledb ~]# cat /etc/sysconfig/selinux # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - SELinux is fully disabled. SELINUX=disabled # SELINUXTYPE= type of policy in use. Possible values are: # targeted - Only targeted network daemons are protected. # strict - Full SELinux protection. SELINUXTYPE=targeted [root@singledb ~]# 保存退出并重启系统reboot 三. FTP配置文件 FTP 安装好之后,在/etc/vsftpd/目录下会有如下文件: [root@singledb ~]# cd /etc/vsftpd/ [root@singledb vsftpd]# ls ftpusers user_list vsftpd.conf vsftpd_conf_migrate.sh [root@singledb vsftpd]# vsftpd.conf: 主配置文件 ftpusers: 指定哪些用户不能访问FTP服务器 user_list: 指定的用户是否可以访问ftp服务器由vsftpd.conf文件中的userlist_deny的取值来决定。 [root@singledb vsftpd]# cat user_list # vsftpd userlist # If userlist_deny=NO, only allow users in this file # If userlist_deny=YES (default), never allow users in this file, and # do not even prompt for a password. # Note that the default vsftpd pam config also checks /etc/vsftpd/ftpusers # for users that are denied. 我们过滤掉#的注释后,查看一下vsftpd.conf 文件: [root@singledb ftp]# cat /etc/vsftpd/vsftpd.conf grep -v '^#'; anonymous_enable=YES local_enable=YES write_enable=YES local_umask=022 dirmessage_enable=YES xferlog_enable=YES connect_from_port_20=YES xferlog_std_format=YES listen=YES pam_service_name=vsftpd userlist_enable=yes tcp_wrappers=YES 至于这些参数的意思,在注释里有详细的说明。 我们可以在vsftpd.conf 文件设置如下参数: (1)ftpd_banner=welcome to ftp service :设置连接服务器后的欢迎信息 (2)idle_session_timeout=60 :限制远程的客户机连接后,所建立的控制连接,在多长时间没有做任何的操作就会中断(秒) (3)data_connection_timeout=120 :设置客户机在进行数据传输时,设置空闲的数据中断时间 (4)accept_timeout=60 设置在多长时间后自动建立连接 (5)connect_timeout=60 设置数据连接的最大激活时间,多长时间断开,为别人所使用; (6)max_clients=200 指明服务器总的客户并发连接数为200 (7)max_per_ip=3 指明每个客户机的最大连接数为3 (8)local_max_rate=50000(50kbytes/sec) 本地用户最大传输速率限制 (9)anon_max_rate=30000匿名用户的最大传输速率限制 (10)pasv_min_port=端口 (11)pasv-max-prot=端口号 定义最大与最小端口,为0表示任意端口;为客户端连接指明端口; (12)listen_address=IP地址 设置ftp服务来监听的地址,客户端可以用哪个地址来连接; (13)listen_port=端口号 设置FTP工作的端口号,默认的为21 (14)chroot_local_user=YES 设置所有的本地用户可以chroot (15)chroot_local_user=NO 设置指定用户能够chroot (16)chroot_list_enable=YES (17)chroot_list_file=/etc/vsftpd/chroot_list(只有/etc/vsftpd/chroot_list中的指定的用户才能执行 ) (18)local_root=path 无论哪个用户都能登录的用户,定义登录帐号的主目录, 若没有指定,则每一个用户则进入到个人用户主目录; (19)chroot_local_user=yes/no 是否锁定本地系统帐号用户主目录(所有);锁定后,用户只能访问用户的主目录/home/user,不能利用cd命令向上转;只能向下; (20)chroot_list_enable=yes/no 锁定指定文件中用户的主目录(部分),文件:/chroot_list_file=path 中指定; (21)userlist_enable=YES/NO 是否加载用户列表文件; (22)userlist_deny=YES 表示上面所加载的用户是否允许拒绝登录; (23)userlist_file=/etc/vsftpd/user_list 列表文件 限制IP 访问FTP: #vi /etc/hosts.allow vsftpd:192.168.5.128:DENY 设置该IP地址不可以访问ftp服务 FTP 访问时间限制: #cp /usr/share/doc/vsftpd-1.1.3/vsftpd.xinetd /etc/xinetd.d/vsftpd #vi /etc/xinetd.d/vsftpd/ 修改 disable = no access_time = hour:min-hour:min (添加配置访问的时间限制(注:与vsftpd.conf中listen=NO相对应) 例: access_time = 8:30-11:30 17:30-21:30 表示只有这两个时间段可以访问ftp ftp的配置基本上只有这些了。 默认情况下,ftp根目录是/var/ftp。 如果要修改这个目录位置,可以更改/etc/passwd 文件: [root@singledb ftp]# cat /etc/passwd grep ftp ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin 创建一个用户来访问FTP,并指定该用户的FTP 目录: [root@singledb u02]# useradd -d /u02/qsftp qs [root@singledb u02]# passwd qs Changing password for user qs. New UNIX password: BAD PASSWORD: it is WAY too short Retype new UNIX password: passwd: all authentication tokens updated successfully. 这里指定的是/u02/qsftp 这个目录,要注意个目录的权限。 更改用户不能telnet,只能ftp: usermod -s /sbin/nologin username //用户只能ftp,不能telnet usermod -s /sbin/bash username //用户恢复正常 禁止用户ssh登陆 useradd username -s /bin/false 更改用户主目录: usermod -d /bbb username //把用户的主目录定为/bbb 然后用qs这个用户就可以访问了。 以上只是一些简单的设置。 在用户权限这块还有很多内容可以研究。 比如特定用户的特定权限。 安全性等。 以后在研究了。
❼ 如何在虚拟机上的Linux系统配置FTP服务,跟Windows建立连接传输文件
在虚拟机上的Linux系统配置FTP服务,跟Windows建立连接传输文件的具体操作步骤如下:
1、在电脑上下载并安装好小型FTP服务器(Quick Easy FTP Server) 软件,打开进行设置用户名,用于远程登录。
❽ linux系统有哪些快捷键
CentOS 6.4 中可以通过系统->首选项->键盘快捷键来设置快捷键,如图所示。例如可将运行终端的快捷键设为Ctrl+Alt+T。
Ctrl + u 删除光标之前到行首的字符
Ctrl + k 删除光标之前到行尾的字符
Ctrl + c 取消当前行输入的命令,相当于Ctrl + Break
Ctrl + a 光标移动到行首(ahead of line),相当于通常的Home键
Ctrl + e 光标移动到行尾(end of line)
Ctrl + f 光标向前(forward)移动一个字符位置
Ctrl + b 光标往回(backward)移动一个字符位置
Ctrl + l 清屏,相当于执行clear命令
Ctrl + r 显示:号提示,根据用户输入查找相关历史命令(reverse-i-search)
Ctrl + w 删除从光标位置前到当前所处单词(word)的开头
Ctrl + t 交换光标位置前的两个字符
Ctrl + y 粘贴最后一次被删除的单词
Ctrl + Alt + d 显示桌面
Alt + b 光标往回(backward)移动到前一个单词
Alt + d 删除从光标位置到当前所处单词的末尾
Alt + F2 运行
Alt + F4 关闭当前窗口
Alt + F9 最小化当前窗口
Alt + F10 最大化当前窗口
Alt + Tab 切换窗口
Alt +按住左键 移动窗口(或在最下面的任务栏滚动鼠标滑轮) 更多介绍可查阅《Linux就该这么学》。
❾ Linux中的网络配置怎么设置
设置网络地址:
cat/etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
BOOTPROTO=statics
HWADDR=00:0C:29:13:D1:6F
ONBOOT=yes
TYPE=Ethernet
IPADDR=192.168.0.212
NETMASK=255.255.255.0
BOOTPROTO=statics :表示使用静态IP地址
ONBOOT=yes:表示开机时,启动这个网卡。
取动态IP地址地址
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=dhcp
设置好IP地址,现在还不能生效哦,要重新启动网卡才可以。
Ifconfig <网络接口名称> network <子网掩码>
例:# ifconfig eth0 192.168.1.222 netmask 255.255.255.0
注:手工配置linux网络只限于临时使用,配置不保存。
扩展:# ifconfig eth0:1 10.0.0.1 netmask 255.0.0.0 一块网卡配置多个子ip地址。
# ifconfig eth0 hw ether MAC地址 修改网卡的mac地址,
#/etc/rc.d/init.d/networkstart启动network
#/etc/rc.d/init.d/networkstop停止network
#/etc/rc.d/init.d/networkrestart重启network
主机名称配置文件,修改主机名
/etc/sysconfig/network
例:# vi /etc/sysconfig/network 使用vi编辑器打开主机名配置文件。
#vi/etc/sysconfig/network
NETWORKING=yes 网络是否可用。
HOSTNAME=xxxx xxxx为新设置的主机名。
本地主机名称解析文件
/etc/hosts
Hosts 和 DNS具有类似的主机名称解析功能
域名服务器配置文件
/etc/resolv.conf
最多可以设置3行,前面的生效 有些看似很复杂的操作,可能几个命令就解决了,建议多学习些Linux命令
❿ 红帽 linux 无法成功安装
正确安装 VMWARE TOOLS步骤如下:
1、以ROOT身份进入LINUX
2、按下 CTRL+ALT组合键,进入主操作系统,点击VMWARE状态栏安装提示,或者点击 SETTING菜单下的ENABLE VMWARE TOOLS子菜单。
3、确认安装VMWARE TOOLS。
这时我们并没有真正的安装上了VMWARE TOOLS软件包,如果您点击菜单:DEVICES,您就会发现光驱的菜单文字变为:ide1:0-> C:Program FilesVMwareVMware WorkstationProgramslinux.iso,这表示VMWARE将LINUX的ISO映象文件作为了虚拟机的光盘
4、鼠标点击LINUX界面,进入LINUX。
5、运行如下命令,注意大小写。
mount -t iso9660 /dev/cdrom /mnt
加载CDROM设备,这时如果进入 /mnt 目录下,你将会发现多了一个文件:vmware-linux-tools.tar.gz。这就是WMWARE TOOLS的LINUX软件包,也就是我们刚才使用WINISO打开LINUX.ISO文件所看到的。
cp /mnt/vmware-linux-tools.tar.gz /tmp
将该软件包拷贝到LINUX的 TMP目录下。
umount /dev/cdrom
卸载CDROM。
cd /tmp
进入TMP目录
tar zxf vmware-linux-tools.tar.gz
解压缩该软件包,默认解压到vmware-linux-tools目录下(与文件名同名)。
cd vmware-linux-tools
进入解压后的目录
./install.pl
运行安装命令。
这时install提示你是否需要备份以前的配置文件,建议选择"y"。
等待INSTALL运行完成后,这时键入 START 命令,是不是可以看到漂亮的LINUX图形界面了?***********************************************************************************
第二篇
在WindowsXP上安装VMWare和在win2000上安装没什么区别,按照步骤来就行,
配置linux运行环境的时候,如果你真想玩,就别太省硬盘空间,反正你也有几十个G,
分出两个G给Linux也不算过分,如果你有两个以上的光驱设备,比如刻录机什么的,
别忘了在环境里设置一下启动顺序,有光驱,刻录机就省着点用吧
在环境里,对虚拟网卡有多种设置,看你的需要,如果只想自己连自己,可选Host-only,
毕竟要用Linux直接上网的不多,你要自己设定WindowsXP里的对应设备的IP,和Linux里的IP.
不过如果选择Bridged,通常Linux可以自动取得IP,如果你的宽带提供商能提供自动IP分配的话。
可我在Linux里上网总感觉字体很难看,而且我还是喜欢NetCaptor,方便!
在VMWare里安装Linux和在实际机器上安装过程没什么区别,虚拟环境设置成光驱启动按步骤来,就可以了,
注意把光盘放到你设置的那个光驱里。
安装时最好使用text方式,反正我追求安装速度。
出现Linux登录提示符也别高兴的太早了,要启动XWindow也要费周折,VMWare网站上有XWindow的专用驱动,
你要去下载回来,按照网站上的说明修改XWindow的配置文件,通常这样还是不行的,我的大部分时间都花在这上面了,
后来安装了VMware tools才能启动XWindow,建议你在装完VMware的驱动,修改完配置文件,就立刻安装VMware tools,
少走很多弯路。
到现在,你可以一台机器同时当两台使了,在WinXP下用你的Telnet工具登录到你自己的Linux上看看吧,体验一下远程访问,
注意,Linux有火墙设置,而且默认很多服务没有开,先进Linux里设置一下就可以了。
第三篇http://www.gamerhome.net/main/jingtai/62/73064.htm
以下是按总结的在XP和VMware Workstation 4.5.2下安装LINUX RED HAT 9 的要点。为了记录准确起见,偶删除了本已装好的VMWare下的RED HAT和VMWare下的虚拟机,重新设置虚拟机和安装RED HAT 9,一边设置/安装一边同时写下了以下的内容。之所以要这样,是因为对初学者来说,一个细小步骤/细节的省略或不清楚,都可能导致整个设置/安装过程的停顿。
这个安装是借助VMWARE在XP下进行的LINUX安装,但我推测,在纯PC系统下的LINUX安装不会有太多的不同。若果真如此,我们就完全可以说:RED HAT 9的安装和WINDOWS的安装一样地简单。
一、VMware Workstation 4.5.2的设定要点
1.先安装好VMware Workstation 4.5.2(俺用的是E文版)。点help下的enter serial number,输入注册码(否则程序不能用)。
2。选主窗口中的New Virtual Machine, 连按两个"下一步"之后,选"linux",并在下面的下拉选单里选自己的linux 版本,然后按"下一步";
3。按"browse"选择虚拟机在XP下的所在目录。默认的目录是
C:document. and SettingsqMy document.My Virtual MachinesRed Hat Linux
但我觉得最好不要和XP同在C盘上。另外,虚拟机目录所在的盘要有足够的空间,因为安装好的RED HAT 9本身就有近1.8G。定好虚拟机目录后按"下一步"。
4。选择适当的网络连接。按"下一步"。
5。这一步是指定虚拟盘的容量,默认的是4G。俺加到6G后按"完成"。界面上出现了虚拟机,有内存、硬盘、光驱、软驱、网卡、USB控制器、声频适配器。界面的左部是"start this virtual machine"和"edit virtual machine setting"两个命令。点"edit virtual machine setting"命令可以添加部件。具体步骤是在弹出的界面上点"ADD",然后选所要添加的部件。要注意的是,如果添加硬盘后又去掉(remove)硬盘,则好象并不删出XP目录下的这个硬盘项。具体情况还是问有经验的人吧。
二、启动VMware Workstation 4.5.2中的虚拟机以及安装RED HAT 9
1。启动之前,首先确定你的RED HAT 9是光盘还是虚拟光盘文件。我是在http://princo.org:8080/linux/redhat/9.0/iso/下载的RED HAT 9。
这个网站目录下共有7个文件,下载其中的3个带"386"字样的应该就可以了。这是虚拟光盘版的RH9。
2。若使用虚拟光盘版的RED HAT 9,要在启动VMWARE虚拟机前先装上虚拟光盘,方法是:
1)双击VMWare界面右部的光驱CD-ROM图标,
2)在弹出的对话框中选"Use ISO image",
3)按"Browse",选你下载好的3个光盘文件中的第一个(注意:在后面的安装过程中还要重复步骤2)和3)以选择这3个光盘文件中的另2个),然后按"OK"。
3。现在可以启动虚拟机了,就是点"start this virtual machine"命令,按OK,VMWARE的窗口里就出现了虚拟机启动的画面。
要注意的是光标在XP界面和VMWARE界面间的切换方法。光标从XP到VMWARE,只要在VMWARE窗口上点鼠标即可。从VMWARE回到XP,则要按CTRL+ALT。
4。RED HAT的光盘自动进入安装程序的界面。先问你要不要测光驱,我选不要;具体方法是:在VMWARE窗口上按一下鼠标,再按键盘上的右箭头键,然后回车。
5。然后,在选择语言鼠标等之后,安装程序问是否要自动分区(Aotumatic Partitioning),我直接点的"Next"。下一个界面中有关于Aotumatic Partitioning的3种选择,我选第3个"保持所有分区并使用已有的未使用空间"(keep all partitions and use existing free space)。然后我是连点NEXT。
5。选完系统时间之后,安装程序要求设置root (administrator)密码,中文直译是根(管理员)密码。设好后,连点几个"NEXT",就开始安装了。
6。一段安装过后(10分钟或更长吧),安装程序提示换第二张光盘,这时新手们可能感到不知所措了。正确的方法是,找到VMWARE窗口右下角边上的4个小图标,双击其中左数第二个(就是光驱图标),就会出现上面步骤2.2中提到的那个对话框,按"Browse",选你下载好的3个光盘文件中的第二个,按OK,再到VMWARE窗口中按OK,就完成了换第二张盘的工作。
7。在提示换第三张盘时,按步骤6的方法换第三张盘。
8。第三张读完后,系统问是否做启动盘,随便啦(俺没做),然后就是显卡之类的,俺都是默认。最后选一个"EXIT",VMWARE内系统重启。
9。重启后,系统提示你可以开一个个人帐号(personal account)和密码。注意,虽然这里不开帐号也能过,但实际上是不行的,你必须在这里起一个户名和密码,因为再启动时你必须提供personal account和密码,否则不给你开机。然后是选日子和试听声卡(第一次听到LINUX的声音,不错地呀)。然后问你是否注册,俺选NO(VMWare下吗,不过玩一玩而已啦)。接着又问有无附加安装,先不装吧,把系统搞定了先,所以直接按"FORWARD"。VMWARE内系统重启。
10。启动后,系统问用户名和密码。输入在步骤9中开的户名和密码即可(没有的不行!)然后,就是RED HAT 9的界面。安装大功告成啦!!!