1.1 显示目录或文件

1.1.1 显示远程的目录或文件

sftp> ls

1.1.2 显示本地的目录或文件

sftp> lls

1.2 显示目录路径

1.2.1 显示远程目录路径

sftp> pwd

1.2.2 显示本地目录路径

sftp> lpwd

1.3 显示协议版本

sftp> version

1.4 显示帮助信息

sftp> help

内容二：SFTP 目录相关

2.1 创建目录

2.1.1 创建远程目录

sftp> mkdir <directory>

2.1.2 创建本地目录

sftp> lmkdir <directory>

2.2 删除目录

2.2.1 删除远程目录

sftp> rmdir <directory>

2.2.2 删除本地目录

sftp> lmkdir <directory>

2.3 修改目录下

2.3.1 修改目录的所属主

sftp> chown <user> <directory>

2.3.2 修改目录的所属组

sftp> chgrp <group> <directory>

2.3.3 修改目录权限

sftp> chmod <privilege> <directory>

2.4 进入目录

2.4.1 进入远程目录

sftp> cd <directory>

2.4.2 进入本地目录

sftp> lcd <directory>

内容三：SFTP 文件相关

3.1 删除文件

3.1.1 删除远程文件

sftp> rm <file>

3.1.2 删除本地文件

sftp> lrm <file>

3.2 移动文件

移动远程文件

sftp> mv <file>

内容四：上传和下载

4.1 从远程下载文件到本地

sftp> get <file>

4.2 从本地上传文件到远程

sftp> put <file>

内容五：SFTP 管理相关

退出 SFTP

sftp> exit

或者：

sftp> quit

client_loop: send disconnect: Broken pipe
Connection closed.  
Connection closed

分析

SFTP 目录的所属主必须是 root，权限最高只能是 755，否则就算此目录的所属主是此 SFTP 用户也会报错

解决方法

步骤一：将 SFTP 目录的所属主设置为 root

# chown root: <sftp directory>

步骤二：将 SFTP 目录的权限设置为 755

# chmod 755 <sftp directory>

# vim /etc/ssh/sshd_config

将以下内容：

......
Subsystem       sftp ......
......

修改为：

......
# Subsystem       sftp ......
......

并添加以下内容：

......
Subsystem       sftp    internal-sftp
Match LocalPort 2200
  ForceCommand internal-sftp
  PasswordAuthentication yes
  ChrootDirectory %h
  PermitTunnel no
  AllowAgentForwarding no
  AllowTcpForwarding no
  X11Forwarding no

（补充：这里以将 /etc/ssh/sshd_config 最为 SFTP 的配置文件为例）

（注意：SFTP 目录的所属主必须是 root，权限最高只能是 755，否则就算此目录的所属主是此 SFTP 用户也会报错）

案例二：将根目录下以和 SFTP 用户名同名的目录作为此 SFTP 用户的 SFTP 目录，让此 SFTP 用户通过 SFTP 登录时被限制在根目录下以和自己用户名同名的目录里，但是此设置只适用于组是 sftpuser 的用户

# vim /etc/ssh/sshd_config

将以下内容：

......
Subsystem       sftp ......
......

修改为：

......
# Subsystem       sftp ......
......

并添加以下内容：

......
Subsystem       sftp    internal-sftp
Match Group sftpuser
  ForceCommand internal-sftp
  PasswordAuthentication yes
  ChrootDirectory /%u
  PermitTunnel no
  AllowAgentForwarding no
  AllowTcpForwarding no
  X11Forwarding no

（补充：这里以将 /etc/ssh/sshd_config 最为 SFTP 的配置文件为例）

（注意：SFTP 目录的所属主必须是 root，权限最高只能是 755，否则就算此目录的所属主是此 SFTP 用户也会报错）

案例三：将根目录下以和 SFTP 用户名同名的目录作为此 SFTP 用户的 SFTP 目录，让此 SFTP 用户通过 SFTP 登录时被限制在根目录下以和自己用户名同名的目录里，但是此设置只适用于用户 sftpuser

# vim /etc/ssh/sshd_config

将以下内容：

......
Subsystem       sftp ......
......

修改为：

......
# Subsystem       sftp ......
......

并添加以下内容：

......
Subsystem       sftp    internal-sftp
Match User sftpuser
  ForceCommand internal-sftp
  PasswordAuthentication yes
  ChrootDirectory /%u
  PermitTunnel no
  AllowAgentForwarding no
  AllowTcpForwarding no
  X11Forwarding no

（补充：这里以将 /etc/ssh/sshd_config 最为 SFTP 的配置文件为例）

（注意：SFTP 目录的所属主必须是 root，权限最高只能是 755，否则就算此目录的所属主是此 SFTP 用户也会报错）

1.1 设置 audit 日志的保存时间

# vim /etc/audit/auditd.conf

确保部分内容如下：

......
local_events = yes
......
write_logs = yes
......
log_file = /var/log/audit/audit.log
......
max_log_file = 8
......
num_logs =5
......
max_log_file_action = ROTATE
......

（
补充：这里以
1) 开启 audit 日志 （local_events = yes） （write_logs = yes）
2) 将 audit 日志写入 /var/log/audit/audit.log 文件 （log_file = /var/log/audit/audit.log）
3) audit 日志每达到 8M 大小就将旧的 audit 日志进行备份并创建新的 audit 日志 （max_log_file = 8） （max_log_file_action = ROTATE），也可以修改成： max_log_file_action = keep_logs
4) 旧的 audit 日志保存 5 份 （num_logs =5）
为例
）

1.2 让设置的 audit 时间生效

# service auditd restart

方法二：通过 logrotate 配置文件设置

2.1 设置 audit 日志的保存时间

# vim /etc/logrotate.d/auditd

创建以下内容：

/var/log/audit/*
{
rotate 30
daily
missingok
compress
delaycompress
postrotate
touch /var/log/audit/audit.log ||:
chmod 0600 /var/log/audit/audit.log ||:
service auditd restart
endscript
}

（
补充：这里以：
1) 备份的日志文件保留 30 份 （rotate 30）
2) 每天将现在的日志文件进行备份并生成新的日志文件 （dayly）
）

2.2 让设置的 audit 时间生效

# systemctl restart logrotate.service

在禁止 SFTP 用户 SSH 登录、限制 SFTP 用户可进入的目录和端口分离的情况下开启 SFTP 日志前，要先设置 SFTP 相应的安全项：

正文：

步骤一：开启 SFTP 日志

1.1 开启 SFTP 的登录日志

1.1.1 修改配置文件 /etc/ssh/sshdsftp_config，开启 sshdsftp 的日志功能

# vim /etc/ssh/sshdsftp_config

将部分内容修改如下：

......
LogLevel INFO
......

1.1.2 让修改的配置生效

# systemctl restart sshdsftp.service

1.2 开启 SFTP 的文件日志

1.2.1 修改 /etc/audit/auditd.conf 配置文件，指定 auditd 日志的存放位置

# vim /etc/audit/auditd.conf

将部分内容修改如下：

......
log_file = /var/log/audit/audit.log
......

1.2.2 修改 /etc/audit/rules.d/audit.rules 配置文件，监控用于 SFTP 服务器的目录以及目录下的目录和文件

# vim /etc/audit/rules.d/audit.rules

添加以下内容：

......
-a exit,always -F dir=/sftpuser -F perm=rwxa

（补充：这里以添加 /sftpuser 目录为例）

1.2.2 让修改的配置生效

# service auditd restart

步骤二：显示 SFTP 日志

2.1 显示 SFTP 的登录日志

# cat /var/log/messages | grep systemd-logind

（
补充：这里会显示
1) 用户
2) 用户的登录时间
3) 用户的退出时间
）

（注意：普通用户的登录记录也在里面）

2.2 显示 SFTP 的文件日志

# cat /var/log/audit/audit.log

（
补充：这里会显示
1) 用户
2) 操作的时间
2) 被操作的文件
3) 被操作的动作 （创建、删除和显示）
）

或者：

# sudo ausearch -i -k user-modify

（补充：这里以显示文件被修改的记录为例）

# pdbedit <option> <user>

内容二：pdbedit 命令的选项

1) -a 或者 –create，创建 Samba 用户
2) -x 或者 –delete，删除 Samba 用户
3) -r 或者 –modify，修改 Samba 用户
4) -L 或者 –list，显示所有 Samba 用户
5) -Lv 或者 –list –verbose，显示所有 Samba 用户的详细信息
6) -c “[D]” -u，锁定该 Samba 用户
7) -c “[]” -u，解锁该 Samba 用户

# vim time_format_conversion.pl

创建以下内容：

s/(1\d{9})/localtime($1)/e

（补充：这里以创建名为 time_format_conversion.pl 的用于转换 audit 日志时间格式的脚本为例）

步骤二：转换 audit 日志时间格式

# cat /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者：

# less /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者：

# more /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者：

# head /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者：

# tail /var/log/audit/audit.log | perl -p time_format_conversion.pl

或者：

# tail -f /var/log/audit/audit.log | perl -p time_format_conversion.pl

（补充：这里以使用名为 time_format_conversion.pl 的用于转换 audit 日志时间格式的脚本为例）

1) no_root_squash 当使用 NFS 共享目录的客户端是以客户端的 root 用户的身份使用，那么对于这个共享目录而言，这个客户端具有 root 权限
2) root_squash 当使用 NFS 共享目录的客户端是以客户端的 root 用户的身份使用，那么对于这个共享目录而言，这个客户端依旧没有 root 权限
3) 此为默认值，anon=0 禁止使用 NFS 共享目录的客户端以随机身份使用
4) anon=1 允许使用 NFS 共享目录的客户端以随机身份使用
5) soft 使用 NFS 共享目录的客户端以软挂载的方式进行挂载，若客户端的请求得不到回应，则会重新发出请求并传回错误信息
6) 此为默认值，hard 使用 NFS 共享目录的客户端以软挂载的方式进行挂载，若客户端的请求得不到回应，则会一直发出请求直到得到 NFS 服务器的回应为止
7) timeo=120 使用 NFS 共享目录的客户端在连接不通后，会以 1/7 秒的时间尝试重新连接，默认会尝试重新连接 7 次，timeo=120 表示会重新尝试连接 120 次
8) rw 设置使用 NFS 共享目录的客户端拥有读和写的权限
9) nolock 取消文件锁

内容二：NFS 的挂载案例

# cat /etc/fstab
192.168.0.1:/test /test nfs timeo=120,rw,soft,nolock 0 0

（
补充：这里以
1) 挂载 192.168.0.1:/test 的目录到本地的 /test 目录
2) 以 nfs 格式进行挂载
3) 客户端在连接不通后会重新尝试连接 120 次
4) 客户端拥有读和写的权限
5) 以软挂载的方式进行挂载
6) 取消文件锁
7) 不进行数据备份
8) 不进行数据校验
为例
）

1.1 创建新的 SFTP 配置文件

1.1.1 创建新的 SFTP 配置文件

# cp /etc/ssh/sshd_config /etc/ssh/sshdsftp_config

1.1.2 让新创建的 SFTP 配置文件被 systemctl 管理

1.1.2.1 创建管理 SFTP 配置文件的 systemctl 管理文件

# cp /usr/lib/systemd/system/sshd.service /etc/systemd/system/sshdsftp.service

1.1.2.2 修改管理 SFTP 配置文件的 systemctl 管理文件

# vim /etc/systemd/system/sshdsftp.service

将以下内容：

......
Description=OpenSSH server daemon
......
ExecStart=/usr/sbin/sshd -D $OPTIONS $CRYPTO_POLICY
......

修改为：

......
Description=OpenSSH SFTP server daemon
......
ExecStart=/usr/sbin/sshd -D -f /etc/ssh/sshdsftp_config $OPTIONS $CRYPTO_POLICY
......

1.1.2.3 让 systemctl 加载 SFTP 配置文件的 systemctl 管理文件

# systemctl daemon-reload

1.2 将 SFTP 端口和 SSH 端口分离

1.2.1 修改 SFTP 使用的端口

# vim /etc/ssh/sshdsftp_config

将以下内容：

......
#Port 22
......

修改为：

......
Port 2222
......

1.2.2 从 SSH 的配置文件里删除 SFTP 的功能

# vim /etc/ssh/sshd_config

如果是 CentOS Linux & RHEL，将以下内容：

......
Subsystem  sftp    /usr/libexec/openssh/sftp-server
......

修改为：

......
#Subsystem  sftp    /usr/libexec/openssh/sftp-server
......

如果是 openSUSE & SLE， 将以下内容：

......
Subsystem       sftp    /usr/lib/ssh/sftp-server
......

修改为：

......
# Subsystem       sftp    /usr/lib/ssh/sftp-server
......

1.2.3 开放 SFTP 使用的端口

1.2.3.1 在防火墙上允许被 SFTP 使用的端口可以被访问

1.2.3.1.1 在防火墙上允许被 SFTP 使用的端口可以被访问

# firewall-cmd --add-port=2222/tcp --perm

（补充：这里以在 firewalld 防火墙开通 2222 端口为例）

1.2.3.1.2 让新的防火墙策略立刻生效

# firewall-cmd --reload

1.2.3.2 在 SELinux 上给 SFTP 使用的端口打上 SSH 标签

# semanage port -a -t ssh_port_t -p tcp 2222

（补充：这里以给 2222 端口打上 SSH 的标签为例）

（注意：此步骤只有在 SELinux 开启，且处于 enforcing 状态时才需要设置）

1.3 让 SFTP 端口和 SSH 端口分离的设置生效

1.3.1 开启 SFTP 并将 SFTP 设置为开机自启

# systemctl enable --now sshdsftp

1.3.2 重启 SSHD

# systemctl restart sshd

步骤二：限制 SFTP 用户可以进入的目录

2.1 限制 SFTP 用户可以进入的目录

# vim /etc/ssh/sshdsftp_config

如果是 CentOS Linux & RHEL，将以下内容：

......
Subsystem  sftp    /usr/libexec/openssh/sftp-server
......

修改为：

......
#Subsystem  sftp    /usr/libexec/openssh/sftp-server
......

如果是 openSUSE & SLE， 将以下内容：

......
Subsystem       sftp    /usr/lib/ssh/sftp-server
......

修改为：

......
# Subsystem       sftp    /usr/lib/ssh/sftp-server
......

并添加以下内容：

......
Subsystem       sftp    internal-sftp
Match LocalPort 2222
ChrootDirectory /%u
ForceCommand    internal-sftp
AllowTcpForwarding no
X11Forwarding no

（
补充：
1) 这里以将 SFTP 的端口设置为 2222 和 SFTP 用户可以进入的目录只能为 /<user> 为例
2) 其它配置方案可以参考

）

2.2 让限制 SFTP 用户可以进入的目录的设置生效

# systemctl restart sshdsftp

步骤三：禁止 SFTP 用户 SSH 登录

3.1 创建 SFTP 用户

# useradd sftpuser

（补充：这里以创建名为 sftpuser 的用户为例）

3.2 禁止 SFTP 用户 SSH 登录

# usermod -s /bin/false sftpuser

（补充：这里以将用户 sftpuser 的解释器修改成 /bin/false 为例）

或者：

# usermod -s /sbin/nologin sftpuser

（补充：这里以将用户 sftpuser 的解释器修改成 /sbin/nologin 为例）

3.3 给 SFTP 用户设置密码

# passwd sftpuser

（补充：这里以给 sftp 用户设置密码为例）

3.4 创建 SFTP 用户的 SFTP 目录

3.4.1 创建 SFTP 用户的 SFTP 目录

# mkdir /sftpuser

（补充：这里以创建 /sftp 目录为例）

3.4.2 设置此 SFTP 目录的所属主

# chown root: /sftpuser

（补充：这里以设置 /sftp 目录的所属主为 root 为例）

（注意：SFTP 目录的所属主必须是 root，权限最高只能是 755，否则就算此目录的所属主是此 SFTP 用户也会报错）

3.4.3 设置此 SFTP 目录的权限

# chmod 755 /sftpuser

（补充：这里以给 /sftp 目录设置 755 权限为例）

（注意：SFTP 目录的所属主必须是 root，权限最高只能是 755，否则就算此目录的所属主是此 SFTP 用户也会报错）

步骤四：测试 SFTP

4.1 创建测试用户

4.1.1 创建测试用户

# useradd nosftp

（补充：这里以创建测试用户 nosftp 为例）

4.1.2 给测试用户设置密码

# passwd nosftp

4.2 测试 SFTP 用户无法 SSH

# ssh sftpuser@127.0.0.1

（补充：这里以测试用户是 sftp 为例）

4.3 测试 SFTP 目录范围

4.3.1 登录 SFTP

# sftp -P 2222 sftpuser@127.0.0.1
Connected to sftpuser@127.0.0.1.
sftp>

（补充：这里以 SFTP 端口是 2222，SFTP 目录时 /sftpuser ，测试用户是 sftpuser 为例）

4.3.2 确认 SFTP 根目录

4.3.2.1 切换到 SFTP 的根目录

sftp> cd /

4.3.2.2 显示 SFTP 根目录下的文件或目录

sftp> ls
write  
sftp>

（补充：此时发现目前 SFTP 的根并不是 Linux 系统的根目录）

4.4 测试 SSH 和 SFTP 分离

4.4.1 SSH 测试

4.4.1.1 SSH 端口可以正常 SSH

# ssh nosftp@127.0.0.1

（补充：这里以 SSH 端口是 22，测试用户是 nosftp 为例）

4.4.1.2 SFTP 端口不能被 SSH

4.4.1.2.1 有 SFTP 目录的用户不能通过 SFTP 端口 SSH

# ssh -p 2222 sftpuser@127.0.0.1
nosftpuser@192.168.8.58's password: 
This service allows sftp connections only.
Connection to 10.0.0.3 closed.
#

（补充：这里以 SFTP 端口是 2222，SFTP 目录是 /sftpuser，测试用户是 sftpuser 为例）

4.4.1.2.2 没有 SFTP 目录的用户不能通过 SFTP 端口 SSH

# ssh -p 2222 nosftp@127.0.0.1
client_loop: send disconnect: Broken pipe
#

（补充：这里以 SFTP 端口是 2222，SFTP 目录是 /sftp，测试用户是 nosftp 为例）

4.4.2 SFTP 测试

4.4.2.1 SSH 端口不能 SFTP

# sftp sftpuser@127.0.0.1
subsystem request failed on channel 0
Connection closed
#

（补充：这里以 SFTP 端口是 22，测试用户是 sftpuser 为例）

4.4.2.2 没有 SFTP 目录的用户不能通过 SFTP 端口 SFTP

# sftp -P 2222 nosftp@127.0.0.1
client_loop: send disconnect: Broken pipe
Connection closed
#

（补充：这里以 SFTP 端口是 2222，SFTP 目录是 /sftp，测试用户是 nosftp 为例）

4.4.2.3 有 SFTP 目录的用户可以通过 SFTP 端口 SFTP

# sftp -P 2222 sftpuser@127.0.0.1
Connected to sftpuser@127.0.0.1.
sftp>

（补充：这里以 SFTP 端口是 2222，SFTP 目录是 /sftpuser ，测试用户是 sftpuser 为例）

基本信息

作者：朱明宇
名称：测试 SFTP 服务
作用：测试 SFTP 服务

使用方法

1. 在此脚本的分割线内写入相应的内容
2. 给此脚本添加执行权限
3. 执行此脚本

脚本分割线里的变量

IP=10.0.0.8 #要测试 SFTP 的服务器 IP 地址

注意

此脚本执行前必须要先保证执行脚本的主机能无秘钥远程需要测试 SFTP 服务的服务器

脚本

#!/bin/bash

####################### Separator ########################
IP=10.0.0.8
####################### Separator ########################

set timeout 3

rpm -q expect &> /dev/null
if [ $? -ne 0 ];then
        echo "Expect needs to be installed first"
fi

expect << EOF
spawn sftp $IP
expect "sftp>"                                   {send "cd /tmp\r" } 
expect "sftp>"                                   {send "ls -l\r"}
expect "sftp>"                                   {send "quit\r"}
expect ">"                                       {send "\r"}
EOF

在排除 SFTP 登录记录只监控普通登录记录前要先开启 SFTP 日志：

正文：

介绍

基本信息

作者：朱明宇
名称：监控普通登录记录 （排除 SFTP 登录记录只监控普通登录记录）
作用：监控普通登录记录 （排除 SFTP 登录记录只监控普通登录记录）

使用方法

1. 在此脚本的分割线内写入相应的内容
2. 给此脚本添加执行权限
3. 执行此脚本
4. 普通登录记录会同时记录在系统日志和 $logfile 里

脚本分割线里的变量

1. logfile=logfile.txt #用户保存记录的文件
2. prompt=”and no sftp info” #记录里普通登录记录的文件

脚本

#!/bin/bash

####################### Separator ########################

logfile=logfile.txt
prompt="and no sftp info"

####################### Separator ########################

checktime=`date +%Y-%m-%dT%H -d "-1 day"`

for i in `cat -n /var/log/messages | grep $check_time | grep 'Started Session' | grep -v 'root' | awk '{print $1}'`

do
   line=`sed -n $[i]p /var/log/messages`
   time=`echo $line | awk '{print $1}'`
   session=`echo $line | awk '{print $6}'`
   user=`echo $line | awk '{print $9}'`
   user=${user%.}

   message="ACCESS CHECK LOG: Time:$time Session:$session $user has accessed `hostname`, $prompt"

   let sftpline=i+3

   sed -n $[sftpline]p /var/log/messages | grep sftp-server &> /dev/null
   if [ $? -ne 0 ];then
           echo $message
           echo $message >> $logfile.txt
           logger $message
   fi
   echo
done

如果是 CentOS Linux & RHEL，将以下内容：

......
Subsystem       sftp    /usr/libexec/openssh/sftp-server
......

修改为：

......
Subsystem       sftp    /usr/libexec/openssh/sftp-server -l INFO
......

如果是 openSUSE & SLE， 将以下内容：

......
Subsystem       sftp    /usr/lib/ssh/sftp-server
......

修改为：

......
Subsystem       sftp    /usr/lib/ssh/sftp-server -l INFO
......

（补充：此时当通过 SFTP 登录系统时，系统日志记录文件 /var/log/messages 里登录记录后面会紧跟一行带 sftp-server 的记录）

确保有以下内容：

......
security = user
map to guest = bad user
......
guest ok = yes
......

步骤一：规划拓扑

1.1 服务器列表

服务端 192.168.101.41
客户端 192.168.101.42

1.2 服务器列表简介

1) 服务器提供 Samba 服务将自己的目录分享
2) 客户端挂载和使用 Samba 服务将服务端分享的目录挂载在自己的目录上

步骤二：系统环境要求

1) 所有服务器的系统都需要是 CentOS 8 版本
2) 所有服务器都要关闭防火墙
3) 所有服务器都要打开 SELinux
4) 所有服务器系统都要配置好可用的软件源
5) 需要按照拓扑图给对应的服务器配置好 IP 地址和主机名
6) 所有服务器都要可以相互 ping 通自己和对方的 IP 地址和主机名

步骤三：在服务端上安装 Samba 服务

（只在服务端上执行以下步骤）

# yum -y install samba

步骤四：在服务端上配置 Samba 服务

4.1 在服务端上配置 Samba 服务文件

（只在服务端上执行以下步骤）

# vim /etc/samba/smb.conf

将全部内容修改如下：

# See smb.conf.example for a more detailed config file or
# read the smb.conf manpage.
# Run 'testparm' to verify the config is correct after
# you modified it.

[global]
workgroup = WORKGROUP
realm = zhumingyu
netbios name = zhumingyu
#encrypt passwords = yes
map to guest = NEVER
security = user
password server = *
name resolve order = bcast host
restrict anonymous = 2
#null passwords = no
#guest account = smb_nobody
#use spnego = yes
client use spnego = yes
server string = ""
host msdfs = no
msdfs root = no
domain master = no
preferred master = no
local master = no
os level = 0
browse list = no
browseable = no
dns proxy = no
wide links = no
public= no
guest ok = no
hosts deny = ALL EXCEPT 192.168.101.42

[sharetest]
valid users = zhumingyu
write list = zhumingyu
read list = zhumingyu
path = /share
guest ok = no
read only = no
browseable = no
writable = yes
public = no
create mask = 0755
directory mask = 0755

（
补充：
1) 这里的 workgroup = WORKGROUP 是让 Samba 服务属于 WORKGROUP
2) 这里的 hosts deny = ALL EXCEPT 192.168.101.42 是只让客户端 192.168.101.42 能够访问服务端的 Samba
3) 这里的 sharetest 是这个 Samba 挂载点的名称，挂载这个挂载点的格式就是：//192.168.101.41/sharetest
4) 这里的 valid users = zhumingyu 是 Samba 服务共享用户需要手动生成，如果换成让所有的服务共享用户都可以使用则可以写成 valid users = @users
5) 这里的 path = /share 是 Samba 服务共享目录需要手动生成
）

4.2 在服务端上生成 Samba 服务共享用户

4.2.1 在服务端上生成 Samba 服务共享用户

（只在服务端上执行以下步骤）

# useradd zhumingyu

（补充：这里以创建用户 zhumingyu 为例）

4.2.2 在服务端上给 Samba 服务共享用户设置系统密码

（只在服务端上执行以下步骤）

# passwd zhumingyu

（补充：这里以给 zhumingyu 设置密码为例）

4.2.3 在服务端上给 Samba 服务共享用户设置 Samba 共享密码

（只在服务端上执行以下步骤）

# smbpasswd -a zhumingyu

（补充：这里以给 zhumingyu 用户设置 Samba 共享密码为例）

4.2.4 显示Samba 服务共享用户是否可用

（只在服务端上执行以下步骤）

# pdbedit -L

4.3 在服务端上生成 Samba 服务共享目录

4.3.1 在服务端上生成 Samba 服务共享目录

（只在服务端上执行以下步骤）

# mkdir /share

（补充：这里以创建目录 /share 为例）

4.3.2 在服务端上给 Samba 服务共享目录设置权限

（只在服务端上执行以下步骤）

# chmod 755 /share

（补充：这里以给 /share 目录设置 755 权限为例）

4.3.3 在服务端上给 Samba 服务共享目录设置所属主和所属组

（只在服务端上执行以下步骤）

如果是 CentOS Linux & RHEL：

# chown zhumingyu:zhumingyu /share

如果是 openSUSE & SLE：

# chown zhumingyu:users /share

（补充：这里以将 /share 目录的所属主设置成 zhumingyu 为例）

4.3.4 在服务端上给 Samba 服务共享目录设置 SELinux 标签

（只在服务端上执行以下步骤）

# semanage fcontext -a -t samba_share_t '/share(/.*)?'

（补充：这里以给 /share 目录打上 samba_share_t SELinux 标签为例）

4.3.5 在服务端上让 Samba 服务共享目录上的 SELinux 标签立刻生效

（只在服务端上执行以下步骤）

# restorecon -RFvv /share/

步骤五：启动 Samba 服务并设置为开机自动启动

（只在服务端上执行以下步骤）

# systemctl enable --now smb

步骤六：客户端使用服务端 Samba 服务

6.1 在客户端上安装 Samba 客户端软件

（只在客户端上执行以下步骤）

# yum -y install samba-client cifs-utils

6.2 在客户端上测试服务端的 Samba 服务

（只在客户端上执行以下步骤）

# smbclient --user=zhumingyu -L //192.168.101.41

或者：

# smbclient //192.168.101.41/sharetest -U zhumingyu
smb: \> ls
smb: \> exit

（补充：这里以通过用户 zhumingyu 测试 IP 地址 192.168.101.41 的 /sharetest Samba 共享目录为例）

6.3 在客户端上挂载服务端的 Samba 目录

6.3.1 手动挂载的方法

（只在客户端上执行以下步骤）

# mount -t cifs -o dir_mode=0755,file_mode=0755,username=zhumingyu,password=1,sec=ntlmssp //192.168.101.41/sharetest /tmp

（补充：这里以通过用户 zhumingyu 密码为 1，目录权限为 0755，文件权限为 0755，挂载 IP 地址 192.168.101.41 的 /sharetest Samba 共享目录到本地的 /tmp 目录为例）

（注意：用户和密码不能一样，否则会报错）

6.3.2 自动挂载的方法

（只在客户端上执行以下步骤）

# vim /etc/fstable

添加以下内容：

......
# //192.168.101.41/sharetest /tmp cifs defaults,rw,dir_mode=0755,file_mode=0755,username=zhumingyu,password=1 0 0

（补充：这里以通过用户 zhumingyu 密码为 1，目录权限为 0755，文件权限为 0755，挂载 IP 地址 192.168.101.41 的 /sharetest Samba 共享目录到本地的 /tmp 目录为例）

（注意：用户和密码不能一样，否则会报错）

1.1 限制 SFTP 用户可以进入的目录

# vim /etc/ssh/sshd_config

如果是 RHEL & CentOS Linux，将以下内容：

......
Subsystem       sftp    /usr/libexec/openssh/sftp-server
......

修改为：

......
# Subsystem       sftp    /usr/libexec/openssh/sftp-server
......

如果是 openSUSE & SLE， 将以下内容：

......
Subsystem       sftp    /usr/lib/ssh/sftp-server
......

修改为：

......
# Subsystem       sftp    /usr/lib/ssh/sftp-server
......

并添加以下内容：

......
Subsystem       sftp    internal-sftp
ChrootDirectory /%u
ForceCommand    internal-sftp
AllowTcpForwarding no
X11Forwarding no

（
补充：
1) 这里以 SFTP 用户可以进入的目录只能为 /<user>
2) 其它配置方案可以参考

）

1.2 让限制 SFTP 用户可以进入的目录的设置生效

# systemctl restart sshd

步骤二：禁止 SFTP 用户 SSH 登录

2.1 创建 SFTP 用户

# useradd sftpuser

（补充：这里以创建名为 sftpuser 的用户为例）

2.2 禁止 SFTP 用户 SSH 登录

# usermod -s /bin/false sftpuser

（补充：这里以将用户 sftpuser 的解释器修改成 /bin/false 为例）

或者：

# usermod -s /sbin/nologin sftpuser

（补充：这里以将用户 sftpuser 的解释器修改成 /sbin/nologin 为例）

2.3 给 SFTP 用户设置密码

# passwd sftpuser

（补充：这里以给 sftp 用户设置密码为例）

2.4 创建 SFTP 用户的 SFTP 目录

2.4.1 创建 SFTP 用户的 SFTP 目录

# mkdir /sftpuser

（补充：这里以创建 /sftp 目录为例）

2.4.2 设置此 SFTP 目录的所属主

# chown root: /sftpuser

（补充：这里以设置 /sftp 目录的所属主为 root 为例）

（注意：SFTP 目录的所属主必须是 root，权限最高只能是 755，否则就算此目录的所属主是此 SFTP 用户也会报错）

2.4.3 设置此 SFTP 目录的权限

# chmod 755 /sftpuser

（补充：这里以给 /sftp 目录设置 755 权限为例）

（注意：SFTP 目录的所属主必须是 root，权限最高只能是 755，否则就算此目录的所属主是此 SFTP 用户也会报错）

步骤一：规划拓扑

1.1 服务器列表

服务端 192.168.101.10
客户端 192.168.101.11

1.2 服务器列表简介

1) 服务器提供 NFS 服务将自己的目录分享
2) 客户端挂载和使用 NFS 服务将服务端分享的目录挂载在自己的目录上

步骤二：系统环境要求

1) 所有服务器的系统都需要是 CentOS 8 版本
2) 所有服务器都要关闭防火墙
3) 所有服务器系统都要配置好可用的软件源
4) 需要按照拓扑图给对应的服务器配置好 IP 地址和主机名
5) 所有服务器都要可以相互 ping 通自己和对方的 IP 地址和主机名

步骤三：所有服务器安装 NFS 服务

3.1 所有服务器安装 NFS 服务

（分别在服务端和客户端上执行以下步骤）

# yum -y install rpcbind nfs-utils

3.2 设置所有服务器开机自启 NFS 服务

（分别在服务端和客户端上执行以下步骤）

# systemctl enable nfs-server

3.3 所有服务器启动 NFS 服务

（分别在服务端和客户端上执行以下步骤）

# systemctl start nfs-server

步骤四：配置 NFS 服务

4.1 创建用于 NFS 服务的目录

4.1.1 创建被 NFS 服务共享的目录

（只在服务端上执行以下步骤）

# mkdir /nfsshare

4.1.2 创建用于自动挂载 NFS 服务分享目录的目录

（只在客户端上执行以下步骤）

# mkdir /autofs

4.2 配置服务端的 NFS 服务配置文件

4.2.1 在服务端上添加可被 NFS 服务挂载的选项

（只在服务端上执行以下步骤）

# vim /etc/exports

添加以下内容：

......
/nfsshare 192.168.101.0/24(rw,sync,no_root_squash,no_subtree_check)

（补充：这里的 192.168.101.0.24 是客户端的 IP 地址所在的网段）

4.2.2 让刚刚修改的 NFS 服务配置文件生效

（只在服务端上执行以下步骤）

# exportfs -a

4.3 部署客户端的 Autofs 自动挂载服务

4.3.1 安装 Autofs 服务

（只在客户端上执行以下步骤）

# yum -y install autofs

4.3.2 设置客户端开机自启 Autofs 服务

（只在客户端上执行以下步骤）

# systemctl enable autofs

4.3.3 在客户端上设置 Autofs 自动挂载服务

4.3.3.1 在客户端上设置 Autofs 自动挂载的主配置文件

（只在客户端上执行以下步骤）

# vim /etc/auto.master

将以下内容：

......
#
/misc   /etc/auto.misc
#
......

修改为：

......
/misc   /etc/auto.misc
/autofs /etc/auto.autofs
......

（补充：在这里指定了 /etc/auto.autofs 为 Autofs 的从配置文件，并且将 autofs 的主目录设置为 /autofs）

4.3.3.2 在客户端上设置 Autofs 的从配置文件

（只在客户端上执行以下步骤）

# cp /etc/auto.misc /etc/auto.autofs
# vim /etc/auto.autofs

将以下内容：

......
cd              -fstype=iso9660,ro,nosuid,nodev :/dev/cdrom
......

修改为：

......
cd              -fstype=iso9660,ro,nosuid,nodev :/dev/cdrom
directory01             -fstype=nfs,rw 192.168.101.10:/nfsshare
......

（补充：在这里指定了 Autofs 的次级目录为 directory01，即：/autofs/directory01）

4.3.4 让刚刚修改的 Autofs 自动挂载服务配置文件生效

（只在客户端上执行以下步骤）

# systemctl restart autofs

步骤五：显示 Autofs 自动挂载服务是否设置成功

5.1 显示客户端当前的目录挂载情况

（只在客户端上执行以下步骤）

# df -h
Filesystem      Size  Used Avail Use% Mounted on
devtmpfs        957M     0  957M   0% /dev
tmpfs           971M     0  971M   0% /dev/shm
tmpfs           971M   17M  954M   2% /run
tmpfs           971M     0  971M   0% /sys/fs/cgroup
/dev/vda1        10G  1.6G  8.5G  16% /
tmpfs           195M     0  195M   0% /run/user/0

5.2 进入到 Autofs 自动挂载的目录

（只在客户端上执行以下步骤）

# cd /autofs/directory01

5.3 再次显示客户端当前的目录挂载情况

（只在客户端上执行以下步骤）

# df -h
Filesystem                Size  Used Avail Use% Mounted on
devtmpfs                  957M     0  957M   0% /dev
tmpfs                     971M     0  971M   0% /dev/shm
tmpfs                     971M   17M  955M   2% /run
tmpfs                     971M     0  971M   0% /sys/fs/cgroup
/dev/vda1                  10G  1.6G  8.5G  16% /
tmpfs                     195M     0  195M   0% /run/user/0
192.168.101.10:/nfsshare   10G  1.6G  8.5G  16% /autofs/directory01

（补充：在进入到 Autofs 自动挂载的目录后，自动挂载就在系统中自动出现了）

注明：所有转载内容皆直接从被转载文章网页的标题和内容的文本中复制而来

站主补充：
案例一：临时挂载某一个 NFS 目录的方法
# mount -o nolock,nfsvers=3,vers=3 -t nfs 192.168.100.1:/tmp /tmp

案例二：设置一个目录可以同时被两个 NFS 客户端永久挂载的方法
# vim /etc/exports
/tmp 192.168.100.1(rw,no_root_squash,no_subtree_check) 192.168.100.2(rw,no_root_squash,no_subtree_check)

（补充：之后输入用户的 Samba 密码）

步骤一：规划拓扑

1.1 服务器列表

服务端 192.168.1.20
客户端 192.168.1.21

1.2 服务器列表简介

1) 服务器提供 NFS 服务将自己的目录分享
2) 客户端挂载和使用 NFS 服务将服务端分享的目录挂载在自己的目录上

步骤二：系统环境要求

1) 所有服务器的系统都需要是 openSUSE 15.1 版本
2) 所有服务器都要关闭防火墙
3) 所有服务器系统都要配置好可用的软件源（最好是软件数量最多的官方版本）
4) 需要按照拓扑图给对应的服务器配置好 IP 地址和主机名
5) 所有服务器都要可以相互 ping 通自己和对方的 IP 地址和主机名

步骤三：所有服务器安装 NFS 服务

3.1 所有服务器安装 NFS 服务

（分别在服务端和客户端上执行以下步骤）

# zypper install nfs-kernel-server
# zypper install nfs-client

3.2 设置所有服务器开机自启 NFS 服务

（分别在服务端和客户端上执行以下步骤）

# systemctl enable rpcbind
# systemctl enable nfsserver

3.3 所有服务器启动 NFS 服务

（分别在服务端和客户端上执行以下步骤）

# systemctl start rpcbind
# systemctl start nfsserver

步骤四：配置 NFS 服务

4.1 创建用于 NFS 服务的目录

4.1.1 创建被 NFS 服务共享的目录

（只在服务端上执行以下步骤）

# mkdir /nfsserver

4.1.2 创建用于挂载 NFS 服务分享目录的目录

（只在客户端上执行以下步骤）

# mkdir /nfsclient

4.2 配置服务端的 NFS 服务配置文件

4.2.1 在服务端上添加可被 NFS 服务挂载的选项

（只在服务端上执行以下步骤）

# vi /etc/exports

添加以下内容：

......
/nfsserver 192.168.1.21(rw,no_root_squash,no_subtree_check)

（补充：这里的 192.168.1.21 是客户端的 IP 地址）

4.2.2 让刚刚修改的 NFS 服务配置文件生效

（只在服务端上执行以下步骤）

# exportfs -a

4.3 配置客户端的 NFS 服务挂载文件

4.3.1 在客户端上添加开机挂载 NFS 的选项

（只在客户端上执行以下步骤）

# vi /etc/fstab

添加以下内容：

......
192.168.1.20:/nfsserver /nfsclient nfs  timeo=120,rw,soft,nolock  0 0

4.3.2 让刚刚修改的 NFS 服务挂载文件生效

（只在客户端上执行以下步骤）

# mount -a

步骤五：确认 NFS 服务是否搭建成功

（只在客户端上执行以下步骤）

# df -h | grep 192.168.1.20

（补充：如果出现了类似 “192.168.1.20:/nfsserver 38G 5.5G 31G 16% /nfsclient”，则代表 NFS 搭建成功了）

注意：

在实现 FTP + Pacemaker 存储服务高可用之前要先安装 Pacemaker 集群 ，并且需要 root 权限

正文：

步骤一：Pacemaker 高可用 FTP 服务的解析

1.1 集群本身需要的服务

需要额外一台服务器提供 Iscasi 远程目录服务

1.2 本 Pacemaker 高可用 FTP 服务的特点

1) 使用其他服务器提供的 Iscasi 服务器作为 FTP 的共享目录
2) 提供 FTP 服务
4) 提供虚拟 IP 服务
5) 以上三项服务器都实现高可用
6) 唯一的单点故障在于额外的那台服务器提供的 Iscasi 远程目录服务器

步骤二：前期准备所有集群主机上都安装 FTP 服务

2.1 在所有集群主机上安装 FTP

（在所有集群服务器上执行以下步骤）

# yum -y install vsftpd

2.2 确保 vsftpd 服务没有启动

（在所有集群服务器上执行以下步骤）

# systemctl stop vsftpd
# systemctl disable vsftpd

步骤三：部署 Pacemaker 的 FTP 高可用服务

3.1 在 ftp 资源组中创建名为 ftpip 的虚拟 ip 资源

（只在一台集群里的服务器上执行以下步骤）

# pcs resource create ftpip IPaddr2 ip=192.168.0.21 cidr_netmask=24 --group ftp

3.2 在 ftp 资源组中创建名为 ftpfiles 挂载其他服务器的 Iscasi 服务的资源

（只在 1 台集群里的服务器上执行以下步骤）

# pcs resource create ftpfiles Filesystem device=192.168.8.21:/content/ftp directory=/var/ftp fstype=nfs options=ro --group ftp

（注意：这里的 Filesystem 指的是其他服务器搭建的 Iscasi 服务，这个服务需要提前搭建好）

3.3 在 ftp 资源组中创建名为 vsftpd 的 ftp 资源

（只在一台集群里的服务器上执行以下步骤）

# pcs resource create vsftpd systemd:vsftpd --group ftp