05FTP服务器的配置与管理电子课件 Linux网络服务器配置与管理.pptx

《05FTP服务器的配置与管理电子课件 Linux网络服务器配置与管理.pptx》由会员分享，可在线阅读，更多相关《05FTP服务器的配置与管理电子课件 Linux网络服务器配置与管理.pptx（84页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、FTP服务器的配置与管理模块5模块5 FTP服务器的配置与管理通过本模块的学习，读者将达到以下职业能力目标和要求。了解FTP两种模式的理论知识。掌握FTP客户端的配置。掌握vsftpd服务的安装、启动与配置。掌握xfs文件系统的磁盘配额。23415.1 了解FTP文件传输协议（file transfer protocol,FTP）简称文传协议，用于在Internet上控制文件的双向传输，它也是一个应用程序，用户可以通过它把自己的计算机与世界各地所有运行FTP协议的服务器相连，以访问服务器上的大量程序和文件信息。目前，在开源操作系统中常用的FTP服务器程序主要有vsftpd、Proftpd、Pu

2、re-ftpd和Wu-ftpd等，其中，vsftpd是一款在Linux发行版中主流的FTP服务器程序，其特点是小巧轻快、安全易用。5.1 了解FTPFTP采用C/S架构模式，一边是客户端，另一边是服务器端，主要完成与远程计算机的文件传输，可以是客户端（如FileZilla）/服务器端（如Serv-U）这样的图形化界面，也可以是命令行形式的文本文件方式。客户端FTP服务器端5.1 了解FTP当FTP客户端要上传/下载文件时，通过与服务端21号端口建立于TCP之上的控制连接，当服务端收到命令之后立即进行验证或响应（如用户名和密码验证、文件传输命令等）。服务端收到文件传输命令时，就需要和客户端建立一

3、个数据连接通道用于传输文件，这个连接的建立，可以由客户端主动发起，也可以由服务端发起。5.1 了解FTP数据连接并不是永久性存在的，一旦传输完毕就会将这个连接关闭，而只有关闭客户端，控制连接才会随之关闭。控制连接是随客户端一起存在的，而数据连接是短暂存在的，只要文件/列表传输完成，数据连接就关闭了。FTP协议有主动式（PORT）和被动式（PASV）两种工作方式，主动与被动是针对服务器是否主动发起数据连接而言的。FTP协议工作方式主动式（PORT）被动式（PASV）5.1 了解FTP1.主动式主动式（PORT）的具体连接流程如图5-1所示。图5-1 FTP主动式模式在第1步中，客户端的命令端口（

4、1024）与FTP服务端的命令端口（21）建立连接，并发送命令“PORT 1027”。在第2步中，FTP服务端给客户端的命令端口返回一个ACK。AB在第3步中，FTP服务端发起一个从它自己的数据端口（20）到客户端先前指定的数据端口（1027）的连接。在第4步中，客户端给FTP服务端返回一个ACK响应，主动式的控制连接和数据连接已经建立成功。CD5.1 了解FTP2.被动式在FTP被动模式中，控制连接和数据连接都由客户端发起，这样可以解决从服务端到客户端的数据端口的入方向连接被客户端所在网络防火墙过滤掉的问题。被动式（PASV）的具体连接流程如图5-2所示。图5-2 FTP被动式模式5.1 了

5、解FTP2.被动式 在第3步中，客户端发起一个从它自己的数据端口（N+1）到FTP服务端先前指定的数据端口（2024）的连接。在第4步中，FTP服务端给客户端的数据端口返回一个ACK响应，被动式的控制连接和数据连接已经建立成功。在第2步中，FTP服务端返回命令“PORT 2024”（可以自定义PORT范围）给客户端，告知FTP服务端将用哪个端口侦听数据连接。在第1步中，客户端的命令端口（1024）与FTP服务端的命令端口（21）建立连接，并发送命令PASV。010203045.1 了解FTP2.被动式被动式的FTP解决了客户端的许多问题，但同时给服务器端也带来了更多的问题，其中最大的问题是需要

6、允许从任意远程终端到服务器高位端口的连接。在企业实际环境中，如果FTP服务端和客户端均开放防火墙，FTP须以主动模式工作，这样只需要在FTP服务端防火墙规则中开放20、21端口即可。5.2 安装与启动vsftpd服务1.安装vsftpd软件包使用命令查看系统是否安装了vsftpd软件包，若未安装，则利用dnf方式进行安装（先要搭建好dnf源）。5.2 安装与启动vsftpd服务2.启动Samba服务5.3 配置vsftpd服务5.3.1主配置文件/etc/vsftpd/vsftpd.confvsftpd服务程序的主配置文件（/etc/vsftpd/vsftpd.conf）虽然有120多行，但可

7、以通过grep命令的“-v”参数过滤掉以“#”“；”开头的注释信息行及空白行，剩余的vsftpd服务程序参数并不复杂。5.3 配置vsftpd服务5.3.1主配置文件/etc/vsftpd/vsftpd.conf表5-1列出了vsftpd服务程序中常用的参数及作用。表5-1 vsftpd服务程序中常用的参数及作用5.3 配置vsftpd服务5.3.1主配置文件/etc/vsftpd/vsftpd.conf表5-1 vsftpd服务程序中常用的参数及作用 续表5.3 配置vsftpd服务5.3.1主配置文件/etc/vsftpd/vsftpd.conf本地用户模式匿名开放模式虚拟用户模式（1）匿

8、名开放模式：一种最不安全的认证模式，任何人都可以无需密码验证而直接登录FTP服务器。（2）本地用户模式：使用系统用户登录FTP，但是也比较危险。如果有人破解了账户的信息，就可以畅通无阻地登录FTP服务器。（3）虚拟用户模式：这3种模式中最安全的一种认证模式，其用户为虚拟用户，没有实际的真实系统用户，而是通过映射到其中一个真实用户及设置相应的权限来实现访问验证，虚拟用户不能登录Linux系统，从而让系统更加安全、可靠。vsftpd作为更加安全的文件传输服务程序，允许用户以3种认证模式登录到FTP服务器上。5.3 配置vsftpd服务5.3.2 配置匿名用户访问的FTP站点vsftpd服务程序中的

9、匿名开放是一种最不安全的验证模式，任何人都可以无需密码验证就登录到FTP服务端主机，这种模式一般只用来保存不重要的公开文件，尤其是在生产环境中更要注重安全问题。接下来配置的匿名用户，只是为了练习Linux系统中vsftpd服务程序的配置能力，不推荐在生产环境中使用。5.3 配置vsftpd服务5.3.2 配置匿名用户访问的FTP站点【例5-1】公司有台Linux服务器（192.168.136.128），现有资源要被不同部门、网段、主机等共享，为保证公司内部所有人都可以存取现有资源，须进行相关配置。vsftpd新版本默认不开启匿名访问模式，此时需要设置允许匿名访问，同时允许匿名用户拥有上传、下载

10、、创建、删除、更改文件名等权限。为满足实际要求，需要在/etc/vsftpd/vsftpd.conf主配置文件中加入与匿名相关的代码，表5-2列出了需要开放的权限参数及作用。5.3 配置vsftpd服务5.3.2 配置匿名用户访问的FTP站点表5-2 向匿名用户开放的权限参数及作用5.3 配置vsftpd服务5.3.2 配置匿名用户访问的FTP站点5.3 配置vsftpd服务5.3.2 配置匿名用户访问的FTP站点配置完成后，在Windows地址栏中输入ftp:/192.168.136.128并按Enter键，却提示无法登录，如图5-3所示。图5-3 FTP被动模式登录失败提示5.3 配置vs

11、ftpd服务5.3.2 配置匿名用户访问的FTP站点将防火墙禁用之后，能访问FTP服务，其实Chrome、Firefox或FileZilla等大多数客户端工具默认使用被动模式（PASV模式）访问FTP服务，当然在Windows地址栏中进行访问也属于此类，因此猜测是在被动模式下FTP工作时端口被拒绝导致。5.3 配置vsftpd服务5.3.2 配置匿名用户访问的FTP站点在vsftpd主配置文件中增加PASV端口设置，并在防火墙中开放指定端口范围，再次在Windows地址栏中进行访问，如图5-4所示。图5-4 FTP匿名用户登录成功5.3 配置vsftpd服务5.3.2 配置匿名用户访问的FTP

12、站点要在pub目录中进行上传、下载、创建、删除、重命名等操作，还必须修改FTP根目录/var/ftp/pub的所属身份或权限。5.3 配置vsftpd服务5.3.2 配置匿名用户访问的FTP站点双击进入图5-4中的pub文件夹，上传一个文件进行测试，系统依然提示错误，但是报错信息却与之前的不同，如图5-5所示。图5-5 上传文件提示FTP文件夹错误5.3 配置vsftpd服务5.3.2 配置匿名用户访问的FTP站点若设置SELinux为宽容模式，则未报错，那么可以断定是SELinux策略设置问题，先用getsebool命令查看与FTP相关的SELinux策略。可见策略ftpd_full_acc

13、ess-off是导致FTP上传文件错误的原因，修改策略并永久生效。5.3 配置vsftpd服务5.3.2 配置匿名用户访问的FTP站点现在就可以在pub目录中进行上传、下载、创建、删除、重命名等操作了，如图5-6所示。图5-6 上传、下载、创建、重命名等正常操作15.3 配置vsftpd服务5.3.2 配置匿名用户访问的FTP站点【例5-2】公司有一台Linux服务器（192.168.136.128），现有资源要被不同部门、网段、主机等共享，现把共享主目录设置在/anon_share，共享目录为/anon_share/pub，为保证公司内部所有人都可以存取该资源，需进行相关配置。（1）按照【例

14、5-1】进行配置文件、防火墙、SELinux策略的基础设置。（2）由于设置匿名共享主目录为/anon_share,因此需要设置anon_root=/anon_share。5.3 配置vsftpd服务5.3.2 配置匿名用户访问的FTP站点5.3 配置vsftpd服务5.3.2 配置匿名用户访问的FTP站点在Windows地址栏中输入ftp:/192.168.136.128并按Enter键，如果/anon_share/的group位和other位存在写（w）权限，则会一直要求登录身份认证，而匿名用户认证无法登录，如图5-7所示。图5-7 匿名登录认证失败5.3 配置vsftpd服务5.3.2 配

15、置匿名用户访问的FTP站点若权限设置正确，则进入pub目录中就可以进行上传、下载、创建、删除、重命名等操作，如图5-8所示。注意：进行下次实验前，建议先将系统恢复到快照干净状态，以避免冲突，导致产生过多的错误。图5-8 上传、下载、创建、重命名等正常操作25.3 配置vsftpd服务5.3.3 配置本地用户访问的FTP站点vsftpd匿名用户设置完毕，任何人都可以查看FTP服务端的文件或目录，甚至可以修改、删除文件或目录，通过vsftpd系统用户方式验证就可解决上述问题。【例5-3】公司有一台Linux服务器（192.168.136.128），现有资源要被不同部门、网段、主机等共享，为保证公司

16、内部正常使用FTP存取资源，须按以下3点要求进行配置：B（2）多次发现Tom账户非法获取资料，设置Tom账户为黑名单，不能认证登录。C（3）共享资源位置为/share目录，资源只能被管理员和拥有者删除。A（1）为保证共享信息的安全保密性，须进行“用户名+密码”认证方式。5.3 配置vsftpd服务5.3.3 配置本地用户访问的FTP站点实现vsftpd本地系统用户方式验证，需要在Linux系统中创建多个用户，而用户登录本地用户模式的FTP服务器，默认是进入用户的家目录。为满足以上3点要求，需要在/etc/vsftpd/vsftpd.conf主配置文件中加入与本地用户相关的代码，表5-3列出了需

17、要开放的权限参数及作用。表5-3 本地用户模式使用的权限参数及作用5.3 配置vsftpd服务5.3.3 配置本地用户访问的FTP站点5.3 配置vsftpd服务5.3.3 配置本地用户访问的FTP站点在Windows地址栏中输入ftp:/192.168.136.128并按Enter键，在弹出的对话框中提示输入用户名和密码，如图5-9所示。图5-9 FTP身份认证登录界面5.3 配置vsftpd服务5.3.3 配置本地用户访问的FTP站点用账户Jerry、Angi和Jack都可以正常登录，并且上传、下载和创建操作均没有问题，针对所属自己的文件进行的删除和更改文件名操作也没有问题，如图5-10所

18、示。图5-10 登录操作结果5.3 配置vsftpd服务5.3.3 配置本地用户访问的FTP站点而Tom账户由于加入user_list文件，所以不能登录，如图5-11所示。图5-11 Tom账户认证登录失败5.3 配置vsftpd服务5.3.4 配置虚拟用户访问的FTP站点vsftpd基于系统用户访问的FTP服务器中的系统用户越多，则越不利于管理，而且也不利于系统安全，为了使用户更加安全地使用vsftpd，建议使用vsftpd虚拟用户方式。vsftpd虚拟用户方式的好处在于系统中没有与之对应的真实账户，而是通过映射到其中一个真实用户，以及设置对应权限来实现访问验证的，虚拟用户不能登录Linux

19、系统，从而让系统更加安全、可靠。5.3 配置vsftpd服务5.3.4 配置虚拟用户访问的FTP站点【例5-4】公司有一台Linux服务器（192.168.136.128），现有资源要被不同部门、网段、主机等共享，为保证安全保密性，需要进行虚拟用户认证方式，HR部的所有人员（如fishyoung1和fishyoung2，密码均为123456）都映射到HR账户。为了尽快让公司内部正常地使用FTP存取资源，须进行相关配置。vsftpd虚拟用户配置步骤如下：（1）搭建yum/dnf源，安装需要用到的软件及认证模块。5.3 配置vsftpd服务5.3.4 配置虚拟用户访问的FTP站点（2）创建虚拟用户

20、临时文件/etc/vsftpd/virtualusers.txt，在其中按“一行用户名，一行密码”的格式填写。（3）生成vsftpd虚拟用户数据库认证文件，并设置其权限为700。5.3 配置vsftpd服务5.3.4 配置虚拟用户访问的FTP站点（4）在/etc/pam.d下新建虚拟用户认证的PAM文件vsftpd.vu，在其中添加相关内容。注意：“db=”参数后面填写的是db_load命令生成的虚拟用户数据库认证文件，但不用写数据库文件的.db后缀。（5）添加映射的实际账户HR，为保证系统安全，不设置密码和登录系统权限。5.3 配置vsftpd服务5.3.4 配置虚拟用户访问的FTP站点（6

21、）在/etc/vsftpd/vsftpd.conf主配置文件中加入与虚拟用户相关的代码，表5-4列出了需要开放的权限参数及作用。表5-4 虚拟用户认证使用的权限参数及作用5.3 配置vsftpd服务5.3.4 配置虚拟用户访问的FTP站点5.3 配置vsftpd服务5.3.4 配置虚拟用户访问的FTP站点至此，所有的虚拟用户都能认证登录，并且共同使用/home/HR主目录实现文件的上传、下载、创建、删除和重命名等操作，如图5-12所示。图5-12虚拟账户认证登录5.3 配置vsftpd服务5.3.5 设置虚拟用户的上传、下载、创建、删除和重命名等操作权限为了提高服务器的安全性，还需要对vsft

22、pd虚拟用户设置不同的权限，包括上传、下载、创建、删除和重命名等。【例5-5】公司有一台Linux服务器（192.168.136.128），现有资源要被不同部门、网段、主机等共享，为保证安全进行虚拟用户认证方式，HR部的所有人员（如fishyoung1和fishyoung2，密码均为123456）都映射到HR账户,但是发现有部分员工修改、删除部分内容或文件，为了尽快地让公司内部正常地使用FTP有部分权限地存取资源，须按要求进行配置。5.3 配置vsftpd服务5.3.5 设置虚拟用户的上传、下载、创建、删除和重命名等操作权限（2）fishyoung2账户只能进行上传、创建操作，不能进行下载、删

23、除、重命名等操作。（1）fishyoung1账户只能进行上传、创建、下载操作，不能进行删除、重命名等操作。5.3 配置vsftpd服务5.3.5 设置虚拟用户的上传、下载、创建、删除和重命名等操作权限独立虚拟用户配置步骤如下：在【例5-4】搭建基础上，实现vsftp虚拟用户的不同权限要求，须在/etc/vsftpd目录下新建一个目录，在其中分别创建以虚拟用户命名的普通文件，分别写入允许和拒绝的相关权限（须使用匿名用户的参数）。（1）按照【例5-4】进行基础配置搭建。（2）创建虚拟用户配置文件的主目录。5.3 配置vsftpd服务5.3.5 设置虚拟用户的上传、下载、创建、删除和重命名等操作权限

24、（3）修改vsftpd主配置文件，添加user_config_dir参数来定义虚拟用户不同权限配置文件所存放的路径。5.3 配置vsftpd服务5.3.5 设置虚拟用户的上传、下载、创建、删除和重命名等操作权限（4）分别为虚拟用户fishyoung1、fishyoung2创建配置文件。fishyoung1账户只能进行上传、下载、创建操作，不能进行删除、重命名等操作（使用匿名用户的参数）。5.3 配置vsftpd服务5.3.5 设置虚拟用户的上传、下载、创建、删除和重命名等操作权限在Windows地址栏中输入ftp:/192.168.136.128并按Enter键，提示输入用户名和密码，但是多次

25、输入正确的用户名和密码也无法登录，如图5-13所示。图5-13 无法登录5.3 配置vsftpd服务5.3.5 设置虚拟用户的上传、下载、创建、删除和重命名等操作权限分析：从2.3.5版本之后，vsftpd增强了安全检查，如果用户被限定在其主目录下，则该用户的主目录不再具有写权限。如果检查发现还有写权限，就会出错。由于采用fishyoung1用户认证登录，此用户是HR的虚拟用户，而HR对/home目录存在写（w）权限，所以出错。5.3 配置vsftpd服务5.3.5 设置虚拟用户的上传、下载、创建、删除和重命名等操作权限方 案（1）运行“chmoda-w/home”命令，去除写（w）权限，没有

26、写入权限，将无法进行增、删等操作。（2）其他不变，增加allow_writeable_chroot=YES，允许对主目录的写权限。解决方案：5.3 配置vsftpd服务5.3.5 设置虚拟用户的上传、下载、创建、删除和重命名等操作权限再次用fishyoung1账户登录并测试上传、删除、重名操作，以及不能删除、不能重命名等操作，如图5-14所示。（a）登录（b）上传图5-14 fishyoung1账户进行登录、上传、删除、重命名操作5.3 配置vsftpd服务5.3.5 设置虚拟用户的上传、下载、创建、删除和重命名等操作权限图5-14 fishyoung1账户进行登录、上传、删除、重命名操作（d

27、）重命名（c）删除5.3 配置vsftpd服务5.3.5 设置虚拟用户的上传、下载、创建、删除和重命名等操作权限fishyoung2账户只能进行上传、创建操作，不能进行下载、删除、重命名等操作（使用匿名用户的参数）。5.3 配置vsftpd服务5.3.5 设置虚拟用户的上传、下载、创建、删除和重命名等操作权限在Windows地址栏中输入ftp:/192.168.136.128并按Enter键，用fishyoung2账户登录并测试上传、重命名、删除操作，以及不能删除、不能重命名等操作，如图5-15所示。（a）登录（b）上传图5-15 fishyoung2账户登录、上传、删除、重命名操作5.3 配

28、置vsftpd服务5.3.5 设置虚拟用户的上传、下载、创建、删除和重命名等操作权限（c）删除（d）重命名图5-15 fishyoung2账户登录、上传、删除、重命名操作5.3 配置vsftpd服务5.3.5 设置虚拟用户的上传、下载、创建、删除和重命名等操作权限注意：目录默认可以下载（目录/文件混合的，仅下载目录，不包括文件），会提示错误。anon_world_readable_only=YES是默认值，因此可以不添加。5.3 配置vsftpd服务5.3.5 设置虚拟用户的上传、下载、创建、删除和重命名等操作权限从【例5-4】和【例5-5】中分析，virtual_use_local_priv

29、s=YES|NO和不同参数搭配所产生的虚拟用户权限效果是不一样的，当virtual_use_local_privs=YES时，虚拟用户和本地用户有相同的权限；当virtual_use_local_privs=NO时（默认为NO），虚拟用户和匿名用户有相同的权限，具体见表5-5。表5-5 virtual_use_local_privs与其他参数搭配效果表5.3 配置vsftpd服务5.3.5 设置虚拟用户的上传、下载、创建、删除和重命名等操作权限虚拟用户加载配置文件的顺序为：先加载主配置文件/etc/vsftpd/vsftpd.conf（可理解为全局配置文件），再加载虚拟用户独立的配置文件（如果

30、存在，可理解为局部配置文件），配置冲突时后者生效。因此，在进行权限管控时，主配置文件尽量设置为“NO”，对每个FTP用户再进行单独的控制，分别对应单独的配置文件，从而保证权限分配的合理性及安全性。5.4 配置FTP的客户端5.4.1 Windows客户端1.资源管理器登录方式在Windows地址栏中登录，命令格式为“ftp:/IP地址或主机名”,前面已多次使用，在此不再赘述。2.命令行方式在Windows系统中，单击“开始”按钮，在搜索框中输入“cmd”并按Enter键，打开命令提示符窗口，运行“ftp 192.168.136.128”命令，如图5-16所示。5.4 配置FTP的客户端5.4.

31、1 Windows客户端图5-16 用Windows命令行方式访问FTP服务器5.4 配置FTP的客户端5.4.2 Linux客户端使用命令查看系统是否安装了vsftpd软件包，若未安装，则利用dnf方式进行安装（先要搭建好dnf源）。5.4 配置FTP的客户端5.4.2 Linux客户端5.4 配置FTP的客户端5.4.2 Linux客户端FTP登录成功后，将出现FTP的命令行提示符“ftp”，在命令行中运行FTP命令即可实现相关的操作。在提示符下输入“？”并按Enter键，将显示FTP命令说明。其中常用的一些重要命令及作用见表5-6。表5-6 FTP常用命令及作用5.4 配置FTP的客户端

32、5.4.2 Linux客户端用Linux客户端访问【例5-3】搭建好的FTP站点，登录成功后，就可以通过cd命令切换目录,如下所示。5.4 配置FTP的客户端5.4.2 Linux客户端绝大多数情况下，为了保证系统的安全性和稳定性，都要求限制FTP用户只能在其主目录下活动，不允许它们跳出主目录之外浏览服务器上的其他目录。这时就需要使用到chroot_local_user、chroot_list_enable和chroot_list_file三个配置选项，三个配置项的解释如下：（1）chroot_local_user：是否将所有用户限制在主目录,YES/NO为启用/禁用（默认为NO）。安装vsf

33、tpd后不做配置，匿名用户不能切换到主目录之外，而FTP本地用户是可以切换到主目录之外的。（2）chroot_list_enable：是否启动限制用户的名单，YES/NO为启用/禁用（默认为NO）。5.4 配置FTP的客户端5.4.2 Linux客户端（3）chroot_list_file=/etc/vsftpd/chroot_list：是否限制在主目录下的用户名单，至于是限制/运行名单，则取决于chroot_local_user的值。chroot_local_user是一个全局性的设定，YES表示全部用户被锁定于主目录，NO则表示全部用户不被锁定于主目录。为适应一些特殊情况，可能需要做出“微

34、调”，即需要一种“例外机制，所以当chroot_list_enable=YES时，表示“需要例外”，当chroot_list_enable=NO时，表示“不需要例外”。5.4 配置FTP的客户端5.4.2 Linux客户端为了更好地理解与应用，假设存在Jerry与Jack两个本地用户，已经搭建好FTP的本地用户模式，并创建了/etc/vsftpd/chroot_list文件，在里面添加Jerry用户。5.4 配置FTP的客户端5.4.2 Linux客户端在主配置文件中chroot_local_user、chroot_list_enable和chroot_list_file三者的关系组合效果见表

35、5-7。表5-7 chroot三者的关系组合效果注意：匿名用户不能跳出主目录，如果增加匿名用户对应主目录的w权限，则需要在主配置文件中增加allow_writeable_chroot=YES选项；否则会报错，登录失败。5.4 配置FTP的客户端5.4.2 Linux客户端本地用户默认能跳出主目录，可以增加登录用户对应主目录的w权限，可以正常登录。如果设置chroot_local_user=YES，必须在主配置文件中增加allow_writeable_chroot=YES选项，才可以增加登录用户对应主目录的w权限，或更改主目录的所属主或所属组为登录用户；否则会报错，登录失败。对于chroot_l

36、ocal_user的设置，通常全局禁止跳出主目录（使用chroot_list添加例外）。5.5 xfs文件系统的磁盘配额在Linux中搭建了文件系统服务，以防服务器磁盘空间被恶意占满，这就要考虑使用磁盘容量配额服务，来限制某位用户或某个用户组针对特定文件夹可以使用的最大磁盘空间或最大文件个数，一旦达到这个最大值就不再允许继续使用。限制方法分为软限制和硬限制。软限制默认7天内允许超过，会有警告；硬限制不允许超过，硬限制应当比软限制大，否则软限制失效。只在指定的分区有效，针对用户、组（Block和Inode）进行限制，对组账号进行限制，组内所有用户的使用总和不能超过限制。5.5 xfs文件系统的磁

37、盘配额5.5.1 启用磁盘配额RHEL 7及以上版本默认采用的是xfs文件系统，同时磁盘配置支持/boot及独立分区，使用的是uquota参数，接下来以独立分区为例进行讲解。5.5 xfs文件系统的磁盘配额5.5.2 设置磁盘配额xfs文件系统通过xfs_quota工具进行管理，通过安装xfsprogs软件包得到。格式为“xfs_quota参数配额文件系统”。其中，-c参数用于直接调用管理命令；-x参数是启动专家模式，在当前模式下允许对配额系统进行修改的所有管理命令可用。接下来使用xfs_quota命令设置用户Jerry对/share目录的磁盘容量配额。具体的配额控制包括：磁盘使用量的软限制和

38、硬限制分别为12 MB和24 MB；创建文件数量的软限制和硬限制分别为5个和8个。5.5 xfs文件系统的磁盘配额5.5.2 设置磁盘配额下面配置硬限制和软限制，并打印/boot配额报告：管理命令limit后的参数-u用于用户，-g用于组，默认用户；bsoft用于磁盘容量软限制，bhare用于磁盘容量硬限制；isoft用于文件数量软限制，ihard用于文件数量硬限制。5.5 xfs文件系统的磁盘配额5.5.3 测试磁盘配额5.5 xfs文件系统的磁盘配额5.5.4 修改磁盘配额edquota命令用于编辑用户的磁盘配额限制，格式为“edquota参数用户”，其中，-u参数表示要针对哪个用户进行设

39、置；-g参数表示要针对哪个用户组进行设置。edquota命令会调用Vi/Vim编辑器来进行修改。下面把用户Jerry的磁盘使用量的硬限额从24 MB提升到30 MB。5.6 实训5FTP服务器的配置与管理1.实训目的（2）掌握Windows和Linux客户端连接FTP服务器的方法。（3）掌握磁盘配额的配置与管理。（1）掌握匿名/本地/虚拟用户访问FTP服务器的配置与管理。5.6 实训5FTP服务器的配置与管理2.实训内容现有网络拓扑如图5-17所示，该网络中有一台Linux Server为四大部门（IT部、Sale部、HR部、Buyer部）提供文件资源服务，IP地址都是192.168.1.0/

40、24网段（代表学号后两位），每个部门都有一台公共的计算机进行资源的存取，具体的IP地址在拓扑图上都有详细标示。图5-17 网络拓扑图5.6 实训5FTP服务器的配置与管理2.实训内容现有如下要求：（1）在Linux Server上搭建FTP服务，供四大部门使用，为了安全，Linux Server的防火墙不能关闭，SELinux设置为Enforcing模式。（2）Linux Server上利用了一个500 GB大小的独立磁盘进行资源共享。（3）IT部、Sale部的公共计算机是Linux操作系统，HR部、Buyer部的公共计算机是Windows操作系统。（4）Linux服务器的资源共享目录为/DA

41、TA。5.6 实训5FTP服务器的配置与管理2.实训内容请根据以下要求进行Linux Server和四大部公共计算机客户端的测试，使得达到项目的要求（代表学号后两位）：（1）为Linux Server和四大部公共计算机配置对应的IP地址。（2）为100 GB硬盘分区，并格式化为xfs格式，挂载到/DATA目录，开启用户磁盘配额功能。（3）设置用户IT不受限制，用户Sale的磁盘容量bsoft=100m，hsoft=150m，用户HR的磁盘容量bsoft=80m，hsoft=120m，用户Buyer的磁盘容量bsoft=120m，hsoft=170m。5.6 实训5FTP服务器的配置与管理2.实

42、训内容（4）采用虚拟用户+独立配置文件方式，完成每个部门独立的需求设置，虚拟用户登录的用户名在图5-17中进行了标注，密码统一为“123456”，默认都不能跳出主目录进行其他操作。账户IT在/DATA目录里，拥有上传、下载、创建文件夹、删除和重命名等操作权限，可以跳出vsftpd主目录。账户Sale在/DATA目录里，拥有上传、创建文件夹、删除和重命名权限，无下载权限，其中的Tom2账户限制其登录FTP。账户Sale在/DATA目录里，拥有上传、下载、创建文件夹权限，无删除和重命名权限。账户Buyer在/DATA目录里，只拥有下载权限，无上传、创建文件夹、删除和重命名权限。（5）为了保证数据的安全性，不允许私自删除别人的东西（同组例外），只能管理员或拥有者有删除权限。5.6 实训5FTP服务器的配置与管理3.实训要求（1）按题目要求写出相应的命令（“文字+截图”方式）。0101（2）总结实训心得与体会。0202谢谢观看