Linux如何配置网络游戏服务器？

要建立一个安全Linux服务器就首先要了解Linux环境下和网络服务相关的配置文件的含义及如何进行安全的配置。在Linux系统中，TCP/IP网络是通过若干个文本文件进行配置的，也许你需要编辑这些文件来完成联网工作，但是这些配置文件大都可以通过配置命令linuxconf(其中网络部分的配置可以通过netconf命令来实现)命令来实现。下面介绍基本的TCP/IP网络配置文件。

/etc/confmodules文件

该配置文件定义了各种需要在启动时加载的模块的参数信息。这里主要着重讨论关于网卡的配置。在使用Linux做网关的情况下，Linux服务器至少需要配置两块网卡。为了减少启动时可能出现的问题，Linux内核不会自动检测多个网卡。对于没有将网卡的驱动编译到内核而是作为模块动态载入的系统若需要安装多块网卡，应该在“confmodules”文件中进行相应的配置。

若设备驱动被编译为模块（内核的模块）：对于PCI设备，模块将自动检测到所有已经安装到系统上的设备；对于ISA卡，则需要向模块提供IO地址，以使模块知道在何处寻找该卡，这些信息在“/etc/confmodules”中提供。

例如，我们有两块ISA总线的3c509卡，一个IO地址是0x300，另一个是0x320。编辑“confmodules”文件如下：

aliaseth03c509

aliaseth13c509

options3c509io=0x300,0x320

这是说明3c509的驱动程序应当分别以eth0或eth1的名称被加载（aliaseth0,eth1），并且它们应该以参数io=0x300,0x320被装载，来通知驱动程序到哪里去寻找网卡，其中0x是不可缺少的。

对于PCI卡，仅仅需要alias命令来使ethN和适当的驱动模块名关联，PCI卡的IO地址将会被自动的检测到。对于PCI卡，编辑“confmodules”文件如下：

aliaseth03c905

aliaseth13c905

若驱动已经被编译进了内核：系统启动时的PCI检测程序将会自动找到所有相关的网卡。ISA卡一般也能够被自动检测到，但是在某些情况下，ISA卡仍然需要做下面的配置工作：

在“/etc/liloconf”中增加配置信息，其方法是通过LILO程序将启动参数信息传递给内核。对于ISA卡，编辑“liloconf”文件，增加如下内容：

append="ether="0,0,eth0ether="0,0,eth1"

注：先不要在“liloconf”中加入启动参数，测试一下你的ISA卡，若失败再使用启动参数。

如果用传递启动参数的方法，eth0和eth1将按照启动时被发现的顺序来设置。

/etc/HOSTNAME文件

该文件包含了系统的主机名称，包括完全的域名，如：deepopenarchcom。

/etc/sysconfig/network-scripts/ifcfg-ethN文件

在RedHat中，系统网络设备的配置文件保存在“/etc/sysconfig/network-scripts”目录下，ifcfg-eth0包含第一块网卡的配置信息，ifcfg-eth1包含第二块网卡的配置信息。

下面是“/etc/sysconfig/network-scripts/ifcfg-eth0”文件的示例：

DEVICE=eth0

IPADDR=2081641861

NETMASK=2552552550

NETWORK=2081641860

BROADCAST=208164186255

ONBOOT=yes

BOOTPROTO=none

USERCTL=no

若希望手工修改网络地址或在新的接口上增加新的网络界面，可以通过修改对应的文件（ifcfg-ethN）或创建新的文件来实现。

DEVICE=name name表示物理设备的名字

IPADDR=addr addr表示赋给该卡的IP地址

NETMASK=mask mask表示网络掩码

NETWORK=addr addr表示网络地址

BROADCAST=addr addr表示广播地址

ONBOOT=yes/no 启动时是否激活该卡

none：无须启动协议

bootp：使用bootp协议

dhcp：使用dhcp协议

USERCTL=yes/no 是否允许非root用户控制该设备

/etc/resolvconf文件

该文件是由域名解析器（resolver，一个根据主机名解析IP地址的库）使用的配置文件，示例如下：

searchopenarchcom

nameserver2081641861

nameserver2081641862

“searchdomainnamecom”表示当提供了一个不包括完全域名的主机名时，在该主机名后添加domainnamecom的后缀；“nameserver”表示解析域名时使用该地址指定的主机为域名服务器。其中域名服务器是按照文件中出现的顺序来查询的。

/etc/hostconf文件

该文件指定如何解析主机名。Linux通过解析器库来获得主机名对应的IP地址。下面是一个“/etc/hostconf”的示例：

orderbind,hosts

multion

ospoofon

“orderbind,hosts”指定主机名查询顺序，这里规定先使用DNS来解析域名，然后再查询“/etc/hosts”文件(也可以相反)。

“multion”指定是否“/etc/hosts”文件中指定的主机可以有多个地址，拥有多个IP地址的主机一般称为多穴主机。

“nospoofon”指不允许对该服务器进行IP地址欺骗。IP欺骗是一种攻击系统安全的手段，通过把IP地址伪装成别的计算机，来取得其它计算机的信任。

/etc/sysconfig/network文件

该文件用来指定服务器上的网络配置信息，下面是一个示例：

NETWORK=yes

RORWARD_IPV4=yes

HOSTNAME=deepopenarchcom

GAREWAY=0000

GATEWAYDEV=

NETWORK=yes/no 网络是否被配置；

FORWARD_IPV4=yes/no 是否开启IP转发功能

HOSTNAME=hostnamehostname表示服务器的主机名

GAREWAY=gw-ip gw-ip表示网络网关的IP地址

GAREWAYDEV=gw-dev gw-dw表示网关的设备名，如：etho等

注意：为了和老的软件相兼容，“/etc/HOSTNAME”文件应该用和HOSTNAME=hostname相同的主机名。

/etc/hosts文件

当机器启动时，在可以查询DNS以前，机器需要查询一些主机名到IP地址的匹配。这些匹配信息存放在/etc/hosts文件中。在没有域名服务器情况下，系统上的所有网络程序都通过查询该文件来解析对应于某个主机名的IP地址。

下面是一个“/etc/hosts”文件的示例：

IPAddress Hostname Alias

127001 Localhost Gateopenarchcom

2081641861 gateopenarchcomGate

………… ………… ………

最左边一列是主机IP信息，中间一列是主机名。任何后面的列都是该主机的别名。一旦配置完机器的网络配置文件，应该重新启动网络以使修改生效。使用下面的命令来重新启动网络：/etc/rcd/initd/networkrestart

/etc/inetdconf文件

众所周知，作为服务器来说，服务端口开放越多，系统安全稳定性越难以保证。所以提供特定服务的服务器应该尽可能开放提供服务必不可少的端口，而将与服务器服务无关的服务关闭，比如：一台作为www和ftp服务器的机器，应该只开放80和25端口，而将其他无关的服务如：fingerauth等服务关掉，以减少系统漏洞。

而inetd，也叫作“超级服务器”，就是监视一些网络请求的守护进程，其根据网络请求来调用相应的服务进程来处理连接请求。inetdconf则是inetd的配置文件。inetdconf文件告诉inetd监听哪些网络端口，为每个端口启动哪个服务。在任何的网络环境中使用Linux系统，第一件要做的事就是了解一下服务器到底要提供哪些服务。不需要的那些服务应该被禁止掉，最好卸载掉，这样黑客就少了一些攻击系统的机会。查看“/etc/inetdconf”文件，了解一下inetd提供哪些服务。用加上注释的方法（在一行的开头加上#号），禁止任何不需要的服务，再给inetd进程发一个SIGHUP信号。

第一步：把文件的许可权限改成600。

[root@deep]#chmod600/etc/inetdconf

第二步：确信文件的所有者是root。

[root@deep]#stat/etc/inetdconf

第三步：编辑“inetdconf”文件（vi/etc/inetdconf），禁止所有不需要的服务，如：ftp、telnet、shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth，等等。如果你觉得某些服务有用，可以不禁止这些服务。但是，把这些服务禁止掉，系统受攻击的可能性就会小很多。改变后的“inetdconf”文件的内容如下面所示：

#Tore-readthisfileafterchanges,justdoa'killall-HUPinetd'

#

#echostreamtcpnowaitrootinternal

#echodgramudpwaitrootinternal

#discardstreamtcpnowaitrootinternal

#discarddgramudpwaitrootinternal

#daytimestreamtcpnowaitrootinternal

#daytimedgramudpwaitrootinternal

#chargenstreamtcpnowaitrootinternal

#chargendgramudpwaitrootinternal

#timestreamtcpnowaitrootinternal

#timedgramudpwaitrootinternal

#

#Thesearestandardservices

#

#ftpstreamtcpnowaitroot/usr/sbin/tcpdinftpd-l-a

#telnetstreamtcpnowaitroot/usr/sbin/tcpdintelnetd

#

#Shell,login,exec,comsatandtalkareBSDprotocols

#

#shellstreamtcpnowaitroot/usr/sbin/tcpdinrshd

#loginstreamtcpnowaitroot/usr/sbin/tcpdinrlogind

#execstreamtcpnowaitroot/usr/sbin/tcpdinrexecd

#comsatdgramudpwaitroot/usr/sbin/tcpdincomsat

#talkdgramudpwaitroot/usr/sbin/tcpdintalkd

#ntalkdgramudpwaitroot/usr/sbin/tcpdinntalkd

#dtalkstreamtcpwaitnobody/usr/sbin/tcpdindtalkd

#

#Popandimapmailservicesetal

#

#pop-2streamtcpnowaitroot/usr/sbin/tcpdipop2d

#pop-3streamtcpnowaitroot/usr/sbin/tcpdipop3d

#imapstreamtcpnowaitroot/usr/sbin/tcpdimapd

#

#TheInternetUUCPservice

#

#uucpstreamtcpnowaituucp/usr/sbin/tcpd/usr/lib/uucp/uucico-l

#

#TftpserviceisprovidedprimarilyforbootingMostsites

#runthisonlyonmachinesactingas"bootservers"Donotuncomment

#thisunlessyouneedit

#

#tftpdgramudpwaitroot/usr/sbin/tcpdintftpd

#bootpsdgramudpwaitroot/usr/sbin/tcpdbootpd

#

#Finger,systatandnetstatgiveoutuserinformationwhichmaybe

#valuabletopotential"systemcrackers"Manysiteschoosetodisable

#someoralloftheseservicestoimprovesecurity

#

#fingerstreamtcpnowaitroot/usr/sbin/tcpdinfingerd

#cfingerstreamtcpnowaitroot/usr/sbin/tcpdincfingerd

#systatstreamtcpnowaitguest/usr/sbin/tcpd/bin/ps-auwwx

#netstatstreamtcpnowaitguest/usr/sbin/tcpd/bin/netstat-finet

#

#Authentication

#

#authstreamtcpnowaitnobody/usr/sbin/inidentdinidentd-l-e-o

#

#Endofinetdconf

注意：改变了“inetdconf”文件之后，别忘了给inetd进程发一个SIGHUP信号（killall–HUPinetd）。

[root@deep/root]#killall-HUPinetd

第四步：

为了保证“inetdconf”文件的安全，可以用chattr命令把它设成不可改变。把文件设成不可改变的只要用下面的命令：

[root@deep]#chattr+i/etc/inetdconf

这样可以避免“inetdconf”文件的任何改变（意外或是别的原因）。一个有“i”属性的文件是不能被改动的：不能删除或重命名，不能创建这个文件的链接，不能往这个文件里写数据。只有系统管理员才能设置和清除这个属性。如果要改变inetdconf文件，你必须先清除这个不允许改变的标志：

[root@deep]#chattr-i/etc/inetdconf

但是对于诸如sendmail，named，www等服务，由于它们不象finger，telnet等服务，在请求到来时由inet守护进程启动相应的进程提供服务，而是在系统启动时，作为守护进程运行的。而对于redhatlinux，提供了一个linuxconfig命令，可以通过它在图形界面下交互式地设置是否在启动时运行相关服务。也可以通过命令来设置是否启动时启动某个服务，如：[root@deep]#chkconfig–level35namedoff

具体命令可以参考manchkconfig的说明。

/etc/hostsallow文件

但是对于telnet、ftp等服务，如果将其一同关闭，那么对于管理员需要远程管理时，将非常不方便。Linux提供另外一种更为灵活和有效的方法来实现对服务请求用户的限制，从而可以在保证安全性的基础上，使可信任用户使用各种服务。Linux提供了一个叫TCPwrapper的程序。在大多数发布版本中该程序往往是缺省地被安装。利用TCPwrapper你可以限制访问前面提到的某些服务。而且TCPwrapper的记录文件记录了所有的企图访问你的系统的行为。通过last命令查看该程序的log，管理员可以获知谁曾经或者企图连接你的系统。

在/etc目录下，有两个文件：hostsdenyhostsallow通过配置这两个文件，你可以指定哪些机器可以使用这些服务，哪些不可以使用这些服务。

当服务请求到达服务器时，TCPwrapper就按照下列顺序查询这两个文件，直到遇到一个匹配为止：

1当在/etc/hostsallow里面有一项与请求服务的主机地址项匹配，那么就允许该主机获取该服务

2否则，如果在/etc/hostsdeny里面有一项与请求服务的主机地址项匹配，就禁止该主机使用该项服务。

3如果相应的配置文件不存在，访问控制软件就认为是一个空文件，所以可以通过删除或者移走配置文件实现对清除所有设置。在文件中，空白行或者以#开头的行被忽略，你可以通过在行前加#实现注释功能。

配置这两个文件是通过一种简单的访问控制语言来实现的，访问控制语句的基本格式为：

程序名列表:主机名/IP地址列表。

程序名列表指定一个或者多个提供相应服务的程序的名字，名字之间用逗号或者空格分割，可以在inetdconf文件里查看提供相应服务的程序名：如上面的文件示例中，telent所在行的最后一项就是所需的程序名：intelnetd。

主机名/IP地址列表指定允许或者禁止使用该服务的一个或者多个主机的标识，主机名之间用逗号或空格分隔。程序名和主机地址都可以使用通配符，实现方便的指定多项服务和多个主机。

Linux提供了下面灵活的方式指定进程或者主机列表:

1一个以""起始的域名串，如ammsaccn那么wwwammsaccn就和这一项匹配

2以""结尾的IP串如20237152那么IP地址包括20237152的主机都与这一项匹配。

3格式为nnnn/mmmm表示网络/掩码，如果请求服务的主机的IP地址与掩码的位与的结果等于nnnn那么该主机与该项匹配。

4ALL表示匹配所有可能性

5EXPECT表示除去后面所定义的主机。如:list_1EXCEPTlist_2表示list_1主机列表中除去List_2所列出的主机

6LOCAL表示匹配所有主机名中不包含""的主机

上面的几种方式只是Linux提供的方式中的几种，但是对于我们的一般应用来说是足够了。我们通过举几个例子来说明这个问题：

例一：我们只希望允许同一个局域网的机器使用服务器的ftp功能，而禁止广域网上面的ftp服务请求，本地局域网由20239154、20239153和20239152三个网段组成。

在hostsdeny文件中，我们定义禁止所有机器请求所有服务：

ALL:ALL

在hostsallow文件中，我们定义只允许局域网访问ftp功能：

inftpd-l–a:202391542023915320239152

这样，当非局域网的机器请求ftp服务时，就会被拒绝。而局域网的机器可以使用ftp服务。此外，应该定期检查/var/log目录下的纪录文件，发现对系统安全有威胁的登录事件。last命令可以有效的查看系统登录事件，发现问题所在。

最后tcpdchk是检查TCP_WAPPERS配置的程序。它检查TCP_WAPPERS的配置，并报告它可以发现的问题或潜在的问题。在所有的配置都完成了之后，请运行tcpdchk程序：

[root@deep]#tcpdchk

/etc/services文件

端口号和标准服务之间的对应关系在RFC1700“AssignedNumbers”中有详细的定义。“/etc/services”文件使得服务器和客户端的程序能够把服务的名字转成端口号，这张表在每一台主机上都存在，其文件名是“/etc/services”。只有“root”用户才有权限修改这个文件，而且在通常情况下这个文件是没有必要修改的，因为这个文件中已经包含了常用的服务所对应的端口号。为了提高安全性，我们可以给这个文件加上保护以避免没有经过授权的删除和改变。为了保护这个文件可以用下面的命令：

[root@deep]#chattr+i/etc/services

/etc/securetty文件

“/etc/securetty”文件允许你规定“root”用户可以从那个TTY设备登录。登录程序（通常是“/bin/login”）需要读取“/etc/securetty”文件。它的格式是：列出来的tty设备都是允许登录的，注释掉或是在这个文件中不存在的都是不允许root登录的。

注释掉（在这一行的开头加上＃号）所有你想不让root登录的tty设备。

编辑securetty文件（vi/etc/securetty）象下面一样，注释掉一些行：

tty1

#tty2

#tty3

#tty4

#tty5

#tty6

#tty7

#tty8

使Control-Alt-Delete关机键无效

把“/etc/inittab”文件中的一行注释掉可以禁止用Control-Alt-Delete关闭计算机。如果服务器不是放在一个安全的地方，这非常重要。

编辑inittab文件（vi/etc/inittab）把这一行：

ca::ctrlaltdel:/sbin/shutdown-t3-rnow

改为：

#ca::ctrlaltdel:/sbin/shutdown-t3-rnow

用下面的命令使改变生效：

[root@deep]#/sbin/initq

改变“/etc/rcd/initd/”目录下的脚本文件的访问许可

/etc/rcd/initd/下的脚本主要包含了启动服务的脚本程序。一般用户没有什么必要知道脚本文件的内容。所以应该改变这些脚本文件的权限。

[root@deep]#chmod-R700/etc/rcd/initd/

这样只有root可以读、写和执行这个目录下的脚本。

/etc/rcd/rclocal文件

在默认情况下，当登录装有Linux系统的计算机时，系统会告诉你Linux发行版的名字、版本号、内核版本和服务器名称。这泄露了太多的系统信息。最好只显示一个“Login:”的提示信息。

第一步：

编辑“/ect/rcd/rclocal”文件，在下面这些行的前面加上“#”：

--

#Thiswilloverwrite/etc/issueateverybootSo,makeanychangesyou

#wanttomaketo/etc/issuehereoryouwilllosethemwhenyoureboot

#echo"">/etc/issue

#echo"$R">>/etc/issue

#echo"Kernel$(uname-r)on$a$(uname-m)">>/etc/issue

#

#cp-f/etc/issue/etc/issuenet

#echo>>/etc/issue

--

第二步：

删除“/etc”目录下的“issuenet”和“issue”文件：

[root@deep]#rm-f/etc/issue

[root@deep]#rm-f/etc/issuenet

注意：“/etc/issuenet”文件是用户从网络登录计算机时（例如：telnet、SSH），看到的登录提示。同样在“”目录下还有一个“issue”文件，是用户从本地登录时看到的提示。这两个文件都是文本文件，可以根据需要改变。但是，如果想删掉这两个文件，必须向上面介绍的那样把“/etc/rcd/rclocal”脚本中的那些行注释掉，否则每次重新启动的时候，系统又会重新创建这两个文件。

1、首先，连接相应linux主机，进入到linux命令行状态下，等待输入shell指令。

2、在linux命令行下输入shell指令：cat /proc/cpuinfo，按回车，会看到cpu的信息。

3、输入shell指令：fdisk -l，按回车，会看到硬盘的信息。

Linux系统最低配置：

CPU：700 MHz；

内存：384 MB；

硬盘：6 GB 剩余空间；

显卡：800x600以上分辨率。

Linux系统是非常稳定和高效的，对电脑硬件配置要求很低，几乎主流的配置都可以用。这正是Linux系统的优势所在，不同的Linux系统版本要求略有不同，但是大体上在同一个配置等级内。

扩展资料：

Linux不仅系统性能稳定，而且是开源软件。其核心防火墙组件性能高效、配置简单，保证了系统的安全。在很多企业网络中，为了追求速度和安全，Linux操作系统不仅仅是被网络运维人员当作服务器使用，Linux既可以当作服务器，又可以当作网络防火墙是Linux的 一大亮点。

Linux系统工具链完整，简单操作就可以配置出合适的开发环境，可以简化开发过程，减少开发中仿真工具的障碍，使系统具有较强的移植性。

linux系统完全兼容POSIX10标准。这使得可以在Linux下通过相应的模拟器运行常见的DOS、Windows的程序。这为用户从Windows转到Linux奠定了基础。许多用户在考虑使用Linux时，就想到以前在Windows下常见的程序是否能正常运行，这一点就消除了他们的疑虑。

-Linux系统

vsftpd是UNIX类操作系统上运行的服务器名称，它的名字代表“very secure FTP daemon”，安全性是其设计与开发的一个重要目标。它可运行在Linux、Solaris等系统中，支持很多其他的FTP 服务器不支持的特征：

非常高的安全性需求

带宽限制

良好的可伸缩性

创建虚拟用户的可能性

分配虚拟IP地址的可能性

一、vsftpd的启动

#service vsftpd start

如果允许用户匿名访问，需创建用户ftp和目录/var/ftp

# mkdir /var/ftp

# useradd –d /var/ftp ftp

二、vsftpd的配置

Vsftpd的配置文件存放在/etc/vsftpd/vsftpdconf 我们可根据实际数要对如下信息进行配置：

1 连接选项

☆监听地址和控制端口

(1) listen_address=ip address

定义主机在哪个IP 地址上监听FTP请求。即在哪个IP地址上提供FTP服务。

(2) listen_port=port_value

指定FTP服务器监听的端口号。默认值为21。

2 性能与负载控制

☆超时选项

(1) idle_session_timeout=

空闲用户会话的超时时间，若是超过这段时间没有数据的传送或是指令的输入，则会被迫断线。默认值是300s

(2) accept_timeout=numerical value

接受建立联机的超时设定。默认值为60s

☆负载选项

(1) max_clients= numerical value

定义FTP服务器最大的兵法连接数。当超过此连接数时，服务器拒绝客户端连接。默认值为0，表示不限最大连接数。

(2) max_per_ip= numerical value

定义每个IP地址最大的并发连接数目。超过这个数目将会拒绝连接。此选项的设置将会影响到网际快车、迅雷之类的多线程下载软件。默认值为0，表示不限制。

(3) anon_max_rate=value

设定匿名用户的最大数据传输速度，以B/s为单位。默认无。

(4) local_max_rate=value

设定用户的最大数据传输速度。以B/s为单位。默认无。此选项对所有的用户都生效。

3 用户选项

vsftpd的用户分为3类：匿名用户、本地用户（local user）及虚拟用户（guest）

☆ 匿名用户

(1) anonymous_enable=YES|NO

控制是否允许匿名用户登录

(2) ftp_username=

匿名用户使用的系统用户名。默认情况下，值为ftp

(3) no_anon_password= YES|NO

控制匿名用户登录时是否需要密码。

(4) anon_root=

设定匿名用户的根目录，即匿名用户登录后，被定位到此目录下。主配置文件中默认无此项，默认值为/var/ftp/

(5) anon_world_readable_only= YES|NO

控制是否只允许匿名用户下载可阅读的文档。YES，只允许匿名用户下载可阅读的文件。NO，允许匿名用户浏览整个服务器的文件系统。

(6) anon_upload_enable= YES|NO

控制是否允许匿名用户上传文件。除了这个参数外，匿名用户要能上传文件，还需要两个条件，write_enable参数为YES；在文件系统上，FTP匿名用户对某个目录有写权限。

(7) anon_mkdir_wirte_enable= YES|NO

控制是否允许匿名用户创建新目录。在文件系统上，FTP匿名用户必须对新目录的上层目录拥有写权限。

(8) anon_other_write_enbale= YES|NO

控制匿名用户是否拥有除了上传和新建目录之外的其他权限。如删除、更名等。

(9) chown_uploads= YES|NO

是否修改匿名用户所上传文件的所有权。YES，匿名用户上传得文件所有权改为另一个不同的用户所有，用户由chown_username参数指定。

(10) chown_username=whoever

指定拥有匿名用户上传文件所有权的用户。

☆本地用户

(1) local_enable= YES|NO

控制vsftpd所在的系统的用户是否可以登录vsftpd。

(2) local_root=

定义本地用户的根目录。当本地用户登录时，将被更换到此目录下。

☆虚拟用户

(1) guest_enable= YES|NO

启动此功能将所有匿名登入者都视为guest

(2) guest_username=

定义vsftpd的guest用户在系统中的用户名。

4 安全措施

☆用户登录控制

(1) /etc/vsftpdftpusers

Vsftpd禁止列在此文件中的用户登录FTP服务器。此机制是默认设置的。

(2) userlist_enable= YES|NO

此选项激活后，vsftpd将读取userlist_file参数所指定的文件中的用户列表。

(3) userlist_file=/etc/vsftpduser_list

指出userlist_enable选项生效后，被读取的包含用户列表的文件。默认值是/etc/vsftpduser_list

(4) userlist_deny= YES|NO

决定禁止还是只允许由userlist_file指定文件中的用户登录FTP服务器。userlist_enable选项启动后才能生效。默认值为YES，禁止文中的用户登录，同时不向这些用户发出输入口令的指令。NO，只允许在文中的用户登录FTP服务器。

☆目录访问控制

(1) chroot_list_enable= YES|NO

锁定某些用户在自己的目录中，而不可以转到系统的其他目录。

(2) chroot_list_file=/etc/vsftpd/chroot_list

指定被锁定在主目录的用户的列表文件。

(3) chroot_local_users= YES|NO

将本地用户锁定在主目中。

三、vsftpd服务器的配置实例：

基于IP的虚拟FTP服务器配置

假设服务器有两个IP地址，1921681199和1921681200。vsftpd是建立在1921681199上的。现在在1921681200上再提供一个虚拟FTP服务器。

☆创建虚拟FTP服务器根目录

# mkdir –p /var/ftp2/pub

确保/var/ftp2和/var/ftp2/pub目录的所有者和组均为root，掩码为755

# chmod 755 /var/ftp2 # chmod 755 /var/ftp2/pub

# chown –R root /var/ftp2 # chown –R : root /var/ftp2

☆ 增加虚拟FTP服务器的匿名用户帐号ftp2

# useradd –d /var/ftp2 –M ftp2

☆ 创建虚拟FTP服务器的配置文件

复制原来的vsftpdconf作为虚拟FTP服务器的配置文件，并修改相关参数

# cp /etc/vsftpd/vsftpdconf /etc/vsftpd/vsftpd2conf

# vi /etc/vsftpd/vsftpd2conf

添加或修改参数：

Listen=YES

Listen_address=1921681200

ftp_username=ftp2

anon_root=/var/ftp2

并可参考vsftpd的配置部分的说明做其他配置，如：

允许匿名用户上传文件

Write_enable=YES

Anon_world_readable_only=NO

Anon_upload_enable=YES

Anon_mkdir_write_enable=YES

创建匿名用户上传文件的目录，并设置权限：

# mkdir /var/ftp/incoming # chmod o+w /var/ftp/incoming

取消写权限

Write_enable=NO

Anon_upload_enable=NO

Anon_mkdir_write_enable=NO

Anon_other_write_enable=NO

限制下载速度为80KB/s

Anon_max_rate=8000

控制并发数，以及每个IP地址的并发数

Max_clients=100

Max_per_ip=3

☆启动虚拟FTP服务器

# /usr/sbin/vsftpd /etc/vsftpd/vsftpd2comf &

宝塔官网地址： https://wwwbtcn/new/indexhtml

我连接Linux服务器使用的是XShell

想要安装XShell可以看的这篇文章 XShell免费版的安装配置教程以及使用教程（超级详细）

yum install -y wget && wget -O installsh http://downloadbtcn/install/install_60sh && sh installsh

此处询问你“你现在想安装宝塔控制面板吗” 直接输入y按下回车继续安装

我这里以腾讯云为例

第一次登录需要绑定宝塔账号，要是有宝塔账号的直接登录就可以，没有的话就先去注册一个再进行登录

首次使用宝塔面板推荐安装一组套件，对于刚接触Linux环境部署的博友们，推荐使用 LNMP ，采用极速安装、一键安装的方式

LNMP和LAMP环境主要的区别在于web服务器上面，LNMP使用的是Nginx服务器，而LAMP使用的是Apache服务器。Nginx 性能稳定、功能丰富、运维简单、处理静态文件速度快且消耗系统资源极少。

出现下面界面说明正在安装，根据服务器的配置不同，安装所需要的时间也不一样

点击消息列表，出现下面界面，说明套件已经安装成功了

此处可以选择是上传一个文件还是项目文件夹，我这里选择的是上传目录

制作不易，有帮助的话还希望能给个 点赞 支持下，谢谢大家。

第一步：打开终端（快捷键是Ctrl+Alt+t），如果当前用户不是root用户，请输入命令“su”，然后输入root账户密码即可；

第二步：输入命令“apt-get update”,这一步是为了更新下载的数据源，如果不更新可能造成有几个后面的软件包无法下载；

第三步：输入命令“apt-get install vsftpd”完成安装vsftpd；

第四步：判断vsftp是否安装成功，输入命令“service vsftpd restart”重启vsftpd服务，如果他在运行状态说明安装成功；

第五步：新建“/home/uftp”目录作为用户主目录，输入命令“mkdir /home/uftp”回车 ,然后输入命令“ls /home”查看home目录下有uftp这个目录吗，如果有就是创建成功；

第六步：新建用户uftp并且设置密码，输入命令“useradd -d /home/uftp -s /bin/bash uftp”

回车，然后再输入命令“passwd uftp”回车，然后输入两次密码就设置ok了

第七步：使用vi修改配置文件/etc/vsftpdconf，输入命令“vi /etc/vsftpdconf”回车，

向文件中添加“userlist_deny=NO””userlist_enable=YES”, “userlist_file=/etc/allowed_users”,

“seccomp_sandbox=NO”,最后把文件中的“local_enable=YES”保存（如果提示无法保存，直接退出来，把读写和执行权限给这个文件，具体操作为：输入命令： “chmod 777 /etc/vsftpdconf”回车就可以了）；

第八步：新建文件/etc/allowed_users,输入命令“vi /etc/allowed_users”,打开后再这个文件内写入“uftp”保存即可；《Linux就该这么学》

第九步：查看/etc/ftpusers文件（不能访问ftp服务用户清单）的内容，输入命令“vi /etc/ftpusers”回车，如果里面有uftp，就把他删除；

第十步：安装winscp软件，进行远程登录访问；下载直接在百度下载就行

你可以通过以下三种方法安装Apache服务器。

　　1．如果你安装的Linux版本中带用Apache的话，就在选择所要安装的服务

器的时候，将httpd这个服务选上，Linux安装程序将自动完成Apache的安装工

作，并做好基本的配置。

2．使用可执行文件软件包，这比较适合那些对编译工作不是太熟悉的初级

用户，因为它相对比较简单。

下载软件包apache_124etargz

tar xvzf apache_124etargz

这就完成了安装工作，简单吧！

如果你使用的是RedHat Linux的话，你也可以下载apache_124rpm软件

安装包，然后使用rpm -ivh　apache_124rpm命令安装。

3．如果你想把Apache服务器充分利用起来的话，就一定要自己编译

Apache定制其功能。

下载包含Apache源代码的软件包apache_124targz； 然后用tar命令将它解

开； 将当前目录改变为Apache源代码发行版的src目录； 将配置样本文件

（Configurationtmpl）复制为Configuration文件；

编辑Configuration文件中的配置选项：

Makefile配置选项：一些编译选项：

"CC="一行指定用什么编译软件编译，一般为"CC=gcc"；

如果需要将额外的标志（参数）指定给C编译软件，可以使用：

EXTRA_CFLAGS=

EXTRA_LFLAGS=

如果系统需要特殊的库和包含文件，可以在这里指定它们：

EXTRA_LIBS=

EXTRA_INCLUDES=

如果你要改变代码优化设置的话，你须将下面一句去掉注释，然

后改成你所需要的值：

#OPTIM=-O2

Rule配置选项：用来决定需要什么功能，一般情况下无需改变。

模块配置：模块是Apache的组成部分，它为Apache内核增加新功能。通过使用

模块配置，可以自定义在Apache服务器中需要什么功能，这个部分也是Apache

灵活性的表现。模块配置行如下所示：

AddModule modules/standard/mod_envo

如果你需要Apache服务器具备什么功能，就将那个模块用AddModule语句加到配

置文件Configuration中去。

下表列出了Apache的模块功能：

模块名 功能 缺省

mod_access 提供基于主机的访问控制命令 y

mod_actions 能够运行基于MIME类型的CGI脚本或HTTP请求方法 y

mod_alias 能执行URL重定向服务 y

mod_asis 使文档能在没有HTTP头标的情况下被发送到客户端 y

mod_auth 支持使用存储在文本文件中的用户名、口令实现认证 y

mod_auth_dbm 支持使用DBM文件存储基本HTTP认证 n

mod_auth_mysql 支持使用MySQL数据库实现基本HTTP认证 n

mod_auth_anon 允许以匿名方式访问需要认证的区域 y

mod_auth_external支持使用第三方认证 n

mod_autoindex 当缺少索引文件时，自动生成动态目录列表 y

mod_cern_meta 提供对元信息的支持 n

mod_cgi 支持CGI y

mod_dir 能够重定向任何对不包括尾部斜杠字符命令的请求 y

mod_env 使你能够将环境变量传递给CGI或SSI脚本 n

mod_expires 让你确定Apache在服务器响应请求时如何处理Expires y

mod_headers 能够操作HTTP应答头标 y

mod_imap 提供图形映射支持 n

mod_include 使支持SSI n

mod_info 对服务器配置提供了全面的描述 y

mod_log_agent 允许在单独的日志文件中存储用户代理的信息 n

mod_log_config 支持记录日志 y

mod_log_referer 提供了将请求中的Referer头标写入日志的功能 n

mod_mime 用来向客户端提供有关文档的元信息 y

mod_negotiation 提供了对内容协商的支持 y

mod_setenvif 使你能够创建定制环境变量 y

mod_speling 使你能够处理含有拼写错误或大小写错误的URL请求 n

mod_status 允许管理员通过WEB管理Apache y

mod_unique_id 为每个请求提供在非常特殊的条件下保证是唯一的标识 n

在src目录下执行：" /configure"；

编译Apache：执行命令"make"；

根据机器性能的不同，经历一段5-30分钟的编译，就大功告成了。

将编译好的可执行文件httpd复制到/etc/httpd/bin目录下；

将Apache发行版的配置文件：accessconf、httpdconf、mimetypes、

srmconf文件复制到/etc/httpd/conf目录下。到此为止，安装完成。

312 准备服务器硬件

①CPU

Linux 在Intel 80386， 80486， Pentium， Pentium Pro， Pentium II， Pentium

III ，Celeron ，AMD K6-2 (3DNow)，AMD K6-3这几款cpu下能很好的工作，而非Inte

l 的 CPU ，主要包括：Cyrix 6x86，AMD K6，AMD K5，AMD，Cyrix MediaGX chip，WA

RNING出现问题的机会似乎比较多。需要补充的是6x86MX据说在Linux下的表现远好于原

来的6x86。不过，话说回来，你真的穷到要用6x86MX做服务器的程度吗？

一台装配PII以上CPU的Linux在服务量不是非常大时就能很好的工作，如果配备双CPU

那就可以和一台中档的名牌服务器相媲美。Linux对双CPU的支持还算不错，但如果你是

购买的发行版本，那么你在安装后经常需要重新编译内核才能充分发挥双CPU的威力。详

情可以参考第四章。

②主版

Linux支持市面上出售的大多数主板，在选购主板应该考虑是不是支持你的CPU，如果

采用双CPU还考虑买一块兼容的主板。笔者认为在主版的选购时要注意名牌效应，条件允

许一定要买名牌的。

③内存

Linux对内存的品牌没有特殊的限制，只是要求内存最小是 16MB，当然这个数字就我

感觉跟说用32MB内存跑Windows NT差不多。大体上，作为一台服务器，你可以从64MB内

存开始，至于多到多少，反正上限是2GB，现在条子这么便宜，你自己看看你的机器上有

多少个槽就行了。Linux对内存的质量要求比较一般。

④Linux支持的硬盘控制器/硬盘

Linux 支持标准的IDE、EIDE、MFM/RTL控制器。

IDE设备在工作是要占用CPU的处理时间，如果同时有几百个访问，这样占用CPU处理的

时间就急剧增加，系统的负担急剧上升，如果选用SCSI接口卡设备的话就可提高系统的

效率。Linux 并不支持并口的 SCSI 卡，在Linux下兼容的SCSI 列表么……反正我不想

介绍了，你自己去看兼容性列表，目前的Linux内核对BusLogic，AHA之类的大牌SCSI卡

支持还不错，但是肯定不如windows NT那么多。实在不行你可以跟零售商说：“不支持

Linux我可不要啊。”如果你真的预算紧张，那么也可以使用IDE硬盘，不过目前的Linu

x内核似乎对UDMA66不能正确支持，你可能仍然使用标准的DMA-33硬盘。

Linux 也支持磁盘阵列。

⑤网卡

Linux 以其强大的网络功能而著称，选择一块合适的网卡是十分必要的。在选择网卡

是要注意网的性能和兼容性。对于用Linux作为服务器的用户选择一块100M的以太网卡可

在很大程度上提高服务效率。下面就是一些在Linux下能很好工作的网卡：

3Com Etherlink III (3c509 EISA)

3Com 3c59x, 3c900, 3c905 (Not the 3c905B and C, see below) 3c579

Digital DE425, DE434, DE435, DE450, DE500 (uses DE4x5)

Digital 2104x,2114x ``Tulip'' chip cards, SMC DEC21041 , SMC PCI EtherPowe

r (uses Tulip driver)

Intel EEPro100 (PCI),EtherExpress i82557/i82558 PCI Pro/10+。

3Com 3c503, 3c503/16, 3c505, 3Com Etherlink 16 (3c507)

Allied Telesis AT1500 (uses Lance driver), AMD Lance/PCnet, HP J2405A, NE2

100, NE2500

AMD PCnet32 and AMD PCnetPCI

Apricot Xen-II, 680x0 VME (82596 chipset)

Ansel Communications AC3200 EISA

AT&T GIS WaveLAN ISA

Alteon AceNIC Gigabit Ethernet Driver

Allied Telesis AT1700

Aironet Arlan 655

Cabletron E21xx

Crystal LAN CS8900/CS8920

Comtrol Hostess SV11

Compaq Netelligent 10/100 TX PCI UTP, 10 T PCI UTP, Compaq Integrated

NetFlex 3/P, Compaq Netelligent Dual 10/100 TX PCI UTP, Compaq Netelligent I

ntegrated 10/100 TX UTP, Compaq Netelligent 10/100 TX Embedded UTP, Compaq N

etelligent 10 T/2 PCI UTP/Coax, Compaq Netelligent 10/100 TX UTP, Compaq Net

Flex 3/P

100VG-AnyLan Network Adapters, HP J2585B, J2585A, J2970, J2973, J2573,Comp

ex ReadyLink ENET100-VG4 & FreedomLine 100/VG

D-Link DE600, DE620 pocket adapters

D-Link DFE-930-TX PCI 10/100, VIA Rhine PCI Fast Ethernet cards with eithe

r the VIA VT86c100A Rhine-II PC or 3043 Rhine-I

Digital DEPCA & EtherWORKS, DE100, DE101, DE200 Turbo, DE201 Turbo, DE202

Turbo, DE210, DE422

Digi Intl RightSwitch SE-X EISA and PCI

EtherWORKS 3 (DE203, DE204, and DE205)

Fujitsu FMV-181/182/183/184

HP PC-LAN Plus

HP PC-LAN (27245B and 27xxx series)

HP AnyLAN, 10/100VG, PCLAN (J2577, J2573, 27248B, )

Intel EtherExpress 16

Intel EtherExpress i82595 Pro10/10+ (ISA only)

MiCom-Interlan NI5010 ethercard

Mylex LNE390 EISA cards (LNE390A, LNE390B)

NE1000/2000 and compatible ISA cards

NE2000 (PCI), RealTEk RTL-8029, Winbond 89C940, Compex RL2000, KTI ET32P2,

NetVin NV5000SC, Via 82C926, SureCom NE3

NI5210 card (i82586 Ethernet chip), NI6510, ni6510 EtherBlaster

Novell NE3210 EISA Network Adapter

Yellowfin (and Compatibles)

G-NIC

Racal-Interlan ES3210 EISA Network Adapter

RedCreek Communications PCI

RealTek cards using RTL8129 or RTL8139 Fast Ethernet chipsets

Sangoma S502/S508 multi-protocol FR, Sangoma S502A, ES502A, S502E, S503, S

507, S508, S509

SMC Ultra / EtherEZ (ISA, 8k 83c790), SMC 9000 series, SMC 9000 series, SM

C Ultra32 EISA (32K) SMC EtherPower II 9432 PCI (83c170/175 EPIC series),

Tangent ATB-II, Novel NL-10000, Daystar Digital LT-200, Dayna DL2000, Dayn

aTalk PC (HL), COPS LT-95, Farallon PhoneNET PC II & III

Western Digital WD8003, WD8013

Any IBM Token Ring card that does not use DMA

SysKonnect Token Ring ISA/PCI Adapter TR4/16(+) ISA or PCI, TR4/16 PCI, an

d older SK NET TR4/16 ISA cards

IBM PCI tokenring cards based on the Pit/Pit-Phy/Olympic chipset

IBM Tropic chip-set cards

Linux支持的网卡品牌很多，详细的情况可以参考Linux的硬件兼容性列表（/usr/doc

/HOWTO/HARDWARE-HOWTO）。

⑥显示卡

就我看来，服务器的图形界面完全是不必要的，Solaris的那个openlook确实很漂亮，

但是有谁用呢，还不如干脆用M$呢。对于Linux更是如此，你只要弄一块凑合着能上102

4768的4MB显卡就行了，当然前提是Linux的XFree86兼容。我推荐的是Trident 9750和

S3 virge，兼容性绝对没问题。如果你觉得这种东西实在太古老了，呵呵。