【正文】 SH服務器的子系統(tǒng)存在的，在配置文件 /etc/ssh/sshd_config中必須有下面這樣一行： Subsystem sftp /usr/libexec/openssh/sftpserver ? Windwos下支持 SSH協(xié)議的軟件都可以作為 SSH客戶端軟件來使用。 ? 自由軟件 PuTTY可以作為 Windows下運行的 SSH客戶端登錄軟件。 ? CuteFTP pro是支持 sftp的圖形客戶端軟件。 圖形登錄設置 ? 運行在運行級別 5的系統(tǒng)是允許用戶以圖形的方式遠程登錄的。為此，需要將配置文件 /etc/X11/gdm/ [xdmcp]配置段的 Enable=false改成 Enable=true，然后重新啟動系統(tǒng)，就可以運行用戶以圖形的方式遠程登錄了。 gdm是 gnome desktop manager，即 GNOME桌面管理的縮寫。 ? Xmanager是 Windows下一個優(yōu)秀的圖形遠程登錄軟件。 gdmsetup FTP服務器配置 ? RedHat Linux 9自帶了 ftp服務器程序 vsftpd。vsftpd既可以以獨立方式運行，也可以由xid進行管理。默認的以獨立運行方式啟動。 service vsftpd start ? 如果要令 vsftpd在系統(tǒng)啟動后自動運行，使用命令能夠 ntsysv 選擇 vsftpd。 ? vsftpd的默認設置如下： 1）允許匿名用戶和本地用戶登錄。 2）匿名用戶的登錄名為 ftp或 anonymous，口令為一個 Email地址。 3）匿名用戶不能離開匿名服務器目錄 /var/ftp，且只能下載不能上傳。 4）本地用戶的登錄名為本地用戶名，口令為本地用戶口令。 5）本地用戶可以離開 HOME目錄切換至有權(quán)訪問的其他目錄，其在權(quán)限許可時上傳下載。 6）寫在文件 /etc/，如root。 7）要使用戶在下載文件時能夠續(xù)傳文件，必須保證文件對其他用戶有讀的權(quán)限。否則，當續(xù)傳時不能讀取已傳的服務器上的文件。 ? /etc/ 指定哪些用戶不能訪問FTP服務器 ? 例如，要允許 root用戶 ftp，可以在該文件中屏蔽 root行（前加 ） ,不需要重啟服務，立刻就能起作用。 NFS ? NFS即網(wǎng)絡文件系統(tǒng)，是 Linux主機間通過網(wǎng)絡進行文件共享的網(wǎng)絡協(xié)議。 ? 文件 /etc/exports用于配置 NFS服務器所提供的共享目錄。 Exports文件默認為空，沒有配置任何的共享目錄，這也是出于安全性的考慮，即使系統(tǒng)啟動 NFS服務也不會提供任何的共享。 ? 如果需要在 NFS服務器中輸出某個目錄來共享，要先在 exports文件中進行相應的設置。 ? exports文件中每行設置一個共享目錄，格式如下所示： 要輸出的共享目錄 客戶端主機地址（設置選項） ? 例如： /home/share *(sync,ro) 客戶端主機地址可以采用下面這些形式 指定 IP地址 指定域名 指定網(wǎng)段中的所有主機 *. 指定域中的所有主機 * 所有主機 ? 設置選項放在括號中，多個設置選項之間用逗號分隔。設置選項有很多，常用的有下面幾個 sync 設置 NFS服務器同步寫磁盤，這樣不會輕易丟失數(shù)據(jù)， NFS服務器建議使用該選項 ro 設置輸出的共享目錄只讀 rw 設置輸出的共享目錄只寫 no_root_squash 不把來自客戶端 uid/gid為 0的請求轉(zhuǎn)換成匿名 uid/gid ? exportfs命令用于維護當前主機中 NFS服務器的輸出目錄列表。 ? exportfs –rv 使 NFS服務器重新讀取 exports文件中的設置，該命令可以在改變 exports文件設置后，使設置在當前 NFS服務器中生效，而不需要重新啟動 NFS服務器。 ? exportfs –auv 停止所有目錄的輸出 ? exportfs –av 輸出所有共享目錄 ? 在對 exports文件進行了正確的配置后，就可以啟動 NFS服務器了。 ? 為了使 NFS服務器能夠正常工作，需要啟動 portmap和 nfs兩個服務，并且 portmap一定要先于 nfs啟動。 service portmap start service nfs start ? 停止 NFS服務器時，先停止 nfs服務，再停止 portmap服務。如果系統(tǒng)中有其他服務（如 NIS服務）需要 portmap服務，則不停止 portmap服務。 service nfs stop service portmap stop ? 可以設置系統(tǒng)在指定的運行級別自動啟動 portmap和 nfs服務 chkconfig level 35 portmap on chkconfig level 35 nfs on ? redhatconfignfs ? 在 RedHat Linux 9中使用 mount命令可以把網(wǎng)絡中 NFS服務器的共享目錄安裝到本機的文件系統(tǒng)中，就像使用本地文件系統(tǒng)中的目錄一樣使用NFS安裝目錄。 ? 安裝命令格式： mount NFS服務器地址 :共享目錄 本地安裝目錄 ? 卸載命令 umount NFS服務器地址 :共享目錄 |本地安裝目錄 ? 顯示當前主機安裝的 NFS目錄 mount|grep nfs ? 顯示 NFS服務器的輸出共享目錄 showmount –e NFS服務器地址 Samba ? SMB（ Server Message Block服務信息塊）協(xié)議提供了在網(wǎng)絡上不同計算機之間共享文件、打印機和不同通信資料的手段，是Windows網(wǎng)絡文件和打印共享的基礎。 ? Samba是一組軟件包，使 Linux支持 SMB協(xié)議，安裝了 Samba后，就可以直接而方便的在 Linux和 Windows之間共享資源了。 ? 修改默認的全局配置參數(shù)，如服務器名、工作組名 ? 使用符號鏈接組織本地共享資源 ? 為所有用戶配置只讀共享和讀寫共享 ? 為指定用戶或組配置 samba共享 詳見 《 Linux系統(tǒng)管理 .doc》 Linux安全設置 ? PAM模塊介紹 ? 取消不必要的服務 ↑ ? 防火墻設置 ? 健壯的口令和用戶權(quán)限限制 ? SSH PAM模塊 ? Linux PAM，即 Pluggable Authentication Modules for Linux，中文名稱為 Linux可插拔認證模塊。 PAM使用一套共享庫，使系統(tǒng)管理員可以選擇應用程序如何對用戶進行認證。 ? PAM包通常不需要手工安裝，在安裝RedHat Linux 9的過程中已經(jīng)正確地安裝和配置了 PAM。 ? PAM的配置文件放置在目錄 /etc/，在該目錄下，需要對用戶進行驗證的每個應用程序都擁有一個與自身同名的 PAM配置文件（目錄中存在哪些文件與已經(jīng)安裝的軟件包有關）。所有其他（沒有獨立PAM配置文件）的應用程序需要進行用戶認證時，使用 other文件的 PAM配置。 ? 所有 PAM配置文件都具有相同的格式，配置文件的每一行都可由 type、 control、modulespath、 modulesarguments四個部分組成，各部分之間用空格分隔。下面是login的 PAM配置文件內(nèi)容： auth required /lib/security/ auth required /lib/security/ service=systemauth auth required /lib/security/ account required /lib/security/ service=systemauth password required /lib/security/ service=systemauth session required /lib/security/ service=systemauth session optional /lib/security/ ? 類型標記 type告訴 PAM當前行的模塊應用于哪類認證。同一類型的模塊可以疊加，即對同一類型可以通過多個模塊對用戶進行認證。 PAM支持 4種類型的標記： account 驗證用戶帳號是否被允許訪問服務，如用戶帳號口令是否過期等 auth 驗證用戶身份，一般通過口令進行驗證 password 模塊用戶改變驗證身份的機制，通常為改變口令 session 在用戶通過驗證之前 /之后需要進行的內(nèi)容，包括安裝 /卸載用戶 HOME目錄，記錄用戶登錄 /登出日志，限制 /解除限制用戶訪問服務 ? login的 PAM配置文件中對每一類型標記的認證至少有一行設置，因為 login程序用于允許某用戶登錄，所以它需要訪問不同類型標記的認證。 ? 控制標記告訴 PAM如何對待模塊認證失敗的情形。 PAM支持 4種類型的控制： requisite 模塊認證失敗導致立即拒絕用戶認證 required 模塊認證失敗導致拒絕用戶認證，但在拒絕之前 PAM仍將調(diào)用所有其他的模塊 sufficient 如果認證通過， PAM將準予用戶認證，即使之前的 required類型的模塊認證失敗 optional 模塊認證結(jié)果是否決定用戶認證通過，取決于該模塊是否為同一類型的唯一模塊，即該類型標記如果有其他模塊，則此模塊的認證結(jié)果是無關緊要的 ? 模塊路徑 modulespath 模塊路徑告訴 PAM使用哪個模塊以及模塊的路徑，如未給出模塊路徑， PAM會在默認的模塊目錄/lib/security中查找。 PAM的模塊文件是 .so文件，模塊名稱均以 pam_開頭。 ? 模塊參數(shù) modulesarguments 模塊參數(shù)用于給模塊傳遞參數(shù)。每個模塊都可以有自己的參數(shù)，如果不需要參數(shù)可以為空。 ? 配置健壯的 /etc/ /etc/，所有沒有自身的 PAM配置文件但又需要通過 PAM進行用戶驗證的程序都會使用 other文件中的配置。因此 other文件的設置對于整個系統(tǒng)得安全是至關重要的，一個配置不當?shù)?other文件會對系統(tǒng)安全造成極大的威脅。 RedHat Linux 9的 other文件采用了較嚴格的安全策略 ——默認拒絕。 ? 下面是 other文件的內(nèi)容： auth required /lib/security/ account required /lib/security/ password required /lib/security/ session required /lib/security/ 謝謝！