http://www.qixiaomudong.cn/index.php zh-cn http://www.qixiaomudong.cn/read.php?351 七小木东 <admin@yourname.com> Wed, 03 Feb 2010 02:08:54 +0000 http://www.qixiaomudong.cn/read.php?351 1、  对于openwebmail来说，收信及发信箱都保存 ，收信箱在/var/mail/每个人名字下面，而发信箱保存在/home/每个人名字/mail/sent-mail文件中。
同级还有如下的目录  /home/每个人名字/mail/spam-mail //垃圾箱
                    /home/每个人名字/mail/virtus-mail //病毒邮件
                   /home/每个人名字/mail/saved-drafts //草稿箱
                   /home/每个人名字/mail/saved-messages //已保存邮件
                   /home/每个人名字/mail/mail-trash //废件邮件
                
2、  当用outlook进行收发邮件时，linux邮件系统的对应目录中不会保存相应的文件。只有用openwebmail的格式时才能保存相关的文件到收信及发信箱中。
3、  日志文件保存在 /var/log/openwebmail.log
4、  看发送的缓冲队列是 /var/spool/mailq 命令。 具体的未发送队列是 /var/spool/mqueue目录中，有q1,q2等队列。


为什么我发的邮件别人收不到,还会被退信?

当您使用sohu邮箱给别人发信后，对方没有收到邮件，您的邮箱却出现了退信，这种情况一般来说，是对方服务器或者您的操作可能有问题，具体原因请您打开这封退信，退信的正文里面有标明退信原因的错误号，错误号及对应问题如下:


1. 这个收件人不存在，退信提示信息一般为:invalid address (#5.5.0)或者User unknown或者user is not found等等。请核对对方email地址是否正确,或者有没有变动，一般是邮件地址@前面的部分填写有错,请核对无误后给对方发送。

2. 对方邮箱已满退信提示信息一般为:receiptor's mailbox is full 或者Quota exceed the hard limit for user原因对方邮箱超过了允许的容量,您只能让对方清空邮箱后再接收。

3. 对方服务器拒绝接收sohu邮件退信提示信息一般为:Recipient address rejected: Relay access denied或者554 Error: content rejected原因是对方邮件服务器将sohu邮件屏蔽掉了,您最好通过其他邮箱和对方邮件管理员联系,说明情况,解除屏蔽就可以了.或者换一个其他的邮箱和对方联系

5、   目前人们都讨论关于邮件的问题，总有人发现我们的邮件能收不能发，发到别人发不到，这是一个如何的问题，一般来说不应该，发到其它人正确，而只有一小部分人总反映此问题。
6、   还是就是我们邮件的relay问题，是不是有办法来解决，不进行relay,能否满足我们目前的需求。还有一个问题是如何，争取上网来发提示，按照回复的短信来下午改正。
7、   清理垃圾邮件的队列 ：/var/spool/mqueue
8、   对于邮件的日志来说，放到了/var/log/maillog下，所有的邮件信息都记录此文件中，而对于收发邮件来说，如果用的是outlook发送，则不会记录在/home/姓名/mail/sent-mail(发),/var/mail/姓名（收）。日志文件保存了进行收发的相关记录。

8 重新启动邮件服务时，先启动named，使域名服务器能顺序启动，再有进入/var/www/bin下，启动httpd服务。
./apachectl restart,即可。
9 自启动’named’命令是 chkconfig - - level 3 named on
10 选择自启动的命令是 ntsysv ,
12 在/etc/mail/access 中的定义项及含义
OK
Accept mail even if other rules in the running ruleset would reject it, for example, if the domain name is unresolvable. "Accept" does not mean "relay", but at most acceptance for local recipients. That is, OK allows less than RELAY.//接受邮件甚至有规则将它拒绝，接受并不意味着可以“RELAY”,但是至多为本地容器所接受
RELAY
Accept mail addressed to the indicated domain or received from the indicated domain for relaying through your SMTP server. RELAY also serves as an implicit OK for the other checks.接受、发送指定MAIL地址
REJECT
Reject the sender or recipient(容器) with a general purpose message.拒绝发送者返回指定的信息
DISCARD
Discard the message completely using the $#discard mailer. If it is used in check_compat, it affects only the designated recipient, not the whole message as it does in all other cases. This should only be used if really necessary. 丢弃信息，它起作用只是指定的容器，并不是整个信息。
SKIP
This can only be used for host/domain names and IP addresses/nets. It will abort the current search for this entry without accepting or rejecting it but causing the default action.它中断当前的搜索按照默认的动作，不接受也不拒绝
### any text
where ### is an RFC 821 compliant（约定） error code and "any text" is a message to return for the command. The string should be quoted（引用） to avoid surprises（惊奇）, e.g., sendmail may remove spaces otherwise. This type is deprecated（不赞成）, use one the two ERROR: entries below instead. ### is an RFC 821是错误代码，"any text"是回传的错误，
ERROR:### any text
as above, but useful to mark error messages as such.标识错误信息
ERROR:D.S.N:### any text
where D.S.N is an RFC 1893 compliant error code and the rest as above.约定的错误代码
For example:
cyberspammer.com       ERROR:"550 We don't accept mail from spammers"
okay.cyberspammer.com  OK
sendmail.org           RELAY
128.32                 RELAY
IPv6:1:2:3:4:5:6:7     RELAY
[127.0.0.3]            OK
[IPv6:1:2:3:4:5:6:7:8] OK
would accept mail from okay.cyberspammer
Mail Abuse Prevention System (MAPS). 垃圾邮件保护组织
MUA 指outlook 等相类信软件
Mta指邮件传输代理 ，指mail server
MDA,在mail server上运行的软件，帮助来将信件发到每个邮件帐号。
Relay 指帮助别人传递信件。不是你的邮件传递到下一个邮件服务器。
当关闭relay功能或对relay进行限制，则对于没有固定ip的邮件就没有办法来传递，这样就要用到邮件认证机制。
当邮件发送时，mta会检查来自client端的认证对比，如果对比成功，则可以帮助收发邮件，如果对比不成功，则会不给发信，这就是一般所使用的SMTP邮件认证机制。(发时进行认证).
使用cyrus-sasl密码认证机制.
http://www.redhat.com/apps/support/errata/！
ftp://linux.sinica.edu.tw/pub1/redhat/updates/
cyrus-sasl是一个应用程式所使用的认证出函式库，sendmail 是一个应用程式，透过sasl提供的函数式功能 ，并且 定义出认证的方式，让SASL透过主机的沟通动作，提供应用程式来认证的目的。
Cyrus-sasl提供 PAM与shadow两种认证方式。
原理：1系统先 有cyrus-sasl
      2 sendmail.cf要编译cyrus-sasl的函数式。
     ？？3 如果Sendmail.conf中设置为pam,则必须有/etc/pam.d有smtp 这个档案。
简单的说 procmail可以视为一个mda,帮助分析信件，之后在送给每个人。 ]]> http://www.qixiaomudong.cn/read.php?215 七小木东 <admin@yourname.com> Tue, 16 Dec 2008 13:25:02 +0000 http://www.qixiaomudong.cn/read.php?215 挂载光盘的命令如下：
# mount -r -t iso9660 /dev/cdrom /mnt/cdrom
     -r 只读
     -t 类型
或#mount /mnt/cdrom
挂载成功时显示：

mount: /dev/cdrom already mounted or /mnt/cdrom busy
mount: according to mtab, /dev/cdrom is already mounted on /mnt/cdrom

有时即使插入光盘也可能会出现No medium的提示，可能是系统并没有识别光盘的缘故，我们可以试着退出光盘并重新插入，值得注意的是，在使用虚拟机时，一定要进入虚拟机中的linux后，再放入光盘，否则系统将无法识别光盘，在Red hat 11中，已经提供了另一种快捷的方法，当我们插入光盘时，桌面上会出现一个光盘图标，我们双击打开即可。

上述命令将光盘挂载到/mnt/cdrom目录，使用“ls /mnt/cdrom”命令即可显示光盘中数据和文件。
卸载光盘的命令如下：

# umount /mnt/cdrom
我们可以通过点击桌面上的主目录图标，然后在位置栏中输入/mnt/cdrom或/mnt/floppy来访问光盘或软盘
2.挂载软盘
将软盘挂载到/mnt/floppy目录的命令如下：

# mount /dev/fd0 /mnt/floppy
或#mount -t vfat /dev/fd0 /mnt/floppy/

     -t 代表类型
     vfat 代表fat格式卸载软盘的命令如下：

#umount /mnt/floppy
拷贝文件至软盘：

#cp filename /mnt/floppy/
3.挂载U盘挂载U盘相对复杂一些。首先使用“fdisk -l”命令查看外挂闪存的设备号，一般为/dev/sda1。然后用“mkdir /mnt/usb”命令建立一个挂载U盘用的目录。之后使用如下命令挂载FAT格式的U盘：

# mount -t msdos /dev/sda1 /mnt/usb
使用如下命令挂载FAT32格式的U盘：

# mount -t vfat /dev/sda1 /mnt/usb
4.挂载外挂硬盘分区
挂载外挂硬盘分区（FAT32格式）同样需要先用“fdisk -1”查看外挂的硬盘分区设备号，假设为/dev/hda1。建立/mnt/vfat挂载目录后，使用如下命令进行挂载：

# mount -t vfat /dev/hda1 /mnt/vfat
注意，默认情况下Linux只允许root用户执行mount命令。如果想让一般用户也能挂载，并且希望在系统启动时自动挂载光盘或软盘，需要修改/etc/fstab配置文件，加入以下内容：

LABEL=/ / ext3 defaults 11/dev/cdrom/mnt/cdrom iSo9660 auto,owner,kudzu,ro,user 00/dev/fdo /mnt/floppy auto auto,owner,kudzu,ro,user 00
其中，“user”表示将mount命令赋予一般用户使用。
/etc/fstab文件在Linux的帮助手册中讲得很详细。 ]]> http://www.qixiaomudong.cn/read.php?214 七小木东 <admin@yourname.com> Tue, 16 Dec 2008 09:02:05 +0000 http://www.qixiaomudong.cn/read.php?214 http://www.qixiaomudong.cn/read.php?213 七小木东 <admin@yourname.com> Tue, 16 Dec 2008 05:36:28 +0000 http://www.qixiaomudong.cn/read.php?213
以这个版本为例
proftpd-1.2.4.tar.gz
http://www.proftpd.org

安装方法:
./configure --prefix=/usr/local --enable-shadow
make （如果是双 CPU 建议采用 make -j3）
make install
或者简单一点
./configure
make
make install

配置方法:

然后你可以发现 ProFTPD 安装在 /usr/local 下，"proftpd" 可以在/usr/local/sbin/
目录下找到，配置文件 proftpd.conf 位于：/usr/local/etc/

编辑/usr/local/etc/proftpd.conf，找到“Group xxxxxx”
改为“Group nobody”


要锁定用户在自己的本身的目录下,请在proftpd.conf文件里加上一句:
DefaultRoot~

FTP服务器相关命令

　　1、ftpshut:关闭FTP服务，并在/etc下生成文件shutmsg。要重新开放FTP服务，把/etc/shutmsg删除。
　　2、ftpcout:FTP服务器在线人数信息显示。
　　3、ftpwho:FTP服务器在线人员名单。

几个文件的功能及路径
/usr/local/sbin/proftpd 执行程序
/usr/local/etc/proftpd.conf 设置文件
/usr/local/var/proftpd.pid proftpd做为一个服务的ID号


设定proftpd.conf文件，起动服务

cd /etc/rc.d/rc3.d
ln -s /usr/local/sbin/proftpd S99proftpd

或者
修改/etc/rc.d/rc.local
加上下面这句
/usr/local/sbin/proftpd start

在proftpd环境下如何设定虚拟主机？

可以通过指令：VirtualHost来实现，一个最简单的例子：


ServerName "virtual FTP server"

若你仅仅希望通过匿名访问某个虚拟主机，则使用如下! 的指令：



Serv erName "virtual FTP server"


DenyAll




User private
Group private


AllowAll






这样192.168.2.35的这台主机则仅仅允许匿名登录。

如果要求登陆访问，可以这样

#需要登录
User lixin
Group lixin
UserAlias publx lixin
AnonRequirePassword on
MaxClients 2
DisplayLogin welcome.msg
DisplayFirstChdir .message


AllowGroup lixin
DenyAll



GroupOwner lixin
Umask 007

HideUser root
HideGroup root



你登录的用户名、密码必须是linux注册的用户名、密码，所要访问的目录的属性也必须是用户名有相应权限的。目录里当然还要有东西



conf文件说明
/usr/local/etc/proftpd.conf

ServerName "ProFTPD Default Installation"
顾名思义这就是为自己的FTP Server命名啰！例如笔者将预设的名称改为
ServerName 帕胡德档案传输系统

ServerType standalone
ProFTPD主要激活方式有两种，分别是"standalone"与"inetd"，前者必须手动来激活ProFTPD; 后者可以写在/etc/inetd.conf里头，每当开机激活执行档的时候，就会激活所有/etc/inetd.conf里面的所有Daemon了。如果各位想让自己的FTP服务成为Linux的主要服务的一部份，笔者建议各位使用inetd的方式，因此笔者是这么设定的：
ServerType inetd
此时，因为设定以inetd方式激活，必须在/etc/inetd.conf里头加上一行：
ftp stream tcp nowait root /usr/local/sbin/in.proftpd in.proftpd
(段落之间记得用Tab键隔开喔！)
修改了/etc/inetd.conf之后记得养成习惯执行
killall -HUP inetd
让系统重新执行inetd并且读取更新过的/etc/inetd.conf檔。

DefaultServer on
如果ProFTPD是您预设的FTP Server，请设定为on。

Port 21
一般的FTP连接端口默认值是21，如果不是特别需要的话，请勿修改这个数字，但如果您之前已经有跑其它的FTP Server(例如wu-ftpd)，那么您可以修改这个Port值，这样一来就可以同时跑两个不同的FTP Server了。不过笔者不鼓励这种方式，因此这个地方还是建议各位保留21这个Port。

Umask 022
Umask是用来设定当使用者新增加一个资料夹或档案的时候它的档案权限，为了预防使用者所新增的资料夹变成任何人都能写入的资料夹，预设的Umast值是022，也就是说除了本人之外，同一个group或是其它使用者都无法做写入该资料夹的动作。

MaxInstances 30
这是预防有些有心的cracker利用类似DoS之类的程序来攻击系统，造成大量的child process导致瘫痪整个service，因此将最多的child process设为30。需要注意的是这个设定仅对standalone的执行方式有效，如果各位在前面跟笔者一样使用inetd的话，各位可能必须利用xinetd这套软件来限制child process的数目了。

User nobody
Group nobody
这里设定FTP Server执行时的身份，一般是设定为nobody。


AllowOverwrite on

一般说来，我们都希望档案都能够覆写上去，因此这里我们设定为"on"。眼尖的读者是否已经发现ProFTPD设定档的设定格式跟Apache Web Server设定格式很像呢？甚至有点html卷标(tag)的味道呢！没错！这正是ProFTPD主要特色之一喔！


User ftp
Group ftp
# We want clients to be able to login with "anonymous" as well as "ftp"
UserAlias anonymous ftp

# Limit the maximum number of anonymous logins
MaxClients 10

# We want 'welcome.msg' displayed at login, and '.message' displayed
# in each newly chdired directory.
DisplayLogin welcome.msg
DisplayFirstChdir .message

# Limit WRITE everywhere in the anonymous chroot

DenyAll




]]> http://www.qixiaomudong.cn/read.php?212 七小木东 <admin@yourname.com> Tue, 16 Dec 2008 03:24:01 +0000 http://www.qixiaomudong.cn/read.php?212
proftpd 1.2.10
网站：http://www.proftpd.org
下载
MySQL 4.1.9
网站：http://www.mysql.com
下载


1.安装

新版的proftp中已经有mod_quotatab了，所以不用另外下载了。
# tar -zxvf proftpd-1.2.10.tar.gz
# cd proftpd-1.2.10
# ./configure \
--prefix=/usr/local/proftpd \
--with-includes=/usr/local/mysql/include/mysql \
--with-libraries=/usr/local/mysql/lib/mysql \
--with-modules=mod_sql:mod_sql_mysql:mod_quotatab:mod_quotatab_sql:mod_ratio
# make
# make install

设置自启动
# cp contrib/dist/rpm/proftpd.init.d /etc/rc.d/init.d/proftpd
# chmod 755 /etc/rc.d/init.d/proftpd
# chkconfig --level 0123456 proftpd on

修改/etc/rc.d/init.d/proftpd
# vi /etc/rc.d/init.d/proftpd
把 PATH="$PATH:/usr/local/sbin" 改为 PATH="$PATH:/usr/local/proftpd/sbin"

修改/usr/local/proftpd/etc/proftpd.conf
# vi /usr/local/proftpd/etc/proftpd.conf
把Group nogroup 改为 Group nobody
再添加两行，使支持续传（默认是不支持的）
AllowRetrieveRestart on
AllowStoreRestart on

启动服务
# service proftpd start

2.proftpd的结构
proftpd.conf：这个是主要的 proftpd 的设定档。在 RPM 安装的范例中，所在的目录为 /etc/proftpd.conf ，在这个范例中，则是在/usr/local/proftpd/etc/proftpd.conf。

/usr/local/proftpd/sbin/proftpd：这个是主要的 proftpd 的 daemon 执行档。此外，这也是 TCP Wrappers (/etc/hosts.deny(allow)) 设定里头的服务档案档名。另外，当proftpd 在启动的时候会去读取设定档，也就是proftpd.conf这个档案，不过，我们也可以指定其它的档案来进行proftpd的设定。
# proftpd -c /usr/local/proftpd/etc/proftpd.conf

/usr/local/proftpd/bin/ftpcount：目前在主机上面使用 proftpd 的联机数，直接在指令列下达 ftpcount 即可。

/usr/local/proftpd/sbin/ftpshut：指定再过多久之后 proftpd 服务会终止。语法如下:
ftpshut [ -l min ] [ -d min ] time [ warning-message ... ]
-l min: 在ftp关闭服务之前的几分钟内，尝试建立新的ftp连接均不被接受
-d min: 在ftp关闭服务之前的几分钟内，已经建立的ftp连接将被中止
time: 在多少时间后，服务器将关闭ftp服务，格式有两种
＋number 经过number分钟后关闭
MMHH 在今天MM：HH服务器将关闭

注意，这里我们用这个命令是把ftp服务给停了，但实际的proftpd进程还没停止，所以一般调试ftp会使用到这个命令

举例：
再经过30分钟后，FTP服务将关闭，在这之前的20分钟不可接受任何新的ftp连接，已经建立的在服务关闭前10分钟强制断线，并在客户端显示“FTP Server Will shutdown at time”
# ftpshut -l 20 -d 10 +30 "FTP Server Will shutdown at time"
其实ftpshut就是产生/etc/shutmsg ,你只要删除这个文件ftp又可以重新服务，或者直接
# ftpshut -R

/usr/local/proftpd/bin/ftpwho：可以用来察看目前有多少人使用 proftpd 这个服务。简单的语法直接下达 ftpwho 即可，如下所示：
# ftpwho
standalone FTP daemon [8451]:
10194 badbird [ 0m 11s] 0m 6s (idle)
Service class - 1 user
如上所示，目前有一个使用者，名为badbird的账号，在使用proftpd。

3.proftpd.conf

3.1.proftpd.conf 的设定方式
proftpd的设置和apache类似，它的配置基本格式如下：

#全局设置
设置项目1 参数1
设置项目2 参数2

#某个目录的设置

...
...


#关于匿名用户的设置

...
...

...
...



我们用到的比较多的可能是Limit的使用，Limit大致有以下动作，基本能覆盖全部的权限了，大家灵活使用就是了。

CMD：Change Working Directory 改变目录
MKD：MaKe Directory 建立目录的权限
RNFR： ReName FRom 更改目录名的权限
DELE：Delete 删除文件的权限
RMD：ReMove Directory 删除目录的权限
RETR：RETRieve 从服务端下载到客户端的权限
STOR：STORe 从客户端上传到服务端的权限
READ：可读的权限，不包括列目录的权限，相当于RETR，STAT等
WRITE：写文件或者目录的权限，包括MKD和RMD
DIRS：是否允许列目录，相当于LIST，NLST等权限，还是比较实用的
ALL：所有权限
LOGIN：是否允许登陆的权限

针对上面这个Limit所应用的对象，又包括以下范围
AllowUser 针对某个用户允许的Limit
DenyUser 针对某个用户禁止的Limit
AllowGroup 针对某个用户组允许的Limit
DenyGroup 针对某个用户组禁止的Limit
AllowAll 针对所有用户组允许的Limit
DenyAll 针对所有用户禁止的Limit

关于限制速率的参数为：
TransferRate STOR|RETR 速度（Kbytes/s） user 使用者

3.2.常用参数说明

ServerName
#当使用者登入主机的时候，proftpd 会显示在 Client 端的 FTP 软件的一些基本讯息啦！

ServerType
#启动 proftpd 的方法，有两种方式，分别是 standalone与xinetd

DefaultServer
#预设的主机啊。这个项目可以设定为on或off，基本上，除非您有两个 IP 或者是设定了虚拟主机 (virtualhost)， 否则这个项目都应该要设定为 on 才行！不然有些 uknown的联机会无法连接到您的 FTP 服务。

Port
# 设定主机的 FTP 命令信道端口！FTP命令通道通常为 21 ，您也可以更改，不过，这个设定只有当ServerType 为 standalone 时才有效。

Umask
# 与建立目录及档案的预设属性有关的设定喔！用 022 就够了！

MaxInstances
#同一时间允许的联机数目，这个设定项目与 process (PID) 有关！所以您的 FTP 主机中，proftpd 启用的 process 最多能有30个。这个与 MaxClients 不一样！

User 与 Group
#预设的服务启动者！后面接的使用者与群组必须在 /etc/passwd 与 /etc/group 里面存在方可！

MaxHostsPerUser 1 "对不起，每个帐户最多允许来源ip为1个"
#MaxHostsPerUser 对防止ftp帐号还是比较有用的。

MaxClientsPerUser 1 "对不起，每个帐户在每个客户端最多可以同时登陆1次"
#这个参数可以防止多线程软件下载对服务器的破坏

MaxClientsPerHost 1 "对不起，同一个客户端只能最多1个帐号可以登陆"
#比如ftp服务端有好多帐户你都有，但也只能用1个帐号登陆

WtmpLog on
#是否要把ftp记录在日志中，如果不想可以设置成off屏蔽掉log日志。

TimeoutIdle 600
#客户端idel时间设置，默认就是600秒

DisplayLogin welcome.msg
#设置ftp登陆欢迎信息文件

关于欢迎文件的设置包含如下参数
%T 目前的时间
%F 所在硬盘剩下的容量
%C 目前所在的目录
%R Client 端的主机名称
%L Server 端的主机名称
%U 使用者帐户名称
%M 最大允许连接人数
%N 目前的服务器连接人数
%E FTP服务器管理员的 email
%i 本次上传的文件数量
%o 本次下载的文件数量
%t 本次上传+下载的文件数量

知道这些参数，我们就可以写出一个友好的欢迎语
vi /home/kaoyan/welcome.msg
欢迎您%U， 这是Frank的测试FTP服务器；
目前时间是：%T；
本服务器最多允许%M个用户连接数；
目前服务器上已有%N个用户连接数；
目前你所在的目录是%C;
目录所在的硬盘还剩下%F字节。

让proftp支持现在流行的passive传输方式，默认是不支持的。只要在服务端设置
AllowForeignAddress on
PassivePorts 49152 65534 #端口也可自己指定喜欢的

千万别忘了在客户端也要设置成支持passive

如何让root能登陆，默认proftp是不支持root登陆，我们可以设置让root也能登陆ftp，不过建议大家最好不要让root能登陆ftp，设置如下
RootLogin on

如何禁止某个地址访问ftp。比如禁止10.1.1网段的机器访问ftp，可以这么设置

order deny,allow
Deny from 10.1.1.
Allow from all


虚拟ftp的建立，一般用于一台ftp服务器有好多ip地址，或者ftp用不同的端口，基本设置语法是:
比如我们要做一个端口是5555的ftp服务器：

ServerName "Frank FTP Server"
Port 5555
...

...

...

...



至于虚拟主机中的其他设置跟我以前讲的基本差不多

上传/下载比率设置，我想用过Serv_U的朋友一定知道这个功能的使用，我们这里让proftp也实现这个功能。
要实现功能注意编译的时候加入ratio模块，否则proftp默认是不支持，假设有个帐户ftp1的ftp目录在/home/kaoyan ，然后我们设置ftp1的上传/下载比率是1：2（即上传1M，就可以下载2M）
touch /home/kaoyan/ratio.dat
touch /home/kaoyan/ratio.tmp
chmod -R 666 /home/kaoyan
在proftpd.conf设置如下
Ratios on
SaveRatios on
RatioFile /home/kaoyan/ratio.dat
RatioTempFile /home/kaoyan/ratio.tmp
在相应的设置项里添加
UserRatio ftp1 0 0 2 1000
#UserRatio "使用者帐户" fileratio filequota byteratio bytequota
#　 fileratio ：以文件为基础的比率，通常不限制，故为 0
#　 filequota ：预设置能下载多少文件，不限制时为 0
#　 byteratio ：就是上传/下载的比例,如果数字为2，表示1:2
#　 bytequota ：预设置能下载多少 KBytes 的文件
#上面设置的就是1：2的比率，默认只允许下载1M的文件

重启一下，以后ftp1就可以启用上传/下载比率了

4.各种ftp的配置

4.1.本地用户
目标：
使用主机本地端时间，而不要使用 GMT 时间；
主机最多允许 50 条联机，且最多允许 100 个使用者上线，当超过 100 个使用者还有其它 FTP 要求时，就显示：很抱歉，上线人数额满了！；
同一个 IP (或主机) 来源最多仅能具有 5 个 FTP 服务；
允许续传；
被动式(passive mode)的端口为 65400 到 65420 这21个端口；
主机不允许 Root 登入；
想建立一个名为 badbird 的群组，在该群组内的所有使用者都无法离开自己的家目录(chroot)；
在badbird 这个群组当中的 nogoodbird 这个使用者，该使用者能够使用 ftp 但是无法使用 ssh 连到主机；
在这个公开的目录 /home/ftp/pub 中，所有人均不可写入，只有读取的权限；

# vi /usr/local/proftpd/etc/proftpd.conf
# FTP主机的环境设定
ServerName "测试用的 Proftp 主机"
ServerType standalone
DefaultServer on
Port 21
User nobody
Group nobody
#所谓的 GMT 时间就是格林威治时间，因为要使用本地时间，所以设为 off
TimesGMT off
# 最多仅有 50 条 prftpd 的 PID
MaxInstances 50
# 最多允许 100 个使用者在在线
MaxClients 100 "很抱歉上线人数额满了"
# 同一个主机最多可以同时 5 个 FTP 联机
MaxClientsPerHost 5
# 允许使用者续传！预设是 off
AllowStoreRestart on
# 后面接的是端口，最小到最大的端口共 21 个
PassivePorts 65400 65420

# 其它与实体用户较相关的设定值！
Umask 022
# 不许 root 登入！预设就是 off
RootLogin off
# 这个设定可以让使用者不需要具有能够执行的 shell。例如让nogoodbird 这个具有 /bin/false 的使用者，依然可以使用 ftp
RequireValidShell off
# ~ 代表家目录。DefaultRoot后面接的是group，所以在这里badbird为group，而不是user
# 这里特别容易搞混乱，请再特别的留意一下阿！只要不属于 badbird
# 这个群组的 User 就可以离开自己的家目录了！(没有被 chroot )
DefaultRoot ~ badbird
# 下面的设定中，在根目录内的所有目录均具有可擦写的权力，但是在
# /home/ftp/pub 这个目录中，不论 Linux 属性为何，使用者均无法写入！
# 但是可以浏览以及下载喔！在我们这个设定当中， badbird 这个群组无法离开
# 自己的家目录，至于其它可以离开自己家目录的使用者，来到这个
# /home/ftp/pub 当中，也不具有写入的权限喔！

AllowOverwrite on



Denyall



建立nogoodbird用户，由于不具有 shell 所以不能 SSH 但可以 ftp　
# useradd -g badbird -m -s /bin/false nogoodbird
　
# service proftpd restart
　
事实上，对于实体用户实在不需要限制的太多！要不然就不要开放，要不然就直接改成 sftp！此外，在上面这个设定当中，我们暂时拿掉了anonymous的登入，所以使用 anonymous 将无法登入。

4.2.匿名用户
目标：
anonymous的根目录为 /var/ftp 这个目录；
anonymous登入后取得的 PID 在 Linux 的权限为 ftp:ftp；
当anonymous登入 FTP 之后，在 Client 端的 FTP 软件显示一些欢迎讯息；
最多允许 30 个 anonymous 的登入；
限制上传/下载速度为 100Kbytes/s 与 50 Kbytes/s；
在 /var/ftp/ 里面，除了 /var/ftp/upload 之外，其它的目录均不可写入；
在 /var/ftp/upload 这个目录中，仅可以写入，不能下载，并且在使用者进入这个目录后，显示出一些相关的信息；

建立基本的设定档案：
# vi /usr/local/proftpd/etc/proftpd.conf
# 关于主机与实体用户的设定
ServerName "测试用的 Proftp 主机"
ServerType standalone
DefaultServer on
Port 21
User nobody
Group nobody
TimesGMT off # 所谓的 GMT 时间就是格林威治时间，因为要使用本地时间，所以设为 off
MaxInstances 50 # 最多仅有 50 条 prftpd 的 PID
MaxClients 100 "很抱歉上线人数额满了" # 最多允许 100 个使用者在在线
MaxClientsPerHost 5 # 同一个主机最多可以同时 5 个 FTP 联机
AllowStoreRestart on # 允许使用者上传续传！预设是 off
PassivePorts 65400 65420
　
# anonymous 的设定

# 底下为建立 Anonymous 在 Linux 系统下的 PID 权限拥有者
User ftp
Group ftp
UserAlias anonymous ftp
UserAlias nogoodbird ftp
# 建立显示的讯息给 anonymous 观察用的！
DisplayLogin welcome.msg
DisplayFirstChdir .message
MaxClients 30 "匿名登入者联机数已经饱和了！"
# 这个就重要啦！用来限制传输速率的吶！基本语法为：
# TransferRate (STOR|RETR) 速度(Kbytes/s) user 使用者
# STOR 为上传而 RETR 为下载的意思！速度为 Kbytes/second 喔！
TransferRate STOR 100 user anonymous,ftp # 单位为 KBytes/second
TransferRate RETR 50 user anonymous,ftp

Denyall

# 底下这个则仅与 upload 这个目录以及其下的子目录有关而已！


Denyall


Allowall



　
建立欢迎画面：
注意：如果anonymous 根目录在 /var/ftp，welcome.msg 就必须放置在/var/ftp/welcome.msg
# vi /var/ftp/welcome.msg
欢迎光临！这个是测试 FTP 站点！
我的主机： %L
目前时间： %T
最大联机： %M
目前联机： %N
您的主机： %R
您的账号： %U
目前目录： %C
　
建立特殊注意事项：
需要在 /var/ftp/upload 里面建立一个特殊讯息
# vi /var/ftp/upload/.message
这个目录仅能上传不能下载，
您的身份为anonymous！
　
建立 upload 的权限：
# chown ftp:ftp /var/ftp/upload
# chmod 755 /var/ftp/upload
　
重新启动！
# service proftpd restart
　

4.3.特殊交流用户 (建立一个 ftpguest 群组！将所有的 guset 设定在这个群组内！)
一些用户具有上传与下载的权限，并且这些权限是可以保留或者是累积的，在 Windows 系统上面有 Server-U 这个好用的家伙，那么我们的 Linux 上头的FT 可以达到这样的功能吗？！呵呵！proftpd 就可以！而且设定还真的是很简单喔！目标：
　
主机环境、实体用户、anonymous 的环境都与前两节的内容相同；
建立一个群组名为 ftpguest ，如果使用者属于该群组，则该使用者登入主机之后他的根目录会在 /var/ftp2 这个目录下；
有三个使用者，名为 ftpuser1, ftpuser2, ftpuser3 ，都属于 ftpguest 群组，他们没有家目录，不能使用 ssh，但是他们在 /var/ftp2/upload 有写入的权限，但不可读取数据；
在 /var/ftp2 内的所有相关下载中，最高流量为 50 Kbytes/second；
ftpuser1 的上传/下载比例为 1:2 ，且具有 100 MB 的预设下载量； ftpuser2 与 ftpuser3 的上传/下载比例则为 1:1，仅具有 30MB 的预设下载量；
当使用者进入 /var/ftp2 时，会显示该使用者的上传/下载比例，以及剩下的下载容量，还有其它的相关讯息；
与使用者有关的上传/下载比例以及剩下的可下载容量，都记录在 /var/ftp2/work/ratio.dat, /var/ftp2/work/ratio.tmp 当中，所以使用者在这个目录都无法读、写！
　
在这个案例当中，最重要的就是那个『纪录使用者上传/下载的 ratio 以及可用空间的记录文件』了，在我的案例当中，使用的就是 /var/ftp2/work/ratio.dat 这个档案，请注意，这个档案必须要能被 ftpuser1, ftpuser2, ftpuser3 所读取与写入才行！相当的重要喔！所以，我应该要这样设计我的设定档：

建立所需要的群组与使用者：
我要建立一个群组为 ftpguest ，此外，所有相关的使用者都是这个群组！
# groupadd ftpguest
# useradd -M -g ftpguest -s /bin/false ftpuser1
# useradd -M -g ftpguest -s /bin/false ftpuser2
# useradd -M -g ftpguest -s /bin/false ftpuser3
# passwd ftpuser1
# 请依序建立 ftpuser1 ftpuser2 ftpuser3 的密码！
　
建立所需要的 FTP 相关路径：
我要的路径在 /var/ftp2 当中，而且 ftpguest 必须要能够写入！
# mkdir -p /var/ftp2
# mkdir -p /var/ftp2/upload
# mkdir -p /var/ftp2/work
# chmod -R 775 /var/ftp2
# touch /var/ftp2/work/ratio.dat #底下两个档案用在 ratio
# touch /var/ftp2/work/ratio.tmp
# chown -R ftpuser1:ftpguest /var/ftp2
# chmod 666 /var/ftp2/work/*

建立基本的设定档案：
# vi /usr/local/proftpd/etc/proftpd.conf
# 关于主机,实体用户,anonymous 的设定如同前两小节所示，所以我这里就略过了！
...(沿用上两小节的设定，这里略过).....
　
# 底下则是 /var/ftp2 的设定喔！就是与 ftpguest 有关的设定喔！
DefaultRoot /var/ftp2 ftpguest
DisplayLogin welcome.msg
# 开始设定上传/下载比例
Ratios on
SaveRatios on
RatioFile /work/ratio.dat
RatioTempFile /work/ratio.tmp
# 上面这两个档案需要比较注意！他的路径与 DefaultRoot 有关系！
# 因为我们的 DefaultRoot 在 /var/ftp2 ，因此，这个档案在
# 『根目录为 /var/ftp2 时，路径为 /work/』也就是说， /work/ratio.dat
# 其实就是 /var/ftp2/work/ratio.dat (因为 / 是 /var/ftp2 喔)
# 这个地方是最容易搞错的！请再次的看清楚喔！ ^_^
　
# 至于底下的设定就是要让 /var/ftp2/work 这个目录下的档案都无法被使用！


Denyall


　
# 这里就是在设定使用者的上传/下载比例啦！语法为：
# UserRatio "使用者账号" fileratio filequota byteratio bytequota
# 　使用者账号：就是登入 proftpd 的账号啊！
#　 fileratio ：这个是以档案为基准的『比例』，通常不限制，故为 0
#　 filequota ：预设能够下载多少档案，不限制时为 0
#　 byteratio ：就是上传/下载的比例，这个数字代表『 1:下载 』之意！
#　 bytequota ：预设能够下载多少 KBytes 的档案！注意单位喔！
UserRatio ftpuser1 0 0 2 100000 # 上/下比例为 1:2
UserRatio ftpuser2 0 0 1 30000
UserRatio ftpuser3 0 0 1 30000
# UserRatio ftpuser3 0 0 -2 30000
# 上面这行有意思！当下载比例为负值时，表示上/下 比例为 2:1 的意思！

Umask 002
# 这里就是在进行『下载速度的限制』啰！
TransferRate RETR 50 group ftpguest

Denyall





Denyall


Allowall


　
建立欢迎画面：
注意：如果ftpguest 群组的根目录在 /var/ftp2，welcome.msg 就必须放置在 /var/ftp2/welcome.msg
# vi /var/ftp2/welcome.msg
欢迎光临！测试 FTP！
我的主机： %L
目前时间： %T
最大联机： %M
目前联机： %N
您的主机： %R
您的账号： %U
目前目录： %C
　
重新启动
# service proftpd restart

这样就设定妥当，并且也可以正确的启用啰！好了！那么我们就赶紧来测试看看能不能记录每个使用者的上传/下载比例呢？如下所示：
# ftp localhost
Connected to localhost (127.0.0.1).
220 ProFTPD 1.2.8 Server (这个是鸟哥的测试用的 Proftp 主机) [test.localhost]
Name (localhost:root): ftpuser1
331 Password required for ftpuser1.
Password: <== 这里输入 ftpuser1 的密码
230-欢迎光临！测试 FTP
我的主机： test.localhost
目前时间： Fri Sep 5 01:08:10 2003
最大联机： 100
目前联机： 1
您的主机： localhost.localdomain
您的账号： ftpuser1
目前目录： /
230-User ftpuser1 logged in.
230 Down: 0 Files (0mb) Up: 0 Files (0mb) 1:2B CR: 97
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> bye
　
看到上面的粗体字了吧？那表示：
　
Down：下载方面，目前下载过 0 个档案，共下载 0 MBytes；
Up ：上传方面，目前上传过 0 个档案，共上传 0 MBytes ；
1:2B：上传/下载 (为 Bytes 限制)的比例为 1:2 咯！也就是上传 1MB 可以下载 2MB；
CR ：剩余的可以下载的 MBytes 数！注意单位为 MBytes
　
未来您只要有上传或者是下载，那么上面那行粗体自就会随之而变！事实上，这些信息是记录在 proftpd.conf 里面的参数『RatioFile』指定档案当中！您可以检查一下该档案：
# vi /var/ftp2/work/ratio.dat
ftpuser1|0|0|0|0
# 这个档案的格式为：(注：以符号『|』隔开各个字段)
# 账号|上传档案数|上传档案总量(KBytes)|下载档案数|下载档案总量(KBytes)
　
该档案的格式如同上面的说明，以符号『 | 』来隔开成为五个字段，每次使用者登入 proftpd 主机之后， Proftpd 会先去开启这个档案，将数据读出来，然后再与 UserRatio 的设定直比较，就可以持续的纪录每个使用者的剩余可下载容量啰！那么未来如果想要新增其它使用者在这个设定群组当中，只要进行(1)新增使用者，注意这个使用者的群组需要是 ftpguest ，并且(2)再到 proftpd.conf 里面设定好 UserRatio 的设定值，(3)最后重新启动 xinetd ，就 OK 了！其它的步骤不需要进行！设定是否方便很多呢！？


4.4.proftp＋mysql＋quota

建立相应的用户和组
# groupadd -g 5500 ftpgroup
# adduser -u 5500 -s /bin/false -d /var/ftp -c "proftpd user" -g ftpgroup ftpuser

为FTPUSR建立HOME，把所有的FTP user活动空间全放在此目录下：
mkdir /var/ftp
chown ftpuser:ftpgroup /var/ftp

操作数据库
# mysql -u root
mysql>create database ftpdb;
mysql>grant select, update on ftpdb.* to proftpd@localhost identified by '123456';

mysql>use ftpdb;

Create TABLE `ftpgroup` (
`groupname` varchar(16) NOT NULL default '',
`gid` smallint(6) NOT NULL default '5500',
`members` varchar(16) NOT NULL default '',
KEY `groupname` (`groupname`)
) TYPE=MyISAM COMMENT='ProFTP group table';


Insert INTO `ftpgroup` VALUES ('ftpgroup', 5500, 'ftpuser');

Create TABLE `ftpquotalimits` (
`name` varchar(30) default NULL,
`quota_type` enum('user','group','class','all') NOT NULL default 'user',
`per_session` enum('false','true') NOT NULL default 'false',
`limit_type` enum('soft','hard') NOT NULL default 'soft',
`bytes_in_avail` float NOT NULL default '0',
`bytes_out_avail` float NOT NULL default '0',
`bytes_xfer_avail` float NOT NULL default '0',
`files_in_avail` int(10) unsigned NOT NULL default '0',
`files_out_avail` int(10) unsigned NOT NULL default '0',
`files_xfer_avail` int(10) unsigned NOT NULL default '0'
) TYPE=MyISAM;

Create TABLE `ftpquotatallies` (
`name` varchar(30) NOT NULL default '',
`quota_type` enum('user','group','class','all') NOT NULL default 'user',
`bytes_in_used` float NOT NULL default '0',
`bytes_out_used` float NOT NULL default '0',
`bytes_xfer_used` float NOT NULL default '0',
`files_in_used` int(10) unsigned NOT NULL default '0',
`files_out_used` int(10) unsigned NOT NULL default '0',
`files_xfer_used` int(10) unsigned NOT NULL default '0'
) TYPE=MyISAM;

Create TABLE `ftpuser` (
`id` int(10) unsigned NOT NULL auto_increment,
`userid` varchar(32) NOT NULL default '',
`passwd` varchar(32) NOT NULL default '',
`uid` smallint(6) NOT NULL default '5500',
`gid` smallint(6) NOT NULL default '5500',
`homedir` varchar(255) NOT NULL default '',
`shell` varchar(16) NOT NULL default '/bin/false',
`count` int(11) NOT NULL default '0',
`accessed` datetime NOT NULL default '0000-00-00 00:00:00',
`modified` datetime NOT NULL default '0000-00-00 00:00:00',
PRIMARY KEY (`id`)
) TYPE=MyISAM COMMENT='ProFTP user table' ;

配置proftp
# vi /usr/local/proftpd/etc/proftpd.conf
ServerName "TEST FTP Server"
ServerType standalone
ServerIdent on "Welcome to FTP server. Please login..."
DeferWelcome on
DefaultServer on
Port 21
Umask 022
MaxInstances 30
MaxLoginAttempts 3
User ftpuser
Group ftpgroup
MaxHostsPerUser 1 "对不起，每个帐户最多允许来源ip为1个"
MaxClientsPerUser 1 "对不起，每个帐户在每个客户端最多可以同时登陆1次"
MaxClientsPerHost 1 "对不起，同一个客户端只能最多1个帐号可以登陆"
RootLogin off
RequireValidShell off
TimeoutStalled 10
MaxClients 10
AllowForeignAddress on
AllowStoreRestart on
DefaultRoot ~ ftpgroup

# To cause every FTP user to be "jailed" (chrooted) into their home
# directory, uncomment this line.
DefaultRoot ~

# Normally, we want files to be overwriteable.
AllowOverwrite on

MasqueradeAddress 192.168.0.5
PassivePorts 49152 65534

SQLAuthTypes Plaintext Crypt
#Backend表示用户认证方式为MySQL数据库的认证方式
#Plaintext表示明文认证方式，排在最前面的为最先使用的方式
SQLAuthenticate users* groups*

# databasename@host database_user user_password
SQLConnectInfo ftpdb@localhost proftpd 123456
# Here we tell ProFTPd the names of the database columns in the "usertable"
# we want it to interact with. Match the names with those in the db
SQLUserInfo ftpuser userid passwd uid gid homedir shell
# Here we tell ProFTPd the names of the database columns in the "grouptable"
# we want it to interact with. Again the names match with those in the db
SQLGroupInfo ftpgroup groupname gid members
SQLHomedirOnDemand on
#如果用户主目录不存在，则系统会根据此用户在用户数据表中的homedir字段的值新建一个目录
# Update count every time user logs in
SQLLog PASS updatecount
SQLNamedQuery updatecount Update "count=count+1,accessed=now() Where userid='%u'" ftpuser
# Update modified everytime user uploads or deletes a file
SQLLog STOR,DELE modified
SQLNamedQuery modified Update "modified=now() Where userid='%u'" ftpuser

# User quotas
QuotaEngine on
QuotaDirectoryTally on
QuotaDisplayUnits Mb
QuotaShowQuotas on
QuotaLog "/var/log/quota"
SQLNamedQuery get-quota-limit Select "name, quota_type, per_session, limit_type, bytes_in_avail, bytes_out_avail, bytes_xfer_avail, files_in_avail, files_out_avail, files_xfer_avail FROM ftpquotalimits Where name = '%{0}' AND quota_type = '%{1}'"

SQLNamedQuery get-quota-tally Select "name, quota_type, bytes_in_used, bytes_out_used, bytes_xfer_used, files_in_used, files_out_used, files_xfer_used FROM ftpquotatallies Where name = '%{0}' AND quota_type = '%{1}'"

SQLNamedQuery update-quota-tally Update "bytes_in_used = bytes_in_used + %{0}, bytes_out_used = bytes_out_used + %{1}, bytes_xfer_used = bytes_xfer_used + %{2}, files_in_used = files_in_used + %{3}, files_out_used = files_out_used + %{4}, files_xfer_used = files_xfer_used + %{5} Where name = '%{6}' AND quota_type = '%{7}'" ftpquotatallies

SQLNamedQuery insert-quota-tally Insert "%{0}, %{1}, %{2}, %{3}, %{4}, %{5}, %{6}, %{7}" ftpquotatallies

QuotaLimitTable sql:/get-quota-limit
QuotaTallyTable sql:/get-quota-tally/update-quota-tally/insert-quota-tally

重启一下proftp服务就已经能使用proftp＋mysql＋quota的功能

我们可以在数据库ftpuser添加一个虚拟用户，

Insert INTO `ftpuser` VALUES (1, 'test', '123456', 5500, 5500, '/var/ftp/test', '/bin/false', 36, '2005-03-18 13:07:41', '2005-03-18 13:07:42');

Insert INTO `ftpquotalimits` VALUES ('test', 'user', 'false', 'hard', 10, 0, 0, 0, 0, 0);

Insert INTO `ftpquotatallies` VALUES ('test', 'user', 0, 0, 0, 0, 0, 0);

如果你想设置quota，只要在ftpquotalimits表里设置一下就行了，这个表里的各个参数分别代表：
quotalimits表结构说明
name： - 用户帐号
quota type： - user, group, class, all (we use user)
per_session： - true or false (we use true)
limit_type： - 硬限制 or 软限制 (我们一般用硬限制)
bytes_in_avail： - 允许上传的字节数
bytes_out_avail： - 允许下载的字节数
bytes_xfer_avail： - 允许传输的字节数（包括上传/下载）
files_in_avail： - 允许上传的文件数
files_out_avail： - 允许下载的文件数
files_xfer_avail： - 允许传输的文件数（包括上传/下载）

quotatallies表结构说明
name
quota_type
bytes_in_used - upload tally in bytes
bytes_out_used - download tally in bytes
bytes_xfer_used - transfer tally in bytes
files_in_used - upload tally in files
files_out_used - download tally in files
files_xfer_used - transfer tally in files

If a value of any limit field is set to '0' it is unlimited

老实说用mysql和quota模块来验证用户和设置磁盘限额，但我总觉得还是不够完善，因为在这个方法中，数据库表里还没有相应的权限的字段，所以说相应用户的权限还是得用实际得用户即mysql对应得uid和gid来控制权限，那天要是mysql数据库也能完全控制权限就好了。

调试
如果出现错误提示可以进入proftpd的调试模式进行调试
# /usr/local/proftpd/sbinproftpd -n -d 5 -c /usr/local/proftpd/etc/proftpd.conf
proftpd就会将调试信息打印到consle上以供调试之用。

测试磁盘限额，运行quote SITE QUOTA显示当前用户的磁盘限额
ftp> quote SITE QUOTA

]]> http://www.qixiaomudong.cn/read.php?127 七小木东 <admin@yourname.com> Tue, 04 Nov 2008 03:06:09 +0000 http://www.qixiaomudong.cn/read.php?127 Linux端口映射技术文档

目的：
      通过221.231.141.195的2200端口访问172.16.58.110的22端口
      通过221.231.141.195的2222端口访问172.16.58.220的22端口
操作：
      221.231.141.195的22端口已经映射到172.16.58.240的22端口，所以我们通过SecureCRT连到221.231.141.195上（实际上是连到了172.16.58.240上）然后添加两条以下规则：
      iptables -t nat -A PREROUTING -d 172.16.58.240 -p tcp --dport 2200 -j DNAT --to 172.16.58.110:22
      iptables -t nat -A PREROUTING -d 172.16.58.240 -p tcp --dport 2222 -j DNAT --to 172.16.58.220:22
      规则含义是：如果数据包的目标地址是172.16.58.240、端口是2200、协议是tcp，就将这个包进行目标地址转换(-j DNAT)，转换的目标地址是172.16.58.110的22端口。
      开启路由转发功能：
      echo "1" >/proc/sys/net/ipv4/ip_forward

      保存规则：
      iptables-save >/etc/sysconfig/iptables
      然后分别在172.16.58.110、172.16.58.220上编辑/etc/sysconfig/network-scripts/ifcfg-eth0文件：
      添加：GATEWAY=172.16.58.240（指向端口转发的那台服务器，这里是172.16.58.240）
      然后：ifdown eth0 && ifup eth0
      OK，这样即可达到目的！


使用iptables进行ip封杀

把10.210.132.133这个ip地址封了：
/sbin/iptables -A INPUT -s 10.210.132.133 -j DROP
把上面那个封杀解除：
/sbin/iptables -D INPUT -s 10.210.132.133 -j DROP
或者用规则号：
/sbin/iptables -D INPUT 1
如果不指一个规则，则把1改成相应的数字，1是第一个
把规则全部删空
/sbin/iptables -F

激活 iptables 服务
防火墙规则只有在 iptables 服务运行的时候才能被激活。
要手工启动服务，使用以下命令：
  /sbin/service iptables restart
  /etc/init.d/iptables start
要确保它在系统引导时启动，使用以下命令：
  /sbin/chkconfig --level 345 iptables on
ipchains 服务不能和 iptables 服务同时运行。要确定 ipchains 服务被禁用，执行以下命令：
  /sbin/chkconfig --level 345 ipchains off

下面几个参考资料很不错，可以参考一下。
iptables中文man文档
http://www.douzhe.com/article/data/41/311.html

iptables在网络中的两个经典应用
http://cx66.com/cxgzs/tips/1216.htm

Iptables 指南 1.1.19
http://iptables-tutorial.frozentux.net/cn/iptables-tutorial-cn-1.1.19.html
]]> http://www.qixiaomudong.cn/read.php?113 七小木东 <admin@yourname.com> Tue, 14 Oct 2008 10:18:37 +0000 http://www.qixiaomudong.cn/read.php?113 (1)date 042612492005
(2)hwclock -w
第一步的意思是设置时间,设置完了可以用date命令查看对不对...注意是月日时分年
第二步的意思是写入主板的rtc芯片..

=======================================

su -c 'date -s 月/日/年'
su -c 'date -s 时:分:秒'

=======================================

了解Linux的时钟
   由于Linux时钟和Windows时钟从概念的分类、使用到设置都有很大的不同，所以，搞清楚Linux时钟的工作方式与设置操作，不仅对于Linux初学者有着重大意义，而且对于使用Linux服务器的用户来说尤为重要。

Linux时钟的分类

Windows时钟大家可能十分熟悉了，Linux时钟在概念上类似Windows时钟显示当前系统时间，但在时钟分类和设置上却和Windows大相径庭。和Windows不同的是，Linux将时钟分为系统时钟(System Clock)和硬件(Real Time Clock，简称RTC)时钟两种。系统时间是指当前Linux Kernel中的时钟，而硬件时钟则是主板上由电池供电的那个主板硬件时钟，这个时钟可以在BIOS的“Standard BIOS Feture”项中进行设置。

既然Linux有两个时钟系统，那么大家所使用的Linux默认使用哪种时钟系统呢？会不回出现两种系统时钟冲突的情况呢？这些疑问和担心不无道理。首先，Linux并没有默认哪个时钟系统。当Linux启动时，硬件时钟会去读取系统时钟的设置，然后系统时钟就会独立于硬件运作。

从Linux启动过程来看，系统时钟和硬件时钟不会发生冲突，但Linux中的所有命令(包括函数)都是采用的系统时钟设置。不仅如此，系统时钟和硬件时钟还可以采用异步方式，见图1所示，即系统时间和硬件时间可以不同。这样做的好处对于普通用户意义不大，但对于Linux网络管理员却有很大的用处。例如，要将一个很大的网络中(跨越若干时区)的服务器同步，假如位于美国纽约的Linux服务器和北京的Linux服务器，其中一台服务器无须改变硬件时钟而只需临时设置一个系统时间，如要将北京服务器上的时间设置为纽约时间，两台服务器完成文件的同步后，再与原来的时钟同步一下即可。这样系统和硬件时钟就提供了更为灵活的操作。


设置Linux的时钟

在Linux中，用于时钟查看和设置的命令主要有date、hwclock和clock。其中，clock和hwclock用法相近，只不过clock命令除了支持x86硬件体系外，还支持Alpha硬件体系。由于目前绝大多数用户使用x86硬件体系，所以可以视这两个命令为一个命令来学习。

1.在虚拟终端中使用date命令来查看和设置系统时间
查看系统时钟的操作：
# date

设置系统时钟的操作：
# date 091713272003.30

通用的设置格式：
# date 月日时分年.秒

2.使用hwclock或clock命令查看和设置硬件时钟
查看硬件时钟的操作：
# hwclock --show 或
# clock --show
2003年09月17日 星期三 13时24分11秒 -0.482735 seconds

设置硬件时钟的操作：
# hwclock --set --date="09/17/2003 13:26:00"

或者
# clock --set --date="09/17/2003 13:26:00"

通用的设置格式：hwclock/clock --set --date=“月/日/年 时：分：秒”。

3.同步系统时钟和硬件时钟

Linux系统(笔者使用的是Red Hat 8.0，其它系统没有做过实验)默认重启后，硬件时钟和系统时钟同步。如果不大方便重新启动的话(服务器通常很少重启)，使用clock或hwclock命令来同步系统时钟和硬件时钟。

硬件时钟与系统时钟同步：
# hwclock --hctosys

或者
# clock --hctosys

上面命令中，--hctosys表示Hardware Clock to SYStem clock。

系统时钟和硬件时钟同步：
# hwclock --systohc

或者
# clock --systohc

使用图形化系统设置工具设置时间

对于初学者来，笔者推荐使用图形化的时钟设置工具，如Red Hat 8.0中的日期与时间设置工具，可以在虚拟终端中键“redhat-config-time”命令，或者选择“K选单/系统设置/日期与时间”来启动日期时间设置工具。使用该工具不必考虑系统时间和硬件时间，只需从该对话框中设置日期时间，可同时设置、修改系统时钟和硬件时钟。

Internet同步时钟设置

在Windows XP日期与时间设置中有一项与Internet同步的功能，有了这项
]]> http://www.qixiaomudong.cn/read.php?148 七小木东 <admin@yourname.com> Mon, 04 Jun 2007 05:27:16 +0000 http://www.qixiaomudong.cn/read.php?148 　　Redhat9.0发行版， 安装gcc 及相关库文件，建议不要安装
　　Apache,PHP,MySQL,我们将用源码编译安装。基于安全方面的
　　考虑，可以设置一下iptables只允许SSH和WWW访问。
　　
二.软件
　　MySQL4.0.12 http://mysql.secsup.org
　　Snort2.0.0 http://www.snort.org
　　Apache2.0.45 http://www.apache.org
　　PHP4.3.1 http://www.php.net
　　ADODBv3.30 http://phplens.com
　　Acid0.9.6b23 http://acidlab.sourceforge.net
　　Zlib1.1.4 http://flow.dl.sourceforge.net
　　JPGraph1.11 http://jpgraph.techuk.com
　　LibPcap0.7.2 http://www.tcpdump.org
　　
　　建议到这个站点下载http://ftp.cdut.edu.cn/pub/linux/NEW/
　　也可以到www.rpmfind.com下载相关的xx.src.rpm...若安装了rpm包，
　　可以强行将其反安装
　　rpm -e -nodeps xx.xx
　　
　　三.安装(建议将所有的包文件考到同一目录)
　　1.安装zlib1.1.4
　　tar -xzvf zlib-xx.tar.gz
　　cd zlib-xx
　　./configure;make test
　　make install
　　cd ..
　　2.安装LibPcap0.7.2
　　tar -xzvf libpcap.tar.gz
　　cd libpcap-xx
　　./configure
　　make
　　make install
　　cd ..
　　3.安装MySQL4.0.12
　　3.1创建mysql组和mysql用户
　　groupadd mysql
　　useradd -g mysql mysql
　　修改/root下的.bash_profile的这一行：
　　PATH=$PATH:$HOME/bin 为
　　PATH=$PATH:$HOME/bin:/usr/local/mysql/bin
　　3.2安装mysql
　　tar -xzvf mysql-xx.tar.gz
　　cd mysql-xx
　　./configure --prefix=/usr/local/mysql
　　make
　　make install
　　cd scripts
　　./mysql_install_db
　　chown -R root /usr/local/mysql
　　chown -R mysql /usr/local/mysql/var
　　chgrp -R mysql /usr/local/mysql
　　cd ../support-files/my-medium.cnf /etc/my.cnf
　　向/etc/ld.so.conf中加入两行：/usr/local/mysql/lib/mysql
　　/usr/local/lib
　　载入库，执行
　　ldconfig -v
　　3.3测试mysql是否工作：
　　cd /usr/local/mysql/bin/
　　./mysqld_safe --user=mysql&
　　#ps -ef |grep mysql
　　看mysql_safe是否工作
　　3.4设置mysql为自启动：
　　将mysql安装目录下的support-files目录中的
　　mysql.server文件拷到/etc/init.d目录
　　cp mysql.server /etc/init.d/mysql
　　chmod 755 /etc/init.d/mysql
　　创建硬链接:
　　cd /etc/rc3.d（文本方式启动)
　　ln -s /etc/init.d/mysql S85mysql
　　ln -s /etc/init.d/mysql K85mysql
　　cd /etc/rc5.d (图形方式启动）
　　ln -s /etc/init.d/mysql S85mysql
　　ln -s /etc/init.d/mysql K85mysql
　　
　　4.安装Apache2.0.45和PHP4.3.1
　　tar -zxvf httpd-2.0.xx.tar.gz
　　cd httpd_2.xx.xx
　　./configure --prefix=/www --enable-so
　　注：apache根目录为 /www
　　make
　　make install
　　
　　cd ..
　　tar -zxvf php-4.3.x.tar.gz
　　cd php-4.3.x
　　./configure --prefix=/www/php --with-apxs2=/www/bin/apxs --with-config- filepath=/www/php --enable-sockets --with-mysql=/usr/local/mysql --with-zlibdir=/
　　usr/local --with- gd
　　注意：这些为一行，中间不要有回车。
　　cp php.ini-dist /www/php/php.ini
　　编辑httpd.conf(/www/conf):
　　加入两行
　　LoadModule php4_module modules/libphp4.so
　　AddType application/x-httpd-php .php
　　httpd.conf中相关内容如下：
　　#
　　# LoadModule foo_module modules/mod_foo.so
　　LoadModule php4_module modules/libphp4.so
　　# AddType allows you to tweak mime.types without actually editing it, or $
　　# make certain files to be certain types.
　　#
　　AddType application/x-tar .tgz
　　AddType image/x- icon .ico
　　AddType application/x-httpd-php .php
　　
　　设置Apache为自启动：
　　cp /www/bin/apachectl /etc/init.d/httpd
　　cd /etc/rc3.d
　　ln -s /etc/init.d/httpd S85httpd
　　ln -s /etc/init.d/httpd K85httpd
　　cd /etc/rc5.d
　　ln -s /etc/init.d/httpd S85httpd
　　ln -s /etc/init.d/httpd K85httpd
　　
　　测试一下 PHP:
　　cd /etc/init.d
　　./httpd start
　　在/www/htdocs下建立文件 test.php
　　cd /www/htdocs
　　vi test.php
　　加入
　　　　phpinfo();
　　?>
　　用浏览器访问http://IP_address/test.php,成功的话，出现一些
　　系统,apache,php信息
　　
　　5.安装 Snort2.0
　　5.1建立snort配置文件和日志目录
　　mkdir /etc/snort
　　mkdir /var/log/snort
　　tar -zxvf snort-2.x.x.tar.gz
　　cd snort-2.x.x
　　./configure --with-mysql=/usr/local/mysql
　　make
　　make install
　　5.2安装规则和配置文件
　　cd rules (在snort安装目录下）
　　cp * /etc/snort
　　cd ../etc
　　cp snort.conf /etc/snort
　　cp *.config /etc/snort
　　5.3修改snort.conf(/etc/snort/snort.conf)
　　var HOME_NET 10.2.2.0/24 (修改为你的内部网网络地址，我的是
　　192.168.0.0/24)
　　var RULE_PATH ../rules 修改为 var RULE_PATH /etc/snort/
　　改变记录日志数据库：
　　output database: log, mysql, user=root password=your_password
　　dbname=snort host=localhost
　　
　　5.4设置snort为自启动：
　　在snort安装目录下
　　cd /contrib
　　cp S99snort /etc/init.d/snort
　　vi /etc/init.d/snort
　　修改snort如下：
　　CONFIG=/etc/snort/snort.conf
　　#SNORT_GID=nogroup (注释掉）
　　$SNORT_PATH/snort -c $CONFIG -i $IFACE $OPTIONS
　　(去掉原文件中的 -g $SNORT_GID )
　　chmod 755 /etc/init.d/snort
　　cd /etc/rc3.d
　　ln -s /etc/init.d/snort S99snort
　　ln -s /etc/init.d/snort K99snort
　　cd /etc/rc5.d
　　ln -s /etc/init.d/snort S99snort
　　ln -s /etc/init.d/snort K99snort
　　
　　四.在mysql中建立数据库
　　/usr/local/mysql/bin/mysql
　　mysql>SET PASSWORD FOR root@localhost=PASSWORD(your_password);
　　mysql>create database snort;
　　mysql>grant INSERT,SELECT on root.* to snort@localhost;
　　mysql>quit;
　　进入snort安装目录：/usr/local/mysql/bin/mysql -p <./contrib/create_mysql snort
　　>Enter password:
　　
　　安装DB表：(在contrib目录）
　　zcat snortdb-extra.gz | /usr/local/mysql/bin/mysql -p snort
　　进入mysql数据库，看看snort数据库中的表：
　　/usr/local/mysql/bin/mysql -p
　　>Enter password:
　　mysql>show databases;
　　+------------+
　　| Database
　　+------------+
　　| mysql
　　| snort
　　| test
　　+------------+
　　3 rows in set (0.00 sec)
　　
　　mysql>use snort;
　　mysql>show tables; 将会有这些：
　　+------------------+
　　| Tables_in_snort |
　　+------------------+
　　| data
　　| detail
　　| encoding
　　| event
　　| flags
　　| icmphdr
　　| iphdr
　　| opt
　　| protocols
　　| reference
　　| reference_system
　　| schema
　　| sensor
　　| services
　　| sig_class
　　| sig_reference
　　| signature
　　| tcphdr
　　| udphdr
　　+------------------+
　　19 rows in set (0.00 sec)
　　
　　mysql>exit
　　
　　五.安装配置Web接口
　　安装JPGraph1.11
　　cp jpgraph-1.11.tar.gz /www/htdocs
　　cd /www/htdocs
　　tar -xzvf jpgraph-1.xx.tar.gz
　　rm -rf jpgrap-1.xx.tar.gz
　　cd jpgraph-1.11
　　rm -rf README
　　rm -rf QPL.txt
　　安装ADODB:
　　cp adodb330.tgz /www/htdocs/
　　cd /www/htdocs
　　tar -xzvf adodb330.tgz
　　rm -rf adodb330.tgz
　　
　　安装配置Acid:
　　cp acid-0.0.6b23.tar.gz /www/htdocs
　　cd /www/htdocs
　　tar -xvzf acid-0.9.6b23.tar.gz
　　rm -rf acid-0.9.6b23.tar.gz
　　cd /www/htodcs/acid/
　　编辑acid_conf.php,修改相关配置如下：
　　$DBlib_path = "/www/htdocs/adodb";
　　/* The type of underlying alert database
　　*
　　* MySQL : "mysql"
　　* PostgresSQL : "postgres"
　　* MS SQL Server : "mssql"
　　*/
　　$DBtype = "mysql";
　　/* Alert DB connection parameters
　　* - $alert_dbname : MySQL database name of Snort alert DB
　　* - $alert_host : host on which the DB is stored
　　* - $alert_port : port on which to access the DB
　　* - $alert_user : login to the database with this user
　　* - ]]> http://www.qixiaomudong.cn/read.php?147 七小木东 <admin@yourname.com> Wed, 23 May 2007 09:08:22 +0000 http://www.qixiaomudong.cn/read.php?147