00:00
欢迎大家继续收看上硅谷的link预算视频,我是刘川老师。那我们呢,上节课呢,讲了一下关于VSFTP的一个匿名用户的一个登录实验,然后呢,其中呢,很多选项需要大家记一下,既有我们配置文件里边自带的,又有我们这个后来需要人为自己添加的,所以说需要注意一下这些东西。然后呢,我们本节课呢,需要来讲一下关于我们。这个本地用户的相关实验啊,同样还是在讲本地用户相关实验之前,我们先来了解一下关于本地相关的一些选项的一个解释。那呃,大家会发现一个特性啊,绝大多数本地选项的一个内容都是以local开头啊,对local开头,而嗯,而且很多和我们的这个。这个这个这个。就是匿名里边那个开关差不多啊,什么local local u mask呀,Local root呀,Local mix rate呀等等都是差不多的,那其实功能也基本一致,什么开启本地啊,本地用户上传之后的文件的掩码呀等等,OK,那我们讲几个相对比较重要的啊,第一个是change root lock user。
01:15
Change root的功能,我之前在前面简单提到过,所谓的change root指的是修改指定用户的加目录。修改指令或的加目录,那张三的加目录就是张三了,后面下张三了,李四加目录就是后面下李四,那如果说我想修改一下这个张三登录的加目录不是后面线张三,而是别的目录,那就用ch root来修改就可以了。OK,那这个地方呢,它指的不是修改,而是限制,而是限制是否将用户的一个登录点限制和禁锢在自己的家目录下,什么意思啊,什么意思。就本地用户啊,在默认不限制的时候啊,这个用户登录之后呢,这个用户他是可以随意切换目录的。
02:00
这个所谓的随意是多么随意呢?呃,就是特别随意,比如张三登录了,张三不光能从张三家里出来,还能去到ETC目录下。还能去到ETC目录下。他还可以把很多。有R权限的文件下载下来,就只要他看到这个文件了,并且这个文件有R权限,它就能下载,为啥你只要能读取这个文件,这个文件就可以被下载。啊,那这个就有人放弃了,那这个不就是账户码被就不能被下载了吗?但是其他文件可以被下载啊,很多其他的配置不就被别人知道了吗?所以这是一个很危险的操作,那为了限制用户这种随意切换加目录的这种功能呢,我们呢,一般情况下会限制用户。只能在自己加目录以及加目录以下的子目录内进行是吧活动,其他目录是不允许操作的。那这就是你可问。啊,这就是那个开关。然后呢,再一个就是FTP banner FTP banner就是FTP。
03:04
登录时的一个欢迎信息,这个其实也是无关紧要的,到时候我们简单看一下就行了。再一个就是呃,访问控制啊,访问控制有两套,第一套是通过这种user list,第二套是通过一个配置文件,通过user list的限制呢,两个开关,一个叫user listable yes,一个叫user list deny yes。OK,如果两个都是E,则禁止在这个配置文件中出现的用户登录。如果use list enable yes deny no,那就是允许这个文件里边的登录,也就是说,只要deny是yes,这个文件里边就不允许登录,只要deny no,这个文件里边就允许登录。那也就是说这两套既可以做白名单,也可以做黑名单,但是下边这个叫FTP user的。他的优先级首先要比他们更高一些,其次他只能做黑名单,并且他这个东西是只要往里写一个用户,这个用户就会被禁止,而且是立刻马上被禁止。
04:11
啊,没有任何延迟,也不需要重启上面这些选项,都需要修改配置文件并且重启,但是它是一个配置文件,改完配置文件立刻就生效,写上保存记录立马生效。好了,这也就是关于我们本地用户想。相关的一些。参数和配置。OK,接下来我们来看实验,同样我再提示一遍啊,做实验一定要记住。不要。开启了你的slix和防火墙,否则会出现问题啊,OK。那再一个就是。下边的实验和需求了,下边呢,有这么几个实验啊。禁锢用户在自己的家路上以及将部分用户。放开禁止禁锢,就是我们要让某些用户允许随便切换。
05:02
不是所有的都禁止,上面这个就是所有都禁止,而下面这个是对吧,允许某一些是可以随便切换的。啊,以及呢,我们通过这个配置文件来实现这个限制用户不能登录FTP以及被动模式啊,有这么几个实验,我们先来看一下前面几个实啊。要做这个本地用户,肯定要去创建几个Linux用户来作为本地用户层登录啊,那所创建的用户不需要登录操系统,仅需要登录的FTP,所以说这个地方直接用杠S就可以了,这个杠R呢是用来创建系统账户的,如果说你想创建的FD账户就是属于系统账户的话,那你就杠R,如果不需要,就是不想让它成为系统账户的话,那就不加杠二,这个就根据你自己的需求来就行了,反正杠S这个是必须要有的。就是能用来登录FTP的,不是让他来登录所系统的,所以说这个杠SS1定要使用,OK,那没了做实验,我们提前去创建几个这种匿名账户啊,OK。首先我们去操作一下。
06:05
在服务器端。还是刚才那个啊,在服务器端我们直接use a。杠S根下的下的no烙印。创建第一个叫张三。然后呢,给张三设置个密码。第二个,再创一个李四用户。还没创业?User a。李四。Pass。123456。那有了这样的两个本地用户之后呢,我们就可以通过客户端来尝试登录,我们之前也测试过啊,我们测试过,这次呢,我们就来测试一下这个是否可以随意切换目录这个功能,OK。
07:11
连接一下我们的口袋。二零。FTP。192.168.88.2088.10。丈夫名叫张三。密码叫123456。了动物人物。装成后我们来LS-A一下,发现是张三的降不,但是我。咱们现在来CD的根下值。他会发现我真的到了根部下。我CD到根下的ETC下的VSFTP底下。我没有写全啊,涉及到跟下的ETC下的。VSFTPD下这个地方没有吗?有肯定是有了。
08:01
我们看到了我们的这些信息,但是这些文件的权限都很小。你看,尤其是配置文件说。除了所有者之外,是不是其他人都是?看不了的呀,就是你想get这个叫VSFTP d.com的文件时。你是get不了的。但是这种有R权限的你就可以get了。那就可以盖到,比如说。我们去其他地方找一个。嗯。N减C的根弦ETC。有一个样m.com这个文件是有二进的,我们来get一下试试get一下yam点。只要在服务器端有R权限,就可以被下载。这就是我们的这个关于。本地用户的这种模式对吧。太随意了,太危险了,那么为了禁止这种本地用户不能随意切换目录怎么办呢?我们为了禁止他我。
09:03
我们一般情况会怎么做呢?我们一般情况下会。开启禁锢的功能。就是我们先退出客户端,来到服务器端,然后修改配置文件。注意怎么修改配置文件,首先去找到那个陈开头那个叫ch root。就这个,那就这个。首先我们给他取消注释点。然后把高亮取消掉啊。选项叫change root local user yes,除了这两个选项,除了这个选项之外,其实还有两个选项,一个叫change list,一个叫change list fire,这俩是一对选项啊,一会儿来讲这俩,先来讲上面这个,上面这个功能就是限制所有用户不能随便选挪,那OK,先限制了我GW项。重启一下服务器。然后再来试试看能不能切换。再登录,再通过张三,再通过1234556。
10:05
当前的是在家里。我CD到跟下。再一次。还是在加步下,你会发现你再想C的跟切不过去了,隧道跟一下ETC下。Failed to,甚至9000万不会去。你就在在你家里迁不出去了,你可以往下层,比如说你加目录下,还有下层路,你可以往下切,但是你往上翻是翻不回去的。你往上翻身帆布去,这就是我们的FTP的一个。这种限制功能。本地用户的FT的限制功能。这个没有问题吧。那我们这个功能呢,主要是为了保护我们的雷操系统不受一些这种FDB账户的一个影响和这种。就是破坏了那种破坏了就是这样的一个功能啊。
11:02
那有些时候呢,可能我们还需要有一些用户能够突破这个限制,就是。嗯,就是允许某一些用户。能够随意消目,这个怎么做呢?就是做一个白名单,有一个叫root list的选项,这个选项的就是开启白名单功能,List列表嘛,开放列表嘛。允许白名单当中的用户随先换目录,那这个是开放白名单,那白名单在哪呢?下边就是白名单的位置了,叫change route list fire。这个文件呢,在ETC下的VSFTPD下叫root-list,这个文件默认不存在,需要你人为创建,而里边的文件格式就很简单了,就你往里写用户就行了。啊,你往里写用户就行了。OK,那么这个测试很简单啊,现在这个。这个这个张三是被限制了,那么为了让张三不被限制,我们可以把张三写到里边。先去。把这两个选项开启,然后去创建一个配置文件。
12:02
当然去创建那个北手。比如我们CD到根下的ETC下的VSFTPD下。没有那个文件,我们来vim一下,叫change root-list这个文件。在这个文件里边,我们写上张三的名字。并且保存退出一下。然后我们来重启服务器。OK,然后我们来干嘛呀,测试一下张三。123456。好了,现在的位置是在加木线,我们在CD的跟下。又能随意切换。虽然这个功能是开启了的,是限制的,但是这个地方你看我们是可以切换的。好了,这就是我们的这个。本地用户的。本地用户的一个这种。禁锢功能和放行禁锢功能。
13:02
好了,这就是我们的这个实验,那我们本节课先到这儿,我们下节课再见。
我来说两句