来源: 互联网  发布时间: 2013-12-24

作者：amxku
来源：amxku's blog
==维护密码和登录控制
pwconv命令：使用/etc/passwd文件的信息创建和升级/etc/shadow文件。
如果系统中/etc/shadow文件不存在，使用/etc/passwd文件信息创建/etc/shadow文件。
如果系统中/etc/shadow文件存在，执行如下操作：
存在在/etc/passwd文件但不存在在/etc/shadow文件中的用户将被增加到/etc/shadow文件中。
存在在/etc/shadow文件但不存在在/etc/passwd文件中的用户将被从/etc/shadow文件中删除。一般我们会在用名后面加上*LK*来锁定该用户。
==监控系统使用情况
显示系统中登录的用户
# who （调用/var/adm/utmpx文件中的信息）
显示系统中登录的用户的详细信息
# finger username
# finger username@remotehostname
-m：仅仅匹配用户名

显示系统中所有登录活动的记录
# last （调用/var/adm/wtmpx文件中的信息）
# last username
# last reboot

显示远程系统中登录的用户
# rusers -l

==改变文件权限
chown命令：用于改变文件的属主

 命令格式：chown [ option(s) ] user_name filename(s)
chown [ option(s) ] UID filename(s)
例如：
# chown user2 file7
# chown -R user2 dir4
# chown user3:class file2
# chown -R user3:class dir1  chgrp命令：用于改变文件的数组

 命令格式：chgrp groupname filename(s)
chgrp GID filename(s)
例如：
# chgrp class file4  ==Root 用户登录
直接使用root用户名登录，输入root用户的密码。
使用普通用户登录，然后调用su命令转变为root用户。
su命令：允许用户不用登录就可以改变成另外一个用户。
命令格式：su [ - ] [ username ]
root用户可以不需要密码使用su命令转换到其它任何用户。
除root用户外，其它任何用户使用su命令转换时都必须首先知道转换后的用户的密码。
-：执行一个完整登录。根据创建用户时设定的配置文件来改变用户工作环境。

管理用户访问

 /etc/default/su
/etc/default/login
/etc/default/passwd   # more su
#ident     "@(#)su.dfl         1.6         93/08/14 SMI"     /* SVr4.0 1.2     */
# SULOG determines the location of the file used to log all su attempts
SULOG=/var/adm/sulog
# CONSOLE determines whether attempts to su to root should be logged
# to the named device
#CONSOLE=/dev/console
# PATH sets the initial shell PATH variable
#PATH=/usr/bin:
# SUPATH sets the initial shell PATH variable for root
#SUPATH=/usr/sbin:/usr/bin
# SYSLOG determines whether the syslog(3) LOG_AUTH facility should be used
# to log all su attempts.     LOG_NOTICE messages are generated for su's to
# root, LOG_INFO messages are generated for su's to other users, and LOG_CRIT
# messages are generated for failed su attempts.
SYSLOG=YES   # more login
#ident     "@(#)login.dfl     1.10     99/08/04 SMI"     /* SVr4.0 1.1.1.1         */
# Set the TZ environment variable of the shell.
#
#TIMEZONE=EST5EDT
# ULIMIT sets the file size limit for the login.     Units are disk blocks.
# The default of zero means no limit.
#
#ULIMIT=0
# If CONSOLE is set, root can only login on that device.
# Comment this line out to allow remote login by root.
#
CONSOLE=/dev/console  限制root访问
CONSOLE=/dev/console
Root用户只能在console口上登录，任何其它的root用户登录都将报错。
# CONSOLE=/dev/console
Root用户能够从任何设备上登录，包括网络、Modem、其它终端等。
CONSOLE=
Root用户不能从任何地方登录。要成为root用户只有一个办法，首先使用普通用户登录，然后使用su命令转换为root用户。切记，在禁用root远程登录之前一定要确保系统里还有其它的用户可以登录。不然就会出现惊险的Solaris加固过程[http://www.amxku.net/archives/reinforcement-solaris/]。

用户密码策略

 # more passwd
#ident     "@(#)passwd.dfl 1.3         92/07/14 SMI"
MAXWEEKS=27 #密码最长存活周期
MINWEEKS=1 #密码最短存活周期
PASSLENGTH=8 #密码长度最小值
MINALPHA=2 ;MINNONALPHA=1 #至少包括两个字母和一个非字母
#  注意：/etc/shadow文件中设置的时间优先级高于/etc/default/passwd文件中设置的时间

管理远程访问

 /etc/hosts.equiv 文件
$HOME/.rhosts 文件
/etc/ftpusers 文件  ==远程访问流程

amxku_at_msn.com
给用户培训时写的一个文档。个人拙见，有不妥之处还望斧正。
amxku_at_msn.com
给用户培训时写的一个文档。个人拙见，有不妥之处还望斧正。

    

    来源: 互联网  发布时间: 2013-12-24

为了方便大家使用，所建立的FTP站点不仅允许匿名用户访问，而且对主目录启用了“读取”和“写入”的权限。这样一来任何人都可以没有约束地任意读写，难免出现一团糟的情况。如果您使用IIS 6.0，只需创建一个‘用户隔离'的FTP站点就可以有效解决此问题。

　　“隔离用户”是IIS 6．0中包含的FTP组件的一项新增功能。配置成“用户隔离”模式的FTP站点可以使用户登录后直接进入属于该用户的目录中，且该用户不能查看或修改其他用户的目录。

　　创建用户账户

　　首先在FTP站点所在的Windows Server 2003服务器中为FTP用户创建了一些用户账户，以便他们使用这些账户登录FTP站点。操作步骤如下所述：

　　 第1步 在桌面上用鼠标右键单击“我的电脑”，在弹出的快捷菜单中执行“管理”命令。

　　 第2步 打开“计算机管理”窗口，在左窗格中展开“本地用户和组”目录。然后用鼠标右键单击所展开目录中的“用户”文件夹，在弹出的快捷菜单中执行“新用户”命令，打开“新用户”对话框。

　　 第3步 在相关编辑框中键入用户名（如“xiaowei”）和密码，取消“用户下次登录时须更该密码”选项并勾选“用户不能更该密码”和“密码永不过期”两项，最后单击“创建”按钮（如图1）。

　　 第4步 这时会弹出下一个“新用户”对话框，根据需要添加若干个用户。创建完毕后单击“关闭”按钮即可。

　　规划目录结构

　　创建了一些用户账户后，开始了另一项关键性操作：规划文件夹结构（说白了就是创建一些文件夹）。

　　为什么说创建文件夹的操作很关键呢，这是因为创建“用户隔离”模式的FTP站点对文件夹的名称和结构有一定的要求。首先必须在NTFS分区中创建一个文件夹作为FTP站点的主目录（如“CceFTP”），然后在“CceFTP”文件夹下创建一个名为“LocalUser”的子文件夹，最后在“LocalUser”文件夹下创建若干个跟用户账户一一对应的个人文件夹。

　　另外，如果想允许用户使用匿名方式登录“用户隔离”模式的FTP站点，则必须在“LocalUser”文件夹下面创建一个名为“Public”的文件夹。这样匿名用户登录以后即可进入“Public”文件夹中进行读写操作（如图2）。

　　提示：FTP站点主目录下的子文件夹名称必须为“LocalUser”，且在其下创建的用户文件夹必须跟相关的用户账户使用完全相同的名称，否则将无法使用该用户账户登录。

　　安装FTP组件

　　在Windows Server 2003中创建“用户隔离模式”的FTP站点需要IIS 6.0的支持，但是在默认情况下IIS 6.0组件并没有被安装，因此简单谈了一下如何手动安装IIS 6.0组件。

　　 第1步 在“控制面板”中双击“添加或删除程序”图标，在打开的“添加或删除程序”对话框中单击“添加/删除Windows组件”按钮，打开“Windows组件向导”对话框。

　　 第2步 在“组件”列表中找到并双击“应用程序服务器”复选框，在打开的“应用程序服务器”对话框中双击“Internet信息服务（IIS）”选项，打开“Internet信息服务（IIS）”对话框。在子组件列表中找到并勾选“文件传输协议（FTP）服务”复选框，依次单击“确定/确定/下一步”按钮开始安装。最后单击“完成”按钮结束安装过程（如图3）。

　　提示：在安装过程中需要插入Windows Server 2003的安装光盘或指定安装源文件。

　　创建FTP站点

　　至此所有的准备工作都完成了，接下来是读者最为关心的核心环节：创建“用户隔离”模式的FTP站点。具体设置步骤如下所述：

　　 第1步 依次单击“开始/管理工具/Internet 信息服务（IIS）管理器”，打开“Internet 信息服务（IIS）管理器”窗口。在左窗格中用鼠标右键单击“FTP站点”选项，在弹出的快捷菜单中执行“新建/FTP站点”命令，打开“FTP站点创建向导”向导页，并单击“下一步”按钮。

　　 第2步 在打开的“FTP站点描述”向导页中键入一行描述性语言（如“CceFTP”），并单击“下一步”按钮。

　　 第3步 打开“IP地址和端口设置”向导页，在“输入此FTP站点使用的IP地址”下拉菜单中选中一个用于访问该FTP站点的IP地址。端口保持默认的“21”，单击“下一步”按钮。

　　 第4步 在打开的“FTP用户隔离”向导页中点选“隔离用户”单选框，并单击“下一步”按钮（如图4）。

　　 第5步 打开“FTP站点主目录”向导页，单击“浏览”按钮找到事先创建的“CceFTP”文件夹，并依次单击“确定/下一步”按钮。

　　 第6步 在打开的“FTP站点访问权限”向导页中勾选“写入”复选框，然后依次单击“下一步/完成”按钮完成创建。

　　登录FTP站点

　　笔者看到站点创建完成了，迫不及待地来到一台电脑旁，以用户“xiaowei”的身份成功登录，并在该目录中新建了一个文档。为了验证自己所建立的文档是否真在名为“xiaowei”的文件夹中，笔者还特意打开Windows Server 2003服务器中“LocalUser”文件夹下的“xiaowei”文件夹，在这里果然看到了自己刚刚建立的文档。毫无疑问，设置是成功的。

　　提示：用户登录分为两种情况：如果以匿名用户的身份登录，则登录成功以后只能在“Public”目录中进行读写操作；如果是以某一有效用户的身份登录，则该用户只能在属于自己的目录中进行读写操作，且无法看到其他用户的目录和“Public”目录。

    

    来源: 互联网  发布时间: 2013-12-24

      具体的设置方法：修改http.ini文件，在里面添加一下代码： 



      然后重启IIS，就生效了。
      如果要对多个网站支持，特别允许例外地允许他们访问，那么就把第二句改成：RewriteCond Referer: (?!http://(?:www\.ganby\.cn|www\.163\.com)).+
      上面的no.gif是一张代替那些图片和文件显示的图片，就是那些引用我们图片的地方都会出现这个图片。