centos启用规则 centos7切换用户

CentOS上的安全防护软件Selinux详解

selinux简介

SELinux(Security-Enhanced Linux)是美国国家安全局（NSA）对于强制访问控制的实现，是Linux历史上最杰出的新安全子系统。NSA是在Linux社区的帮助下开发了一种访问控制体系，在这种访问控制体系的限制下，进程只能访问那些在他的任务中所需要文件。SELinux默认安装在Fedora和Red Hat Enterprise Linux上，也可以作为其他发行版上容易安装的包得到，2000年以GNU GPL发布，Linux内核2.6版本后集成在内核中

DAC：Discretionary Access Control自由访问控制

MAC：Mandatory Access Control强制访问控制

DAC环境下进程是无束缚的

MAC环境下策略的规则决定控制的严格程度

MAC环境下进程可以被限制的

策略被用来定义被限制的进程能够使用那些资源（文件和端口）

默认情况下，没有被明确允许的行为将被拒绝

selinux的工作类型

selinux一共有四种工作类型

strict：每个进程都受到selinux的控制

targeted：用来保护常见的网络服务，仅有限进程受到selinux控制，系统当中默认设置类型

minimum：这个模式在centos7上，是targeted的修改版，只对选择的网络服务，仅对选中的进程生效

mls：提供mls机制的安全性，国防级别的

selinux安全上下文

传统的linux，一切皆文件，由用户、组、权限来进行访问控制，这当中有很多的缺陷

在selinux中，一切皆对象（进程），有存放在inode的扩展属性域的安全元素所控制其访问

所有文件和端口资源和进程都具备安全标签，这就是安全上下文

安全上下文有五个元素组成

system_u:object_r:admin_home_t:s0

user：role：type：sensitivity：category

user：指示登录系统的用户类型，如root，user_u,system_u,多数本地进程都属于自由进程

role：定义文件，进程和用户的用途，文件：object_r,进程和用户：system_r

type：指定数据类型，规则重定义何种进程类型访问何种文件，target策略基于type实现，多服务功用，public_content_t

sensitivity：限制访问的需要，由组织定义的分层安全级别，如unclassified，secret，top,一个对象有且只有一个sensitivity，分0-15个级别，s0最低，target策略默认使用是s0

category：对于特定组织划分不分层的分类，如FBI secret，NSA secret，一个对象可以有多个category，c0-c1023共1024个分类，target策略不适用category

查看安全上下文

ls Z; ps-Z

期望（默认）上下文：存放在二进制的selinux策略库中

semanage fcontext l查看系统中的默认安全上下文

@font-face{

font-family:宋体;

}@font-face{

font-family: Cambria Math;

}@font-face{

font-family: Calibri;

}@font-face{

font-family:@宋体;

}p.MsoNormal, li.MsoNormal, div.MsoNormal{ margin: 0cm 0cm 0.0001pt; text-align: justify; font-size: 10.5pt; font-family: Calibri,sans-serif;}.MsoChpDefault{ font-family: Calibri,sans-serif;}div.WordSection1{}

selinux策略

对象（object）：所有可以读取的对象，包括文件、目录和进程，端口等

主体：进程称为主题（subject）

selinux中对所有的文件都赋予一个type的文件类型标签，对于所有的进程也赋予各自的一个domain标签。domain标签能够执行的操作由安全策略里定义

当一个subject视图访问一个object，kernel中的粗略执行服务器将检查AVC，在AVC中，subject和object的权限被缓存，查找应用+文件的安全环境，然后根据查询结果允许或拒绝访问

安全策略：定义主体读取对象的规则数据库，规则中记录了那个类型的主体使用了那个方法读取哪一个对象是允许还是拒绝的，并且定义了那种行为是允许或拒绝

设置selinux

配置selinux

selinux是否启用

给文件重新打安全标签

给端口设置安全标签

设定某些操作的布尔型开关

selinux的日志管理

selinux的状态

enforcing：强制，每个受限的进程都必然受限

permissive：允许；每个受限的进程违规操作不会被禁止，但会被记录与审计日志

disabled：禁用，允许任何操作

getenforce：获取selinux当前状态

sestatus：查看selinux状态

setenforce 0|1

0：设置为permissive

1：设置为enforcing

配置文件

/etc/sysconfig/selinux链接文件链接到/etc/selinux/config

/etc/selinux/config

# This file controls the state of SELinux on the system.

# SELINUX= can take one of these three values:

# enforcing SELinux security policy is enforced.

# permissive SELinux prints warnings instead of enforcing.

# disabled SELinux is fully disabled.

SELINUX=enforcing

# SELINUXTYPE= type of policy in use. Possible values are:

# targeted Only targeted network daemons are protected.

# strict Full SELinux protection.

SELINUXTYPE=targeted

SELINUX=enforcing设置selinux的状态

SELINUXTYPE=targeted设置selinux的工作类型

设置selinux也可以在开机的时候设定，在/boot/grub/grub.conf文件内核那一行后面设定selinux的状态selinux=0|1,只要配置文件或内核设定为禁用，最后selinux的状态为禁用

注意：在从disabled状态切换至enforcing或permissive状态需要重启系统，这时候系统会对每一个文件一一重打标签，需要花费一定的时间。

修改selinux的安全标签

给文件重新打安全标签

chcon [OPTION] [-u USER] [-r ROLE] [-l RANGE] [-t TYPE] FILE..

chcon [OPTION] reference=RFILE FILE..

-R：递归打标，对目录而言

例如我想给自己定义的web文档根目录自定义为/htdocs

chcon-R httpd_sys_content_t/htdocs

恢复目录或文件默认的安全上下文

resotrecon [-R]/path/to/somewhere

例如：我又将web的文档根目录改为原来的目录，这时候自定义的目录的标签需要还原

restorecon-R/htdocs

恢复是根据策略库当中的策略进行还原

默认安全上下文查询与修改

semanage来自policycoreutils-python包，有些系统默认没有安装，安装次包即可使用semanage命令

查看默认的安全上下文

semanage fcontext l

添加安全上下文

semanage fcontext-a t httpd_sys_content_t/home/hadoop(/.*)?

restorecon Rv/home/hadoop此步骤一定不能忘记，它从策略库进行还原安全上下文，执行此命令才会生效

删除安全上下文

semanage fcontext d t httpd_sys_content_t/home/hadoop(/.*)?

selinux端口标签

查看端口标签

semanage port-l

添加端口

semanage port-a-t port_label p tcp|udp port

semanage port a-t htt_port_t-p tcp 8080

删除端口

semanage port-d-t port_label-p tcp|udp port

semanage port-d-t htt_port_t-p tcp 8080

修改现有（已存在）端口为新标签

semanage port-m t port_label p tcp|udp port

semanage port m t ssh_port_t p tcp 8080将ssh服务的端口改为8080

selinux布尔值

查看布尔值命令

getsebool [-a] [boolean]

semanage boolean l-C查看修改过的布尔值

设置bool值命令

setsebool [-P] boolean value（on|off|1|0）

setsebool httpd_enable_homedirs on|1开启httpd家目录访问，但不会写入策略库中

setsebool-P httpd_enable_homedirs on|1

修改bool值时后面的值可以对布尔值类型后跟=加值的设置方法

setsebool httpd_enable_homedirs=on

selinux的日志管理

需要安装settroublesshoot*安装此包需要重启系统才能生效，它会将错误日志记录到/var/log/message

grep setroubleshoot/var/log/message

sealer-l UUID

查看安全事件日志说明

sealert-a/var/log/audit/audit.log

扫描并分析日志

yum-y install selinux-policy-devel（centos7）

yum y install selinux-policy-doc（centos6）

mandb| makewhatis需要更新man帮助的数据才能查询

man-k _selinux

例如man httpd_selinux

总结：selinux在安全防护上确实起到了一定的作用，它是在内核层面来工作，往往有许多的漏洞，一旦黑客利用漏洞入侵系统后果不堪设想，还有其操作的繁琐和稳定性的欠缺的导致很多企业不愿意用到selinux，一般都会使用硬件的安全防护设备，所以我们只需要作为了解，知道有这么个东西，如何开关闭及一些简单的操作即可。

联想小新笔记本装centos7系统要怎么安装

一、安装CentOS 7.3

成功引导系统后，会出现下面的界面

界面说明：

Install CentOS 7#安装CentOS7

Test this media& install CentOS7#测试安装文件并安装CentOS 7

Troubleshooting#修复故障

这里选择Install CentOS Linux7，安装CentOS 7，回车，进入下面的界面

语言选择界面，正式生产服务器建议安装英文版本。

Continue继续

选择-系统SYSTEM-安装位置INSTALLTION DESTINATION，进入磁盘分区界面

选择-其它存储选项Other Storage Options-分区Partitoning-我要配置分区I will configure partitioning，

点左上角的“完成Done”，进入下面的界面

新挂载点使用以下分区方案：标准Standard Partition

完成Done

分区前先规划好，swap#交换分区，一般设置为内存的2倍，/#剩余所有空间

备注：生产服务器建议单独再划分一个/data分区存放数据

点左下角的“+”号，挂载点：swap，期望容量：4096，添加挂载点，如下图所示，继续点左下角的“+”号，挂载点：“/”期望容量：留空#默认为剩余所有空间,添加挂载点，如下图所示

点左上角的“完成Done”，进入下面的界面

接受更改Accept Changes，进入下面的界面

软件SOFTWARE”-“软件选择SOFTWARE SELECTION”，我们使用的是Minimal版本，默认是最小化安装。

设置完成后，点Done

开始安装Begin Installation

进入下面的界面

选择-用户设置USER SETTINGS-ROOT密码，进入下面的界面

设置Root密码

如果密码长度少于5位，会提示要按“完成”两次来确认，安装继续。安装完成之后，会进入下面的界面.

重启Reboot

进入登录界面,输入用户名【root】密码【itnihao】，系统登录成功

回到顶部

二、设置IP地址、网关DNS

说明：CentOS 7.x默认安装好之后是没有自动开启网络连接的，所以需要我们自己配置。

在命令行输入#vi/etc/sysconfig/network-scripts/ifcfg-ens33#编辑配置文件，添加修改或添加以下内容。

BOOTPROTO=static#启用静态IP地址

ONBOOT=yes#开启自动启用网络连接

IPADDR=192.168.1.73#设置网关

GATEWAY=192.168.1.1

NETMASK=255.255.255.0

DNS1=114.114.114.114

DNS2=8.8.8.8

:wq!#保存退出

service network restart#重启网络

ping www.baidu.com#测试网络是否正常

ip addr#查看IP地址

至此，CentOS 7.3.1611系统安装配置图解教程完成！

回到顶部

三：附加

1、修改主机名

#hostnamectl set-hostname compute1

2.修改网卡名

CentOS 7.x系统中网卡命名规则被重新定义，可能会是”ifcfg-ens33”等，下面我们把网卡改为ifcfg-eth0这种。

1、cd/etc/sysconfig/network-scripts/

mv ifcfg-ens33 ifcfg-eth0#修改名称

vi ifcfg-eth0#编辑

NAME=eth0#修改

DEVICE=eth0#修改

:wq!#保存退出

2、vi/etc/sysconfig/grub#编辑

在”GRUB_CMDLINE_LINUX“变量中添加一句”net.ifnames=0 biosdevname=0“

:wq!#保存退出

3、运行命令：grub2-mkconfig-o/boot/grub2/grub.cfg#重新生成grub配置并更新内核参数

4、添加udev的规则

在”/etc/udev/rules.d“目录中创建一个网卡规则”70-persistent-net.rules“,并写入下面的语句:

SUBSYSTEM=="net",ACTION=="add",DRIVERS=="?*",ATTR{address}=="00:0c:29:1e:a3:77",ATTR｛type｝=="1",KERNEL=="eth*",NAME="eth0"

#ATTR{address}=="00:0c:29:1e:a3:77"是网卡的MAC地址

cd/etc/udev/rules.d

vi 70-persistent-net.rules#添加

SUBSYSTEM=="net",ACTION=="add",DRIVERS=="?*",ATTR{address}=="00:0c:29:1e:a3:77",ATTR｛type｝=="1",KERNEL=="eth*",NAME="eth0"

:wq!#保存退出

shutdown-r now#重启系统

网卡已经更改为eth0

centos怎么上传文件

使用Vsftpd服务传输文件。

你可以配置一个vsftpd服务，具体步骤参考如下：

[root@linuxprobe~]# yum install vsftpd-y

Loaded plugins: langpacks, product-id, subscription-manager

………………省略部分输出信息………………

=

iptables防火墙管理工具中默认禁止了ftp传输协议的端口号，因此咱们在正式配置vsftpd服务程序前还需要清空一下iptables防火墙的默认策略，并将当前已经被清理的防火墙策略状态保存下来：

[root@linuxprobe~]# iptables-F

[root@linuxprobe~]# service iptables save

iptables: Saving firewall rules to/etc/sysconfig/iptables:[ OK ]

vsftpd服务程序的主配置文件(/etc/vsftpd/vsftpd.conf)中参数总共有123行左右，但大多数都是以#（井号）开头的注释信息，咱们可以用grep命令的-v参数来过滤并反选出没有包含#（井号）的参数行，也就是把所有的注释信息都过滤掉，这样再通过输出重定向符写会到原始的主配置文件名称中即可：

[root@linuxprobe~]# mv/etc/vsftpd/vsftpd.conf/etc/vsftpd/vsftpd.conf_bak

[root@linuxprobe~]# grep-v"#"/etc/vsftpd/vsftpd.conf_bak>/etc/vsftpd/vsftpd.conf

[root@linuxprobe~]# cat/etc/vsftpd/vsftpd.conf

anonymous_enable=YES

l

刘遄老师给同学们整理出了vsftpd服务程序的主配置文件中常用的参数及作用介绍，您现在只要简单的浏览一下，接下来的实验中如果不明白再过来查阅就可以。

编辑

参数作用

listen=[YES|NO]是否以独立运行的方式监听服务。

listen_address=IP地址设置要监听的IP地址。

listen_port=21设置FTP服务的监听端口。

download_enable＝[YES|NO]是否允许下载文件。

userlist_enable=[YES|NO]

userlist_deny=[YES|NO]是否启用“禁止登陆用户名单”。

max_clients=0最大客户端连接数，0为不限制。

max_per_ip=0同一IP地址最大连接数，0位不限制。

anonymous_enable=[YES|NO]是否允许匿名用户访问。

anon_upload_enable=[YES|NO]是否允许匿名用户上传文件。

anon_umask=022匿名用户上传文件的umask值。

anon_root=/var/ftp匿名用户的FTP根目录。

anon_mkdir_write_enable=[YES|NO]是否允许匿名用户创建目录。

anon_other_write_enable=[YES|NO]是否开放匿名用户其他写入权限。

anon_max_rate=0匿名用户最大传输速率(字节)，0为不限制。

local_enable=[YES|NO]是否允许本地用户登陆FTP。

local_umask=022本地用户上传文件的umask值。

local_root=/var/ftp本地用户的FTP根目录。

chroot_local_user=[YES|NO]是否将用户权限禁锢在FTP目录，更加的安全。

local_max_rate=0本地用户最大传输速率(字节)，0为不限制。

11.2 Vsftpd服务程序

vsftpd作为更加安全的FTP文件传输协议的服务程序，可以让用户分别通过匿名开放、本地用户和虚拟用户三种身份验证方式来登陆到FTP服务器上面，匿名开放是一种最不安全的验证模式，任何人都可以无需密码验证就登陆到FTP服务端主机，本地用户是通过Linux系统本地的帐号密码信息进行的验证模式，这种模式相比较匿名开放模式来说比较安全，配置起来也十分简单，不过如果被骇客暴力破解出FTP帐号信息，也就可以通过这个口令登陆到咱们的服务器系统中了，从而完全控制整台服务器主机，最后的虚拟用户是相比较最为安全的验证模式，需要为FTP传输服务单独建立用户数据库文件，虚拟出用来口令验证的帐户信息，这些帐号是在服务器系统中不存在的，仅供FTP传输服务做验证使用，因此这样即便骇客破解出了帐号口令密码后也无法登录到咱们的服务器主机上面，有效的降低了破坏范围和影响。

ftp命令是用来在命令行终端中对ftp传输服务进行控制连接的客户端工具，咱们需要先手动的安装一下这个ftp客户端工具，以便于接下来的实验中校验效果：

[root@linuxprobe~]# yum install ftp

Loaded plugins: langpacks, product-id, subscription-manager

………………省略部分输出信息………………

Installing:

ftp x86_64 0.17-66.el7 rhel 61 k

Transaction Summary

================================================================================

Install 1 Package

Total download size: 61 k

Installed size: 96 k

Is this ok [y/d/N]: y

Downloading packages:

Running transaction check

Running transaction test

Transaction test succeeded

Running transaction

Installing: ftp-0.17-66.el7.x86_64 1/1

Verifying: ftp-0.17-66.el7.x86_64 1/1

Installed:

ftp.x86_64 0:0.17-66.el7

Complete!

11.2.1匿名访问模式

vsftpd服务程序中匿名开放是一种最不安全的验证模式，任何人都可以无需密码验证就登陆到FTP服务端主机，这种模式一般只用来保存不重要的公开文件，尤其是在生产环境中更要注意不放敏感文件，当然也非常推荐用咱们第八章中学习的防火墙管理工具（例如Tcp_wrappers）将vsftpd服务程序的允许访问主机范围设置为企业内网，这样还算能够保证基本的安全性。

vsftpd服务程序默认已经开启了匿名访问模式，咱们需要做的就是进一步允许匿名用户的上传、下载文件的权限，以及让匿名用户能够创建、删除、更名文件的权限，这些权限对于匿名用户来讲非常的危险，咱们只是为了练习Linux系统中vsftpd服务程序的配置能力，十分不推荐在生产环境中使用，匿名用户的权限参数及介绍：

编辑

参数作用

anonymous_enable=YES允许匿名访问模式。

anon_umask=022匿名用户上传文件的umask值。

anon_upload_enable=YES允许匿名用户上传文件

anon_mkdir_write_enable=YES允许匿名用户创建目录

anon_other_write_enable=YES允许匿名用户修改目录名或删除目录

[root@linuxprobe~]# vim/etc/vsftpd/vsftpd.conf

anonymous_enable=YES

anon_umask=022

anon_upload_enable=YES

anon_mkdir_write_enable=YES

anon_other_write_enable=YES

local_enable=YES

write_enable=YES

local_umask=022

dirmessage_enable=YES

xferlog_enable=YES

connect_from_port_20=YES

xferlog_std_format=YES

listen=NO

listen_ipv6=YES

pam_service_name=vsftpd

userlist_enable=YES

tcp_wrappers=YES

确认参数填写正确后保存并退出vsftpd服务程序的主配置文件，还需要重启vsftpd服务程序来让新的配置服务参数生效，并且同学们在生产环境中或者红帽RHCSA、RHCE、RHCA认证考试中也请记得一定要把配置过的服务程序加入到开机启动项中，以保证下次服务器重启后依然能够为用户正常提供ftp文件传输服务：

[root@linuxprobe~]# systemctl restart vsftpd

[root@linuxprobe~]# systemctl enable vsftpd

ln-s'/usr/lib/systemd/system/vsftpd.service''/etc/systemd/system/multi-user.target.wants/vsftpd.service

这样咱们就可以在客户端上面使用ftp命令连接到远程的FTP服务器上面了，FTP服务的匿名开放模式的帐号统一为anonymous，密码为空。匿名模式登陆到FTP服务器后默认所在位置为/var/ftp目录，咱们可以切换至里面的pub目录中，然后尝试创建一个新的目录文件来检验是否已经有了写入权限：

[root@linuxprobe~]# ftp 192.168.10.10

Connected to 192.168.10.10(192.168.10.10).

220(vsFTPd 3.0.2)

Name(192.168.10.10:root): anonymous

331 Please specify the password.

Password:此处敲击回车即可

230 Login successful.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> cd pub

250 Directory successfully changed.

ftp> mkdir files

550 Permission denied.

刚刚咱们已经把iptables防火墙策略清空，而且也在vsftpd服务程序的主配置文件中添加了允许匿名用户创建目录和写入文件的权限，那么为什么还会被拒绝呢？建议同学们先不要往下面看，思考后用自己的方法尝试解决下这个问题，长期这样您的Linux系统排错能力就一定会练出来的。

回想起前面操作的细节，咱们FTP服务的匿名开放模式是默认登陆到了/var/ftp目录中，查看下这个目录的权限后才发现原来只有root管理员用户才有写入权限的，怪不得会提示写入出错呢，咱们只需要把目录的所有者身份改成系统帐户ftp即可，这样就应该可以了吧~

[root@linuxprobe~]# ls-ld/var/ftp/pub

drwxr-xr-x. 3 root root 16 Jul 13 14:38/var/ftp/pub

[root@linuxprobe~]# chown-Rf ftp/var/ftp/pub

[root@linuxprobe~]# ls-ld/var/ftp/pub

drwxr-xr-x. 3 ftp root 16 Jul 13 14:38/var/ftp/pub

[root@linuxprobe~]# ftp 192.168.10.10

Connected to 192.168.10.10(192.168.10.10).

220(vsFTPd 3.0.2)

Name(192.168.10.10:root): anonymous

331 Please specify the password.

Password:此处敲击回车即可

230 Login successful.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> cd pub

250 Directory successfully changed.

ftp> mkdir files

550 Create directory operation failed.

又报错了!!此时再次使用ftp命令登入到FTP服务器主机后依然会提示写入操作失败，但细心的同学一定发现报错信息已经产生了变化，在刚刚没有写入权限的时候提示说权限拒绝（Permission denied.）所以咱们怀疑是权限的问题，但现在是提示创建目录的操作失败（Create directory operation failed.）那么咱们同学应该也能马上意识到是SELinux服务在限制这个操作了吧，查看下所有与ftp相关的SELinux域策略有那些吧：

[root@linuxprobe~]# getsebool-a| grep ftp

ftp_home_dir--> off

ftpd_anon_write--> off

ftpd_connect_all_unreserved--> off

ftpd_connect_db--> off

ftpd_full_access--> off

ftpd_use_cifs--> off

ftpd_use_fusefs--> off

ftpd_use_nfs--> off

ftpd_use_passive_mode--> off

httpd_can_connect_ftp--> off

httpd_enable_ftp_server--> off

sftpd_anon_write--> off

sftpd_enable_homedirs--> off

sftpd_full_access--> off

sftpd_write_ssh_home--> off

tftp_anon_write--> off

tftp_home_dir--> off

根据策略的名称和经验可以猜测出是哪一条规则策略，咱们在设置的时候请记得使用-P参数来让配置过的策略永久生效，保证在服务器重启后依然能够顺利写入文件，咱们可以分别尝试下创建目录文件、对文件进行改名以及删除目录文件等等操作。最后，恭喜同学们完成了这个实验课程，建议您在进行一次实验课程前还原虚拟机到最初始的状态，以免多个配置参数之间产生冲突。

[root@linuxprobe~]# setsebool-P ftpd_full_access=on

[root@linuxprobe~]# ftp 192.168.10.10

Connected to 192.168.10.10(192.168.10.10).

220(vsFTPd 3.0.2)

Name(192.168.10.10:root): anonymous

331 Please specify the password.

Password:此处敲击回车即可

230 Login successful.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> cd pub

250 Directory successfully changed.

ftp> mkdir files

257"/pub/files" created

ftp> rename files database

350 Ready for RNTO.

250 Rename successful.

ftp> rmdir database

250 Remove directory operation successful.

ftp> exit

221 Goodbye.

11.2.2本地用户模式

本地用户模式是通过Linux系统本地的帐号密码信息进行的验证方式，这种模式相比较匿名开放模式来说比较安全，不过如果被骇客暴力破解出FTP帐号信息，也就可以通过这个口令登陆到咱们的服务器系统中了，从而完全控制整台服务器主机。本地用户模式配置起来十分简单，而且既然本地用户模式确实要比匿名开放模式更加的安全，因此推荐既然开启了本地用户模式，就把匿名开放模式给关闭了吧~咱们对本地用户模式需要使用的权限参数及介绍如下表：

编辑

参数作用

anonymous_enable=NO禁止匿名访问模式。

local_enable=YES允许本地用户模式。

write_enable=YES设置可写入权限。

local_umask=022本地用户模式创建文件的umask值。

userlist_deny=YES参数值为YES即禁止名单中的用户，参数值为NO则代表仅允许名单中的用户。

userlist_enable=YES允许“禁止登陆名单”，名单文件为ftpusers与user_list。

[root@linuxprobe~]# vim/etc/vsftpd/vsftpd.conf

anonymous_enable=NO

local_enable=YES

write_enable=YES

local_umask=022

dirmessage_enable=YES

xferlog_enable=YES

connect_from_port_20=YES

xferlog_std_format=YES

listen=NO

listen_ipv6=YES

pam_service_name=vsftpd

userlist_enable=YES

tcp_wrappers=YES

当咱们确认参数信息已经填写正确就可以保存退出了，要想让新的配置参数生效还要记得重启一下vsftpd服务程序，并且在刚刚实验后还原了虚拟机的同学还请记得再把配置的服务加入到开机启动项中，让咱们的vsftpd服务程序在重启后依然能够正常使用。

[root@linuxprobe~]# systemctl restart vsftpd

[root@linuxprobe~]# systemctl enable vsftpd

ln-s'/usr/lib/systemd/system/vsftpd.service''/etc/systemd/system/multi-user.target.wants/vsftpd.service

按道理来说咱们现在就已经可以使用本地用户登陆到FTP服务器中了，但使用root用户登陆后会提示如下的错误信息：

[root@linuxprobe~]# ftp 192.168.10.10

Connected to 192.168.10.10(192.168.10.10).

220(vsFTPd 3.0.2)

Name(192.168.10.10:root): root

530 Permission denied.

Login failed.

ftp>

在咱们输入root管理员用户的密码前就已经提示被拒绝了，看来有什么东西再禁止着用户登陆，这是因为咱们vsftpd服务程序目录中默认存在着两个文件（ftpusers或user_list），这两个文件叫做禁止用户名单，不知道同学们有没有看过一个叫做“死亡笔记”的日本电影，里面就提到有一个黑色封皮的小本本，任何人的名字写进去都会死亡，其实咱们在配置的这个vsftpd服务程序的禁止文件也有类似的功能，只要里面写有某个用户的名字，那么就不再允许这个用户登陆到咱们的FTP服务器上面。

具体步骤参考文档：，可以部署一个vsftpd服务