【正文】 SH服務(wù)器的子系統(tǒng)存在的，在配置文件 /etc/ssh/sshd_config中必須有下面這樣一行： Subsystem sftp /usr/libexec/openssh/sftpserver ? Windwos下支持 SSH協(xié)議的軟件都可以作為 SSH客戶端軟件來(lái)使用。 ? 自由軟件 PuTTY可以作為 Windows下運(yùn)行的 SSH客戶端登錄軟件。 ? CuteFTP pro是支持 sftp的圖形客戶端軟件。 圖形登錄設(shè)置 ? 運(yùn)行在運(yùn)行級(jí)別 5的系統(tǒng)是允許用戶以圖形的方式遠(yuǎn)程登錄的。為此，需要將配置文件 /etc/X11/gdm/ [xdmcp]配置段的 Enable=false改成 Enable=true，然后重新啟動(dòng)系統(tǒng)，就可以運(yùn)行用戶以圖形的方式遠(yuǎn)程登錄了。 gdm是 gnome desktop manager，即 GNOME桌面管理的縮寫。 ? Xmanager是 Windows下一個(gè)優(yōu)秀的圖形遠(yuǎn)程登錄軟件。 gdmsetup FTP服務(wù)器配置 ? RedHat Linux 9自帶了 ftp服務(wù)器程序 vsftpd。vsftpd既可以以獨(dú)立方式運(yùn)行，也可以由xid進(jìn)行管理。默認(rèn)的以獨(dú)立運(yùn)行方式啟動(dòng)。 service vsftpd start ? 如果要令 vsftpd在系統(tǒng)啟動(dòng)后自動(dòng)運(yùn)行，使用命令能夠 ntsysv 選擇 vsftpd。 ? vsftpd的默認(rèn)設(shè)置如下： 1）允許匿名用戶和本地用戶登錄。 2）匿名用戶的登錄名為 ftp或 anonymous，口令為一個(gè) Email地址。 3）匿名用戶不能離開(kāi)匿名服務(wù)器目錄 /var/ftp，且只能下載不能上傳。 4）本地用戶的登錄名為本地用戶名，口令為本地用戶口令。 5）本地用戶可以離開(kāi) HOME目錄切換至有權(quán)訪問(wèn)的其他目錄，其在權(quán)限許可時(shí)上傳下載。 6）寫在文件 /etc/，如root。 7）要使用戶在下載文件時(shí)能夠續(xù)傳文件，必須保證文件對(duì)其他用戶有讀的權(quán)限。否則，當(dāng)續(xù)傳時(shí)不能讀取已傳的服務(wù)器上的文件。 ? /etc/ 指定哪些用戶不能訪問(wèn)FTP服務(wù)器 ? 例如，要允許 root用戶 ftp，可以在該文件中屏蔽 root行（前加 ） ,不需要重啟服務(wù)，立刻就能起作用。 NFS ? NFS即網(wǎng)絡(luò)文件系統(tǒng)，是 Linux主機(jī)間通過(guò)網(wǎng)絡(luò)進(jìn)行文件共享的網(wǎng)絡(luò)協(xié)議。 ? 文件 /etc/exports用于配置 NFS服務(wù)器所提供的共享目錄。 Exports文件默認(rèn)為空，沒(méi)有配置任何的共享目錄，這也是出于安全性的考慮，即使系統(tǒng)啟動(dòng) NFS服務(wù)也不會(huì)提供任何的共享。 ? 如果需要在 NFS服務(wù)器中輸出某個(gè)目錄來(lái)共享，要先在 exports文件中進(jìn)行相應(yīng)的設(shè)置。 ? exports文件中每行設(shè)置一個(gè)共享目錄，格式如下所示： 要輸出的共享目錄 客戶端主機(jī)地址（設(shè)置選項(xiàng)） ? 例如： /home/share *(sync,ro) 客戶端主機(jī)地址可以采用下面這些形式 指定 IP地址 指定域名 指定網(wǎng)段中的所有主機(jī) *. 指定域中的所有主機(jī) * 所有主機(jī) ? 設(shè)置選項(xiàng)放在括號(hào)中，多個(gè)設(shè)置選項(xiàng)之間用逗號(hào)分隔。設(shè)置選項(xiàng)有很多，常用的有下面幾個(gè) sync 設(shè)置 NFS服務(wù)器同步寫磁盤，這樣不會(huì)輕易丟失數(shù)據(jù)， NFS服務(wù)器建議使用該選項(xiàng) ro 設(shè)置輸出的共享目錄只讀 rw 設(shè)置輸出的共享目錄只寫 no_root_squash 不把來(lái)自客戶端 uid/gid為 0的請(qǐng)求轉(zhuǎn)換成匿名 uid/gid ? exportfs命令用于維護(hù)當(dāng)前主機(jī)中 NFS服務(wù)器的輸出目錄列表。 ? exportfs –rv 使 NFS服務(wù)器重新讀取 exports文件中的設(shè)置，該命令可以在改變 exports文件設(shè)置后，使設(shè)置在當(dāng)前 NFS服務(wù)器中生效，而不需要重新啟動(dòng) NFS服務(wù)器。 ? exportfs –auv 停止所有目錄的輸出 ? exportfs –av 輸出所有共享目錄 ? 在對(duì) exports文件進(jìn)行了正確的配置后，就可以啟動(dòng) NFS服務(wù)器了。 ? 為了使 NFS服務(wù)器能夠正常工作，需要啟動(dòng) portmap和 nfs兩個(gè)服務(wù)，并且 portmap一定要先于 nfs啟動(dòng)。 service portmap start service nfs start ? 停止 NFS服務(wù)器時(shí)，先停止 nfs服務(wù)，再停止 portmap服務(wù)。如果系統(tǒng)中有其他服務(wù)（如 NIS服務(wù)）需要 portmap服務(wù)，則不停止 portmap服務(wù)。 service nfs stop service portmap stop ? 可以設(shè)置系統(tǒng)在指定的運(yùn)行級(jí)別自動(dòng)啟動(dòng) portmap和 nfs服務(wù) chkconfig level 35 portmap on chkconfig level 35 nfs on ? redhatconfignfs ? 在 RedHat Linux 9中使用 mount命令可以把網(wǎng)絡(luò)中 NFS服務(wù)器的共享目錄安裝到本機(jī)的文件系統(tǒng)中，就像使用本地文件系統(tǒng)中的目錄一樣使用NFS安裝目錄。 ? 安裝命令格式： mount NFS服務(wù)器地址 :共享目錄 本地安裝目錄 ? 卸載命令 umount NFS服務(wù)器地址 :共享目錄 |本地安裝目錄 ? 顯示當(dāng)前主機(jī)安裝的 NFS目錄 mount|grep nfs ? 顯示 NFS服務(wù)器的輸出共享目錄 showmount –e NFS服務(wù)器地址 Samba ? SMB（ Server Message Block服務(wù)信息塊）協(xié)議提供了在網(wǎng)絡(luò)上不同計(jì)算機(jī)之間共享文件、打印機(jī)和不同通信資料的手段，是Windows網(wǎng)絡(luò)文件和打印共享的基礎(chǔ)。 ? Samba是一組軟件包，使 Linux支持 SMB協(xié)議，安裝了 Samba后，就可以直接而方便的在 Linux和 Windows之間共享資源了。 ? 修改默認(rèn)的全局配置參數(shù)，如服務(wù)器名、工作組名 ? 使用符號(hào)鏈接組織本地共享資源 ? 為所有用戶配置只讀共享和讀寫共享 ? 為指定用戶或組配置 samba共享 詳見(jiàn) 《 Linux系統(tǒng)管理 .doc》 Linux安全設(shè)置 ? PAM模塊介紹 ? 取消不必要的服務(wù) ↑ ? 防火墻設(shè)置 ? 健壯的口令和用戶權(quán)限限制 ? SSH PAM模塊 ? Linux PAM，即 Pluggable Authentication Modules for Linux，中文名稱為 Linux可插拔認(rèn)證模塊。 PAM使用一套共享庫(kù)，使系統(tǒng)管理員可以選擇應(yīng)用程序如何對(duì)用戶進(jìn)行認(rèn)證。 ? PAM包通常不需要手工安裝，在安裝RedHat Linux 9的過(guò)程中已經(jīng)正確地安裝和配置了 PAM。 ? PAM的配置文件放置在目錄 /etc/，在該目錄下，需要對(duì)用戶進(jìn)行驗(yàn)證的每個(gè)應(yīng)用程序都擁有一個(gè)與自身同名的 PAM配置文件（目錄中存在哪些文件與已經(jīng)安裝的軟件包有關(guān)）。所有其他（沒(méi)有獨(dú)立PAM配置文件）的應(yīng)用程序需要進(jìn)行用戶認(rèn)證時(shí)，使用 other文件的 PAM配置。 ? 所有 PAM配置文件都具有相同的格式，配置文件的每一行都可由 type、 control、modulespath、 modulesarguments四個(gè)部分組成，各部分之間用空格分隔。下面是login的 PAM配置文件內(nèi)容： auth required /lib/security/ auth required /lib/security/ service=systemauth auth required /lib/security/ account required /lib/security/ service=systemauth password required /lib/security/ service=systemauth session required /lib/security/ service=systemauth session optional /lib/security/ ? 類型標(biāo)記 type告訴 PAM當(dāng)前行的模塊應(yīng)用于哪類認(rèn)證。同一類型的模塊可以疊加，即對(duì)同一類型可以通過(guò)多個(gè)模塊對(duì)用戶進(jìn)行認(rèn)證。 PAM支持 4種類型的標(biāo)記： account 驗(yàn)證用戶帳號(hào)是否被允許訪問(wèn)服務(wù)，如用戶帳號(hào)口令是否過(guò)期等 auth 驗(yàn)證用戶身份，一般通過(guò)口令進(jìn)行驗(yàn)證 password 模塊用戶改變驗(yàn)證身份的機(jī)制，通常為改變口令 session 在用戶通過(guò)驗(yàn)證之前 /之后需要進(jìn)行的內(nèi)容，包括安裝 /卸載用戶 HOME目錄，記錄用戶登錄 /登出日志，限制 /解除限制用戶訪問(wèn)服務(wù) ? login的 PAM配置文件中對(duì)每一類型標(biāo)記的認(rèn)證至少有一行設(shè)置，因?yàn)?login程序用于允許某用戶登錄，所以它需要訪問(wèn)不同類型標(biāo)記的認(rèn)證。 ? 控制標(biāo)記告訴 PAM如何對(duì)待模塊認(rèn)證失敗的情形。 PAM支持 4種類型的控制： requisite 模塊認(rèn)證失敗導(dǎo)致立即拒絕用戶認(rèn)證 required 模塊認(rèn)證失敗導(dǎo)致拒絕用戶認(rèn)證，但在拒絕之前 PAM仍將調(diào)用所有其他的模塊 sufficient 如果認(rèn)證通過(guò)， PAM將準(zhǔn)予用戶認(rèn)證，即使之前的 required類型的模塊認(rèn)證失敗 optional 模塊認(rèn)證結(jié)果是否決定用戶認(rèn)證通過(guò)，取決于該模塊是否為同一類型的唯一模塊，即該類型標(biāo)記如果有其他模塊，則此模塊的認(rèn)證結(jié)果是無(wú)關(guān)緊要的 ? 模塊路徑 modulespath 模塊路徑告訴 PAM使用哪個(gè)模塊以及模塊的路徑，如未給出模塊路徑， PAM會(huì)在默認(rèn)的模塊目錄/lib/security中查找。 PAM的模塊文件是 .so文件，模塊名稱均以 pam_開(kāi)頭。 ? 模塊參數(shù) modulesarguments 模塊參數(shù)用于給模塊傳遞參數(shù)。每個(gè)模塊都可以有自己的參數(shù)，如果不需要參數(shù)可以為空。 ? 配置健壯的 /etc/ /etc/，所有沒(méi)有自身的 PAM配置文件但又需要通過(guò) PAM進(jìn)行用戶驗(yàn)證的程序都會(huì)使用 other文件中的配置。因此 other文件的設(shè)置對(duì)于整個(gè)系統(tǒng)得安全是至關(guān)重要的，一個(gè)配置不當(dāng)?shù)?other文件會(huì)對(duì)系統(tǒng)安全造成極大的威脅。 RedHat Linux 9的 other文件采用了較嚴(yán)格的安全策略 ——默認(rèn)拒絕。 ? 下面是 other文件的內(nèi)容： auth required /lib/security/ account required /lib/security/ password required /lib/security/ session required /lib/security/ 謝謝！