ftp配置ldap

㈠ 在虛擬機里安裝好linux之後怎麼安裝vsftpd，samba 和webmin啊看了鳥哥的書，沒

linux之後安裝vsftpd
安裝vsftpd服務程序包：
[root@linuxprobe ~]# yum install vsftpd -y
Loaded plugins: langpacks, proct-id, subscription-manager
…………………省略部分安裝過程………………
---> Package vsftpd.x86_64 0:3.0.2-9.el7 will be installed
--> Finished Dependency Resolution
…………………省略部分安裝過程…………………
Installed:
vsftpd.x86_64 0:3.0.2-9.el7
Complete!

清空默認的防火牆默認規則：
[root@linuxprobe ~]# iptables -F

保存清空後的防火牆規則表：
[root@linuxprobe ~]# service iptables save

Vsftpd的程序與配置文件：
主程序 /usr/sbin/vsftpd
用戶禁止登陸列表 /etc/vsftpd/ftpusers
/etc/vsftpd/user_list
主配卜改置文件 /etc/vsftpd/vsftpd.conf

先來分析下vsftpd程序的主配置文件吧譽雀：
[root@linuxprobe ~]# cat /etc/vsftpd/vsftpd.conf
主配置文件長達123行，但大部分是以#號開始的，這些都是注釋信息，我們可以過濾掉它們。
備份vsftpd的主配置文件：
[root@linuxprobe ~]# mv /etc/vsftpd/vsftpd.conf /etc/vsftpd/vsftpd.conf_bak

過濾掉所有包含#號的行，並將過濾結果寫回到vsftpd.conf文件中：
[root@linuxprobe ~]# grep -v "#" /etc/vsftpd/vsftpd.conf_bak > /etc/vsftpd/vsftpd.conf

此時再分析下vsftpd程序的主配置文件吧：
[root@linuxprobe ~]# cat /etc/vsftpd/vsftpd.conf
anonymous_enable=YES
local_enable=YES
write_enable=YES
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
listen=NO
listen_ipv6=YES
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES

vsftpd程序配置文件參數的作用：
參數 作用
listen=[YES|NO] 是否以獨立運行的方式監聽服務。
listen_address=IP地址 設置要監聽的IP地址。
listen_port=21 設置FTP服務慶弊早的監聽埠。
download_enable＝[YES|NO] 是否允許下載文件。
userlist_enable=[YES|NO]
userlist_deny=[YES|NO] 是否啟用「禁止登陸用戶名單」。
max_clients=0 最大客戶端連接數，0為不限制。
max_per_ip=0 同一IP地址最大連接數，0位不限制。
anonymous_enable=[YES|NO] 是否允許匿名用戶訪問。
anon_upload_enable=[YES|NO] 是否允許匿名用戶上傳文件。
anon_umask=022 匿名用戶上傳文件的umask值。
anon_root=/var/ftp 匿名用戶的FTP根目錄。
anon_mkdir_write_enable=[YES|NO] 是否允許匿名用戶創建目錄。
anon_other_write_enable=[YES|NO] 是否開放匿名用戶其他寫入許可權。
anon_max_rate=0 匿名用戶最大傳輸速率(位元組)，0為不限制。
local_enable=[YES|NO] 是否允許本地用戶登陸FTP。
local_umask=022 本地用戶上傳文件的umask值。
local_root=/var/ftp 本地用戶的FTP根目錄。
chroot_local_user=[YES|NO] 是否將用戶許可權禁錮在FTP目錄，更加的安全。
local_max_rate=0 本地用戶最大傳輸速率(位元組)，
看下這里，比較詳細、。http://www.linuxprobe.com/chapter-11.html

安裝Samba服務軟體包：
[root@linuxprobe Desktop]# yum install samba
Loaded plugins: langpacks, proct-id, subscription-manager
………………省略部分安裝過程………………
Installing:
samba x86_64 4.1.1-31.el7 rhel7 527 k
………………省略部分安裝過程………………
Complete!

瀏覽Samba配置文件：
[root@linuxprobe ~]# cat/etc/samba/smb.conf

配置文件竟然有320行！有沒有被嚇到？其實Samba服務配置文件中大部分是注釋信息，我們可以來篩選過濾下：
備份原始的配置文件：
[root@linuxprobe ~]# mv /etc/samba/smb.conf /etc/samba/smb.conf.bak

過濾掉無用的內容：
先使用cat命令讀入Smb配置文件後通過grep命令-v參數（反向選擇）去掉所有注釋信息，然後分別刪選掉包含#號的行("#")，包含;號的行(";")以及所有的空白行("^$")，最後最後將過濾後的信息覆蓋寫入到/etc/samba/smb.conf文件中。
cat /etc/samba/smb.conf.bak | grep -v "#" | grep -v ";" | grep -v "^$" > /etc/samba/smb.conf

讓我們來看看過濾後的配置文件吧：
[global] #全局參數。
workgroup = MYGROUP #工作組名稱。
server string = Samba Server Version %v #伺服器介紹信息,參數%v為顯示SMB版本號。
log file = /var/log/samba/log.%m #定義日誌文件存放位置與名稱，參數%m為來訪的主機名。
max log size = 50 #定義日誌文件最大容量為50Kb。
security = user #安全驗證的方式,總共有4種。
#share:來訪主機無需驗證口令，更加方便，但安全性很差。
#user:需由SMB服務驗證來訪主機提供的口令後才可建立訪問,更加的安全。
#server:使用獨立的遠程主機驗證來訪主機提供的口令（集中管理帳號）。
#domain:使用PDC來完成驗證
passdb backend = tdbsam #定義用戶後台的類型，共有3種。
#smbpasswd:使用SMB服務的smbpasswd命令給系統用戶設置SMB密碼。
#tdbsam:創建資料庫文件並使用pdbedit建立SMB獨立的用戶。
#ldapsam:基於LDAP服務進行帳戶驗證。
load printers = yes #設置是否當Samba服務啟動時共享列印機設備。
cups options = raw #列印機的選項
[homes] #共享參數
comment = Home Directories #描述信息
browseable = no #指定共享是否在「網上鄰居」中可見。
writable = yes #定義是否可寫入操作，與"read only"相反。
[printers] #列印機共享參數
comment = All Printers
path = /var/spool/samba #共享文件的實際路徑(重要)。
browseable = no
guest ok = no #是否所有人可見，等同於"public"參數。
writable = no
printable = yes
標準的Samba共享參數是這樣的：
參數 作用
[linuxprobe] 共享名稱為linuxprobe
comment = Do not arbitrarily modify the database file 警告用戶不要隨意修改資料庫
path = /home/database 共享文件夾在/home/database
public = no 關閉所有人可見
writable = yes 允許寫入操作
我們將上面的配置參數直接追加到SMB服務配置文件(/etc/samba/smb.conf)並重啟SMB服務程序即可生效。
但此時SMB服務默認的驗證模式為user，我們需要先創建用戶資料庫後才可以正常使用，現在來學習下如何創建吧~
12.2.2 安全共享文件
使用Samba服務口令驗證方式可以讓共享文件更加的安全，做到僅讓信任的用戶訪問，而且驗證過程也很簡單，要想使用口令驗證模式，我們需要先創建Samba服務獨立的資料庫。
第1步:檢查當前是否為user驗證模式。
[root@linuxprobe ~]# cat /etc/samba/smb.conf

第2步:創建共享文件夾：
[root@linuxprobe ~]# mkdir /database

第3步:描述共享文件夾信息。
在SMB服務主配置文件的最下面追加共享文件夾的配置參數：
[database]
comment = Do not arbitrarily modify the database file
path = /database
public = no
writable = yes
保存smb.conf文件後重啟啟動SMB服務：
[root@linuxprobe ~]# systemctl restart smb

添加到開機啟動項：
[root@linuxprobe ~]# systemctl enable smb
ln -s '/usr/lib/systemd/system/smb.service' '/etc/systemd/system/multi-user.target.wants/smb.service'
第4步：使用Windows主機嘗試訪問
讀者按照下表的IP地址規劃動手配置下Windows的網卡參數，應該都會吧~

主機名稱 操作系統 IP地址
Samba共享伺服器 紅帽RHEL7操作系統 192.168.10.10
客戶端 紅帽RHEL7操作系統 192.168.10.20
客戶端 微軟Windows7操作系統 192.168.10.30

在Windows主機的運行框中輸入遠程主機的信息

此時訪問Samba服務報錯
此時訪問Samba服務是報錯的，如果讀者已經看完Apache(httpd)服務程序的章節，應該還記得防火牆和SELinux規則吧。
第5步:清空防火牆規則鏈：
Windows訪問Samba主機提示報錯，我們懷疑是Iptables阻止了訪問操作，於是執行：
[root@linuxprobe ~]# Iptables -F
[root@linuxprobe ~]# service iptables save

因為Windows系統的緩存關系，可能需要先重啟下Windows主機再嘗試訪問Samba共享。

Windows系統被要求驗證帳戶口令
那麼這個問題就是出在Iptables防火牆的默認規則中了，所以請對SELinux多一點耐心，不要直接關閉SELinux。
第6步:創建SMB服務獨立的帳號。
現在Windows系統要求先驗證後才能訪問共享，而SMB服務配置文件中密碼資料庫後台類型為"tdbsam"，所以這個帳戶和口令是Samba服務的獨立帳號信息，我們需要使用pdbedit命令來創建SMB服務的用戶資料庫。
pdbedit命令用於管理SMB服務的帳戶信息資料庫，格式為：「pdbedit [選項] 帳戶」。

參數 作用
-a 用戶名 建立Samba用戶
-x 用戶名 刪除Samba用戶
-L 列出用戶列表
-Lv 列出用戶詳細信息的列表
創建系統用戶：
[root@linuxprobe ~]# useradd smbuser

將此系統用戶提升為SMB用戶：
[root@linuxprobe ~]# pdbedit -a -u smbuser
new password:設置SMB服務獨立的密碼
retype new password:
Unix username: smbuser
NT username:
Account Flags: [U ]
User SID: S-1-5-21-4146456071-3435711857-2069708454-1000
Primary Group SID: S-1-5-21-4146456071-3435711857-2069708454-513
Full Name:
Home Directory: \\linuxprobe\smbuser
HomeDir Drive:
Logon Script:
Profile Path: \\linuxprobe\smbuser\profile
Domain: LINUXPROBE
Account desc:
Workstations:
Munged dial:
Logon time: 0
Logoff time: Wed, 06 Feb 2036 23:06:39 CST
Kickoff time: Wed, 06 Feb 2036 23:06:39 CST
Password last set: Sat, 11 Jul 2015 18:27:04 CST
Password can change: Sat, 11 Jul 2015 18:27:04 CST
Password must change: never
Last bad password : 0
Bad password count : 0
Logon hours :

第7步:使用Windows主機驗證共享結果：
請您按照下面的幻燈片逐步操作，可點擊圖片兩側箭頭或下方小圓點「○」切換步驟。

Windows驗證SMB服務口令

Windows成功訪問SMB服務

Windows進入共享目錄失敗
1
2
3
<
>

第8步：允許SELinux規則
使用Windows主機訪問Samba共享果然可以使用smbuser用戶登入，但對於共享文件這么重要的事情，SELinux一定會強制管理，剛剛沒有妥當的配置好SELinux，現在果然又報錯了。
將共享目錄的所有者和所有組設置為smbuser用戶：
[root@linuxprobe ~]# chown -Rf smbuser:smbuser /database

允許SELinux對於SMB用戶共享家目錄的布爾值：
[root@linuxprobe ~]# setsebool -P samba_enable_home_dirs on

將共享目錄的SELinux安全上下文設置妥當：
[root@linuxprobe ~]# semanage fcontext -a -t samba_share_t /database

使新的安全上下文立即生效：
[root@linuxprobe ~]# restorecon -Rv /database/

第9步：使用Windows主機驗證共享結果
我們配置好Samba服務後又陸續的調整好了Iptables防火牆與SELinux安全規則，現在終於可以正常的使用共享了。

使用SMB服務並創建文件
第10步：使用Linux主機驗證共享結果
剛剛好像讓讀者產生了一些小誤解，Samba服務程序並不僅僅是能夠實現Linux與Windows系統間的文件共享，還可以實現Linux系統之間的文件共享哦，先動手配置下客戶端主機的IP地址吧：
主機名稱 操作系統 IP地址
Samba共享伺服器 紅帽RHEL7操作系統 192.168.10.10
客戶端 紅帽RHEL7操作系統 192.168.10.20
客戶端 微軟Windows7操作系統 192.168.10.30
在客戶端安裝cifs-utils軟體包：
[root@linuxprobe ~]# yum install -y cifs-utils
Loaded plugins: langpacks, proct-id, subscription-manager
………………省略部分安裝過程………………
Installing:
cifs-utils x86_64 6.2-6.el7 rhel7 83 k
………………省略部分安裝過程………………
Complete!

創建掛載目錄：
[root@linuxprobe ~]# mkdir /database

在root家目錄創建認證文件(依次為SMB用戶名、SMB用戶密碼、SMB共享域)：
[root@linuxprobe ~]# vim auth.smb
username=smbuser
password=redhat
domain=MYGROUP

此文件太重要了，許可權應該給小一些：
[root@linuxprobe ~]# chmod -Rf 600 auth.smb

配置其掛載信息（內容依次為遠程共享信息、本地掛載目錄、文件系統類型、認證文件以及開機自檢選項）：
[root@linuxprobe ~]# vim /etc/fstab
//192.168.10.10/database /database cifs credentials=/root/auth.smb 0 0

使用mount命令的-a參數掛載所有在fstab文件中定義的文件信息：
[root@linuxprobe ~]# mount -a

成功掛載Samba的共享目錄（能夠看到共享文件了）：
[root@linuxprobe ~]# cat /database/Memo.txt
i can edit it .

http://www.linuxprobe.com/chapter-12.html這里可以看下這圖文教程……

㈡ 電腦服務和埠問題，謝謝！

埠分為3大類

1） 公認埠（Well Known Ports）：從0到1023，它們緊密綁定於一些服務。通常 這些埠的通訊明確表明了某種服 務的協議。例如：80埠實際上總是h++p通訊。

2） 注冊埠（Registered Ports）：從1024到49151。它們鬆散地綁定於一些服 務。也就是說有許多服務綁定於這些埠，這些埠同樣用於許多其它目的。例如： 許多系統處理動態埠從1024左右開始。

3） 動態和/或私有埠（Dynamic and/or Private Ports）：從49152到65535。 理論上，不應為服務分配這些埠。實際上，機器通常從1024起分配動態埠。但也 有例外：SUN的RPC埠從32768開始。
本節講述通常TCP/UDP埠掃描在防火牆記錄中的信息。

記住：並不存在所謂 ICMP埠。如果你對解讀ICMP數據感興趣，請參看本文的其它部分。

0 通常用於分析* 作系統。這一方*能夠工作是因為在一些系統中「0」是無效埠，當你試 圖使用一 種通常的閉合埠連接它時將產生不同的結果。一種典型的掃描：使用IP地址為 0.0.0.0，設置ACK位並在乙太網層廣播。

1 tcpmux這顯示有人在尋找SGIIrix機 器。Irix是實現tcpmux的主要提供者，預設情況下tcpmux在這種系統中被打開。Iris 機器在發布時含有幾個預設的無密碼的帳戶，如lp,guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox,
和4Dgifts。許多管理員安裝後忘記刪除這些帳戶。因此Hacker們在Internet上搜索 tcpmux 並利用這些帳戶。

7Echo你能看到許多人們搜索Fraggle放大器時，發送到x.x.x.0和x.x.x.255的信 息。常見的一種DoS攻擊是echo循環（echo-loop），攻擊者偽造從一個機器發送到另 一個UDP數據包，而兩個機器分別以它們最快的方式回應這些數據包。（參見 Chargen） 另一種東西是由DoubleClick在詞埠建立的TCP連接。有一種產品叫做 Resonate Global Dispatch」，它與DNS的這一埠連接以確定最近的路 由。Harvest/squid cache將從3130埠發送UDPecho：「如果將cache的 source_ping on選項打開，它將對原始主機的UDP echo埠回應一個HIT reply。」這將會產生許多這類數據包。

11 sysstat這是一種UNIX服務，它會列出機器上所有正在運行的進程以及是什麼啟動 了這些進程。這為入侵者提供了許多信息而威脅機器的安全，如暴露已知某些弱點或 帳戶的程序。這與UNIX系統中「ps」命令的結果相似再說一遍：ICMP沒有埠，ICMP port 11通常是ICMPtype=1119 chargen 這是一種僅僅發送字元的服務。UDP版本將 會在收到UDP包後回應含有垃圾字元的包。TCP連
接時，會發送含有垃圾字元的數據流知道連接關閉。Hacker利用IP欺騙可以發動DoS 攻擊偽造兩 個chargen伺服器之間的UDP由於伺服器企圖回應兩個伺服器之間的無限 的往返數據通訊一個chargen和echo將導致伺服器過載。同樣fraggle DoS攻擊向目標 地址的這個埠廣播一個帶有偽造受害者IP的數據包，受害者為了回應這些數據而過 載。
21 ftp最常見的攻擊者用於尋找打開「anonymous」的ftp伺服器的方*。這些伺服器 帶有可讀寫的目錄。Hackers或tackers利用這些伺服器作為傳送warez (私有程序) 和pr0n(故意拼錯詞而避免被搜索引擎分類)的節點。

22 sshPcAnywhere建立TCP和這一埠的連接可能是為了尋找ssh。這一服務有許多弱 點。如果配置成特定的模式，許多使用RSAREF庫的版本有不少漏洞。（建議在其它端 口運行ssh）還應該注意的是ssh工具包帶有一個稱為ake-ssh-known-hosts的程序。 它會掃描整個域的ssh主機。你有時會被使用這一程序的人無意中掃描到。UDP（而不 是TCP）與另一端的5632埠相連意味著存在搜索pcAnywhere的掃描。5632 （十六進 制的0x1600）位交換後是0x0016（使進制的22）。

23 Telnet入侵者在搜索遠程登陸UNIX的服務。大多數情況下入侵者掃描這一埠是 為了找到機器運行的*作系統。此外使用其它技術，入侵者會找到密碼。

25 smtp攻擊者（spammer）尋找SMTP伺服器是為了傳遞他們的spam。入侵者的帳戶總 被關閉，他們需要撥號連接到高帶寬的e-mail伺服器上，將簡單的信息傳遞到不同的 地址。SMTP伺服器（尤其是sendmail）是進入系統的最常用方*之一，因為它們必須 完整的暴露於Internet且郵件的路由是復雜的（暴露+復雜=弱點）。
53 DNSHacker或crackers可能是試圖進行區域傳遞（TCP），欺騙DNS（UDP）或隱藏 其它通訊。因此防火牆常常過濾或記錄53埠。 需要注意的是你常會看到53埠做為 UDP源埠。不穩定的防火牆通常允許這種通訊並假設這是對DNS查詢的回復。Hacker 常使用這種方*穿透防火牆。

67和68 Bootp和DHCPUDP上的Bootp/DHCP：通過DSL和cable-modem的防火牆常會看 見大量發送到廣播地址255.255.255.255的數據。這些機器在向DHCP伺服器請求一個 地址分配。Hacker常進入它們分配一個地址把自己作為局部路由器而發起大量的「中 間人」（man-in-middle）攻擊。客戶端向68埠（bootps）廣播請求配置，伺服器 向67埠（bootpc）廣播回應請求。這種回應使用廣播是因為客戶端還不知道可以發 送的IP地址。69 TFTP(UDP) 許多伺服器與bootp一起提供這項服務，便於從系統下載 啟動代碼。但是它們常常錯誤配置而從系統提供任何文件，如密碼文件。它們也可用 於向系統寫入文件

79 finger Hacker用於獲得用戶信息，查詢*作系統，探測已知的緩沖區溢出錯誤， 回應從自己機器到其它機器finger掃描。

98 linuxconf 這個程序提供linuxboxen的簡單管理。通過整合的h++p伺服器在98端 口提供基於Web界面的服務。它已發現有許多安全問題。一些版本setuidroot，信任 區域網，在/tmp下建立Internet可訪問的文件，LANG環境變數有緩沖區溢出。 此外 因為它包含整合的伺服器，許多典型的h++p漏洞可
能存在（緩沖區溢出，歷遍目錄等）109 POP2並不象POP3那樣有名，但許多伺服器同 時提供兩種服務（向後兼容）。在同一個伺服器上POP3的漏洞在POP2中同樣存在。
110 POP3用於客戶端訪問伺服器端的郵件服務。POP3服務有許多公認的弱點。關於用 戶名和密碼交換緩沖區溢出的弱點至少有20個（這意味著Hacker可以在真正登陸前進 入系統）。成功登陸後還有其它緩沖區溢出錯誤。

111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND。訪問portmapper是 掃描系統查看允許哪些RPC服務的最早的一步。常 見RPC服務有：pc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者發現了允許的RPC服務將轉向提 供 服務的特定埠測試漏洞。記住一定要記錄線路中的
daemon, IDS, 或sniffer，你可以發現入侵者正使用什麼程序訪問以便發現到底發生 了什麼。

113 Ident auth .這是一個許多機器上運行的協議，用於鑒別TCP連接的用戶。使用 標準的這種服務可以獲得許多機器的信息（會被Hacker利用）。但是它可作為許多服 務的記錄器，尤其是FTP, POP, IMAP, SMTP和IRC等服務。通常如果有許多客戶通過 防火牆訪問這些服務，你將會看到許多這個埠的連接請求。記住，如果你阻斷這個 埠客戶端會感覺到在防火牆另一邊與e-mail伺服器的緩慢連接。許多防火牆支持在 TCP連接的阻斷過程中發回T，著將回停止這一緩慢的連接。

119 NNTP news新聞組傳輸協議，承載USENET通訊。當你鏈接到諸 如：news:p.security.firewalls/. 的地址時通常使用這個埠。這個埠的連接 企圖通常是人們在尋找USENET伺服器。多數ISP限制只有他們的客戶才能訪問他們的新 聞組伺服器。打開新聞組伺服器將允許發/讀任何人的帖子，訪問被限制的新聞組服務 器，匿名發帖或發送spam。
135 oc-serv MS RPC end-point mapper Microsoft在這個埠運行DCE RPC end- point mapper為它的DCOM服務。這與UNIX 111埠的功能很相似。使用DCOM和/或 RPC的服務利用 機器上的end-point mapper注冊它們的位置。遠
端客戶連接到機器時，它們查詢end-point mapper找到服務的位置。同樣Hacker掃描 機器的這個埠是為了找到諸如：這個機器上運 行Exchange Server嗎？是什麼版 本？ 這個埠除了被用來查詢服務（如使用epmp）還可以被用於直接攻擊。有一些 DoS攻 擊直接針對這個埠。
137 NetBIOS name service nbtstat (UDP)這是防火牆管理員最常見的信息，請仔 細閱讀文章後面的NetBIOS一節 139 NetBIOS File and Print Sharing
通過這個埠進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用於Windows「文件 和列印機共享」和SAMBA。在Internet上共享自己的硬碟是可能是最常見的問題。 大 量針對這一埠始於1999，後來逐漸變少。2000年又有回升。一些VBS（IE5 VisualBasicScripting）開始將它們自己拷貝到這個埠，試圖在這個埠繁殖。

143 IMAP和上面POP3的安全問題一樣，許多IMAP伺服器有緩沖區溢出漏洞運行登陸過 程中進入。記住：一種Linux蠕蟲（admw0rm）會通過這個埠繁殖，因此許多這個端 口的掃描來自不知情的已被感染的用戶。當RadHat在他們的Linux發布版本中默認允 許IMAP後，這些漏洞變得流行起來。Morris蠕蟲以後這還是第一次廣泛傳播的蠕蟲。 這一埠還被用於IMAP2，但並不流行。 已有一些報道發現有些0到143埠的攻擊源 於腳本。

161 SNMP(UDP)入侵者常探測的埠。SNMP允許遠程管理設備。所有配置和運行信息 都儲存在資料庫中，通過SNMP客獲得這些信息。許多管理員錯誤配置將它們暴露於 Internet。Crackers將試圖使用預設的密碼「public」「private」訪問系統。他們 可能會試驗所有可能的組合。 SNMP包可能會被錯誤的指向你的網路。Windows機器常 會因為錯誤配置將HP JetDirect rmote management軟體使用SNMP。HP OBJECT IDENTIFIER將收到SNMP包。新版的Win98使用SNMP解析域名，你會看見這種包在子網 內廣播（cable modem, DSL）查詢sysName和其它信
息。

162 SNMP trap 可能是由於錯誤配置

177 xdmcp 許多Hacker通過它訪問X-Windows控制台，它同時需要打開6000埠。
513 rwho 可能是從使用cable modem或DSL登陸到的子網中的UNIX機器發出的廣播。 這些人為Hacker進入他們的系統提供了很有趣的信息

553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN，你將會看到這個埠 的廣播。CORBA是一種面向對象的RPC（remote procere call）系統。Hacker會利 用這些信息進入系統。 600 Pcserver backdoor 請查看1524埠一些玩script的孩 子認為他們通過修改ingreslock和pcserver文件已經完全攻破了系統-- Alan J. Rosenthal.

635 mountd Linux的mountd Bug。這是人們掃描的一個流行的Bug。大多數對這個端 口的掃描是基於UDP的，但基於TCP 的mountd有所增加（mountd同時運行於兩個端 口）。記住，mountd可運行於任何埠（到底在哪個埠，需要在埠111做portmap 查詢），只是Linux默認為635埠，就象NFS通常運行於2049
1024 許多人問這個 埠是干什麼的。它是動態埠的開始。許多程序並不在乎用哪個埠連接網路，它 們請求*作系統為它們分配「下一個閑置埠」。基於這一點分配從埠1024開始。 這意味著第一個向系統請求分配動態埠的程序將被分配埠1024。為了驗證這一 點，你可以重啟機器，打開Telnet，再打開一個窗口運行「natstat -a」，你將會看 到Telnet被分配1024埠。請求的程序越多，動態埠也越多。*作系統分配的埠 將逐漸變大。再來一遍，當你瀏覽Web頁時用「netstat」查看，每個Web頁需要一個 新埠。 ?ersion 0.4.1, June 20, 2000 h++p://www.robertgraham.com/ pubs/firewall-seen.html Copyright 1998-2000 by Robert Graham
(mailto:[email protected].
All rights reserved. This document may only be reproced (whole orin part) for non-commercial purposes. All reproctions must
contain this right notice and must not be altered, except by
permission of the author.

1025 參見1024

1026參見1024
1080 SOCKS 這一協議以管道方式穿過防火牆，允許防火牆後面的許多人通過一個IP 地址訪問Internet。理論上它應該只
允許內部的通信向外達到Internet。但是由於錯誤的配置，它會允許Hacker/Cracker 的位於防火牆外部的攻
擊穿過防火牆。或者簡單地回應位於Internet上的計算機，從而掩飾他們對你的直接 攻擊。
WinGate是一種常見的Windows個人防火牆，常會發生上述的錯誤配置。在加入IRC聊 天室時常會看到這種情況。

1114 SQL 系統本身很少掃描這個埠，但常常是sscan腳本的一部分。

1243 Sub-7木馬（TCP）參見Subseven部分。

1524 ingreslock後門 許多攻擊腳本將安裝一個後門Sh*ll 於這個埠（尤其是那些 針對Sun系統中Sendmail和RPC服務漏洞的腳本，如statd,ttdbserver和cmsd）。如 果你剛剛安裝了你的防火牆就看到在這個埠上的連接企圖，很可能是上述原因。你 可以試試Telnet到你的機器上的這個埠，看看它是否會給你一個Sh*ll 。連接到 600/pcserver也存在這個問題。
2049 NFS NFS程序常運行於這個埠。通常需要訪問portmapper查詢這個服務運行於 哪個埠，但是大部分情況是安裝後NFS杏謖飧齠絲冢?acker/Cracker因而可以閉開 portmapper直接測試這個埠。

3128 squid 這是Squid h++p代理伺服器的默認埠。攻擊者掃描這個埠是為了搜 尋一個代理伺服器而匿名訪問Internet。你也會看到搜索其它代理伺服器的埠：
000/8001/8080/8888。掃描這一埠的另一原因是：用戶正在進入聊天室。其它用戶 （或伺服器本身）也會檢驗這個埠以確定用戶的機器是否支持代理。請查看5.3節。

5632 pcAnywere你會看到很多這個埠的掃描，這依賴於你所在的位置。當用戶打開 pcAnywere時，它會自動掃描區域網C類網以尋找可能得代理（譯者：指agent而不是 proxy）。Hacker/cracker也會尋找開放這種服務的機器，所以應該查看這種掃描的 源地址。一些搜尋pcAnywere的掃描常包含埠22的UDP數據包。參見撥號掃描。

6776 Sub-7 artifact 這個埠是從Sub-7主埠分離出來的用於傳送數據的埠。 例如當控制者通過電話線控制另一台機器，而被控機器掛斷時你將會看到這種情況。 因此當另一人以此IP撥入時，他們將會看到持續的，在這個埠的連接企圖。（譯 者：即看到防火牆報告這一埠的連接企圖時，並不表示你已被Sub-7控制。）
6970 RealAudio客戶將從伺服器的6970-7170的UDP埠接收音頻數據流。這是由TCP7070 埠外向控制連接設置13223 PowWow PowWow 是Tribal Voice的聊天程序。它允許 用戶在此埠打開私人聊天的接。這一程序對於建立連接非常具有「進攻性」。它 會「駐扎」在這一TCP埠等待回應。這造成類似心跳間隔的連接企圖。如果你是一個 撥號用戶，從另一個聊天者手中「繼承」了IP地址這種情況就會發生：好象很多不同 的人在測試這一埠。這一協議使用「OPNG」作為其連接企圖的前四個位元組。

17027 Concent這是一個外向連接。這是由於公司內部有人安裝了帶有Concent "adbot" 的共享軟體。
Concent "adbot"是為共享軟體顯示廣告服務的。使用這種服務的一種流行的軟體 是Pkware。有人試驗：阻斷這一外向連接不會有任何問題，但是封掉IP地址本身將會 導致adbots持續在每秒內試圖連接多次而導致連接過載：
機器會不斷試圖解析DNS名—ads.concent.com，即IP地址216.33.210.40 ；
216.33.199.77 ；216.33.199.80 ；216.33.199.81；216.33.210.41。（譯者：不 知NetAnts使用的Radiate是否也有這種現象）

27374 Sub-7木馬(TCP) 參見Subseven部分。

30100 NetSphere木馬(TCP) 通常這一埠的掃描是為了尋找中了NetSphere木馬。

31337 Back Orifice 「eliteHacker中31337讀做「elite」/ei』li:t/（譯者：* 語，譯為中堅力量，精華。即 3=E, 1=L, 7=T）。因此許多後門程序運行於這一端 口。其中最有名的是Back Orifice。曾經一段時間內這是Internet上最常見的掃描。 現在它的流行越來越少，其它的 木馬程序越來越流行。

31789 Hack-a-tack 這一埠的UDP通訊通常是由於"Hack-a-tack"遠程訪問木馬 （RAT,Remote Access Trojan）。這種木馬包含內置的31790埠掃描器，因此任何 31789埠到317890埠的連 接意味著已經有這種入侵。（31789埠是控制連 接，317890埠是文件傳輸連接）

32770~32900 RPC服務 Sun Solaris的RPC服務在這一范圍內。詳細的說：早期版本 的Solaris（2.5.1之前）將 portmapper置於這一范圍內，即使低埠被防火牆封閉 仍然允許Hacker/cracker訪問這一埠。 掃描這一范圍內的埠不是為了尋找 portmapper，就是為了尋找可被攻擊的已知的RPC服務。

33434~33600 traceroute 如果你看到這一埠范圍內的UDP數據包（且只在此范圍 之內）則可能是由於traceroute。參見traceroute分。

41508 Inoculan早期版本的Inoculan會在子網內產生大量的UDP通訊用於識別彼此。 參見
h++p://www.circlemud.org/~jelson/software/udpsend.html
h++p://www.ccd.bnl.gov/nss/tips/inoculan/index.html埠1~1024是保留端 口，所以它們幾乎不會是源埠。但有一些例外，例如來自NAT機器的連接。 常看見 緊接著1024的埠，它們是系統分配給那些並不在乎使用哪個埠連接的應用程序 的「動態埠」。 Server Client 服務描述
1-5/tcp 動態 FTP 1-5埠意味著sscan腳本
20/tcp 動態 FTP FTP伺服器傳送文件的埠
53 動態 FTP DNS從這個埠發送UDP回應。你也可能看見源/目標埠的TCP連 接。
123 動態 S/NTP 簡單網路時間協議（S/NTP）伺服器運行的埠。它們也會發送 到這個埠的廣播。
27910~27961/udp 動態 Quake Quake或Quake引擎驅動的游戲在這一埠運行其 伺服器。因此來自這一埠范圍的UDP包或發送至這一埠范圍的UDP包通常是游戲。

61000以上 動態 FTP 61000以上的埠可能來自Linux NAT伺服器
埠大全（中文）
1 tcpmux TCP Port Service Multiplexer 傳輸控制協議埠服務多路開關選擇器
2 compressnet Management Utility compressnet 管理實用程序
3 compressnet Compression Process 壓縮進程
5 rje Remote Job Entry 遠程作業登錄
7 echo Echo 回顯
9 discard Discard 丟棄
11 systat Active Users 在線用戶
13 daytime Daytime 時間
17 qotd Quote of the Day 每日引用
18 msp Message Send Protocol 消息發送協議
19 chargen Character Generator 字元發生器
20 ftp-data File Transfer [Default Data] 文件傳輸協議(默認數據口)
21 ftp File Transfer [Control] 文件傳輸協議(控制)
22 ssh SSH Remote Login Protocol SSH遠程登錄協議
23 telnet Telnet 終端模擬協議
24 ? any private mail system 預留給個人用郵件系統
25 smtp Simple Mail Transfer 簡單郵件發送協議
27 nsw-fe NSW User System FE NSW 用戶系統現場工程師
29 msg-icp MSG ICP MSG ICP
31 msg-auth MSG Authentication MSG驗證
33 dsp Display Support Protocol 顯示支持協議
35 ? any private printer server 預留給個人列印機服務
37 time Time 時間
38 rap Route Access Protocol 路由訪問協議
39 rlp Resource Location Protocol 資源定位協議
41 graphics Graphics 圖形
42 nameserver WINS Host Name Server WINS 主機名服務
43 nicname Who Is "綽號" who is服務
44 mpm-flags MPM FLAGS Protocol MPM(消息處理模塊)標志協議
45 mpm Message Processing Mole [recv] 消息處理模塊
46 mpm-snd MPM [default send] 消息處理模塊(默認發送口)
47 ni-ftp NI FTP &

㈢ FTP伺服器的賬號如何與公司的AD域賬號關聯

首選 FTP伺服器的軟絕賀件支持LDAP或AD；
其次 FTP伺服器可與高舉LDAP或AD可連通並做相關配置；
請提供FTP伺服器所使用的軟體戚宏碧先--更多請關註：我愛運維[5Iops]

㈣ Smbpasswd與LDAP 如何同步

請教各位學長可否枝岩給個研究的方向。
小弟這陣子一直在研究LDAP帳號整合，目前完成的有Postfix+LDAP認證，Apache+LDAP，FTP+LDAP，現在轉向Samba研究但碰到smbpasswd 與LDAP無法同步問題。
小弟試著在System-auth 加入pam_smbpass.so以氏野及在殲搭喊smb.conf加入ldap password sync = yes 或是Only，查詢過所有網路資料以及Samba How To但是研究方向是乎有誤....。
pam_smbpass.so小弟測試此參數應該是Unix帳號與Samba 同步變更而ldap password sync = yes 測試的結果應該是原本smbpasswd已經建好在變更密碼下可同步將LDAP也變更。
小弟一直苦惱希望能只要在LDAP新增一個帳號一個群組，samba的smbpasswd以及安裝samba主機的系統帳號統一讀取LDAP的新增帳號不必再去鍵入smbpasswd -a xxx這樣就可以達到在一機新增密碼多機使用的方便。
目前只好向學長提出求助希望學長能夠提供一個研究方向....感謝了！記錄

㈤ 請問高手

埠概念
在網路技術中，埠（Port）大致有兩種意思：一是物理意義上的埠，比如，ADSL Modem、集線器、交換機、路由器用於連接其他網路設備的介面，如RJ-45埠、SC埠等等。二是邏輯意義上的埠，一般是指TCP/IP協議中的埠，埠號的范圍從0到65535，比如用伏盯塵於瀏覽網頁服務的80埠，用於FTP服務的21埠等等。我們這里將要介紹的就是邏輯意義上的埠。

查看埠
在Windows 2000/XP/Server 2003中要查看埠，可以使用Netstat命令：
依次點擊「開始→運行」，鍵入「cmd」並回車，打開命令提示符窗口。在命令提示符狀態下鍵入「netstat -a -n」，按下回車鍵後就可以看到以數字形式顯示的TCP和UDP連接的埠號及狀態。

關閉/開啟埠
在介紹各種埠的作用前，這里先介紹一下在Windows中如何關閉/打開埠，因為默認的情況下，有很多不安全的或沒有什麼用的埠是開啟的，比如Telnet服務的23埠、FTP服務的21埠、SMTP服務的25埠、RPC服務的135埠等等。為了保證系統的安全性，我們可以通過下面的方法來關閉/開啟埠。

關閉埠
比如在Windows 2000/XP中關閉SMTP服務的25埠，可以這樣做：首先打開「控制面板」，雙擊「管理工具」，再雙擊「服務」。接著在打開的服務窗口中找到並雙擊「Simple Mail Transfer Protocol （SMTP）」服務，單擊「停止」按鈕來停止該服務，然後在「啟動類型」中選擇「已禁用」，最後單擊「確定」按鈕即可。這樣，關閉了SMTP服務就相當於關閉了對應的埠。

開啟埠
如果要開啟該埠只要先在「啟動類型」選擇「自動」，單擊「確定」按鈕，再打開該服務，在「服務狀態」中單擊「啟動」按鈕即可啟用該埠，最後，單擊「確定」按鈕即可。
提示：在Windows 98中沒有「服務」選項，你可以使用防火牆的規則設置功能來關閉/開啟埠。
埠分類

邏輯意義上的埠有多種分類標准，下面將介紹兩種常見的分類：

1. 按埠號分布劃分

（1）知名埠（Well-Known Ports）
知名埠即眾所周知的埠號，范圍從0到1023，這些埠號一般固定分配給一些服務。比如21埠分配給FTP服務，25埠分配給SMTP（簡單郵件傳輸協議）服務，80埠分配給HTTP服務則滾，135埠分配給RPC（遠程過程調用）服務等等。

（2）動態埠（Dynamic Ports）
動態埠的范圍從1024到65535，這些埠號一般不固定分配給某個服務，也就是說許多服務都可以使用這些埠。只要運行的程序向系統提出訪問網路的申請，那麼系統就可以從這些埠號中分配一個供該程序使用。比如1024埠就是分配給第一個向系統發出申請的程序。在關閉程序進程後，就會釋放所佔用的埠號。
不過，動態埠也常常被病毒木馬程序所利用，如冰河默認連接埠是7626、WAY 2.4是8011、Netspy 3.0是7306、YAI病毒是1024等等。

2. 按協議類型劃分
按協議類型劃分，可以分為TCP、UDP、IP和ICMP（Internet控制消息協議）等埠。下面主要介紹TCP和UDP埠：

（1）TCP埠
TCP埠，即傳輸控制協議埠，需要在缺禪客戶端和伺服器之間建立連接，這樣可以提供可靠的數據傳輸。常見的包括FTP服務的21埠，Telnet服務的23埠，SMTP服務的25埠，以及HTTP服務的80埠等等。

（2）UDP埠
UDP埠，即用戶數據包協議埠，無需在客戶端和伺服器之間建立連接，安全性得不到保障。常見的有DNS服務的53埠，SNMP（簡單網路管理協議）服務的161埠，QQ使用的8000和4000埠等等。
常見網路埠

網路基礎知識!埠對照

埠：0
服務：Reserved
說明：通常用於分析操作系統。這一方法能夠工作是因為在一些系統中「0」是無效埠，當你試圖使用通常的閉合埠連接它時將產生不同的結果。一種典型的掃描，使用IP地址為0.0.0.0，設置ACK位並在乙太網層廣播。
埠：1
服務：tcpmux
說明：這顯示有人在尋找SGI Irix機器。Irix是實現tcpmux的主要提供者，默認情況下tcpmux在這種系統中被打開。Irix機器在發布是含有幾個默認的無密碼的帳戶，如：IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。許多管理員在安裝後忘記刪除這些帳戶。因此HACKER在INTERNET上搜索tcpmux並利用這些帳戶。

埠：7
服務：Echo
說明：能看到許多人搜索Fraggle放大器時，發送到X.X.X.0和X.X.X.255的信息。

埠：19
服務：Character Generator
說明：這是一種僅僅發送字元的服務。UDP版本將會在收到UDP包後回應含有垃圾字元的包。TCP連接時會發送含有垃圾字元的數據流直到連接關閉。HACKER利用IP欺騙可以發動DoS攻擊。偽造兩個chargen伺服器之間的UDP包。同樣Fraggle DoS攻擊向目標地址的這個埠廣播一個帶有偽造受害者IP的數據包，受害者為了回應這些數據而過載。

埠：21
服務：FTP
說明：FTP伺服器所開放的埠，用於上傳、下載。最常見的攻擊者用於尋找打開anonymous的FTP伺服器的方法。這些伺服器帶有可讀寫的目錄。木馬Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開放的埠。

埠：22
服務：Ssh
說明：PcAnywhere建立的TCP和這一埠的連接可能是為了尋找ssh。這一服務有許多弱點，如果配置成特定的模式，許多使用RSAREF庫的版本就會有不少的漏洞存在。

埠：23
服務：Telnet
說明：遠程登錄，入侵者在搜索遠程登錄UNIX的服務。大多數情況下掃描這一埠是為了找到機器運行的操作系統。還有使用其他技術，入侵者也會找到密碼。木馬Tiny Telnet Server就開放這個埠。

埠：25
服務：SMTP
說明：SMTP伺服器所開放的埠，用於發送郵件。入侵者尋找SMTP伺服器是為了傳遞他們的SPAM。入侵者的帳戶被關閉，他們需要連接到高帶寬的E-MAIL伺服器上，將簡單的信息傳遞到不同的地址。木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個埠。

埠：31
服務：MSG Authentication
說明：木馬Master Paradise、Hackers Paradise開放此埠。

埠：42
服務：WINS Replication
說明：WINS復制

埠：53
服務：Domain Name Server（DNS）
說明：DNS伺服器所開放的埠，入侵者可能是試圖進行區域傳遞（TCP），欺騙DNS（UDP）或隱藏其他的通信。因此防火牆常常過濾或記錄此埠。

埠：67
服務：Bootstrap Protocol Server
說明：通過DSL和Cable modem的防火牆常會看見大量發送到廣播地址255.255.255.255的數據。這些機器在向DHCP伺服器請求一個地址。HACKER常進入它們，分配一個地址把自己作為局部路由器而發起大量中間人（man-in-middle）攻擊。客戶端向68埠廣播請求配置，伺服器向67埠廣播回應請求。這種回應使用廣播是因為客戶端還不知道可以發送的IP地址。

埠：69
服務：Trival File Transfer
說明：許多伺服器與bootp一起提供這項服務，便於從系統下載啟動代碼。但是它們常常由於錯誤配置而使入侵者能從系統中竊取任何 文件。它們也可用於系統寫入文件。

埠：79
服務：Finger Server
說明：入侵者用於獲得用戶信息，查詢操作系統，探測已知的緩沖區溢出錯誤，回應從自己機器到其他機器Finger掃描。

埠：80
服務：HTTP
說明：用於網頁瀏覽。木馬Executor開放此埠。

埠：99
服務：Metagram Relay
說明：後門程序ncx99開放此埠。

埠：102
服務：Message transfer agent(MTA)-X.400 over TCP/IP
說明：消息傳輸代理。

埠：109
服務：Post Office Protocol -Version3
說明：POP3伺服器開放此埠，用於接收郵

件，客戶端訪問伺服器端的郵件服務。POP3服務有許多公認的弱點。關於用戶名和密碼交 換緩沖區溢出的弱點至少有20個，這意味著入侵者可以在真正登陸前進入系統。成功登陸後還有其他緩沖區溢出錯誤。

埠：110
服務：SUN公司的RPC服務所有埠
說明：常見RPC服務有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等

埠：113
服務：Authentication Service
說明：這是一個許多計算機上運行的協議，用於鑒別TCP連接的用戶。使用標準的這種服務可以獲得許多計算機的信息。但是它可作為許多服務的記錄器，尤其是FTP、POP、IMAP、SMTP和IRC等服務。通常如果有許多客戶通過防火牆訪問這些服務，將會看到許多這個埠的連接請求。記住，如果阻斷這個埠客戶端會感覺到在防火牆另一邊與E-MAIL伺服器的緩慢連接。許多防火牆支持TCP連接的阻斷過程中發回RST。這將會停止緩慢的連接。

埠：119
服務：Network News Transfer Protocol
說明：NEWS新聞組傳輸協議，承載USENET通信。這個埠的連接通常是人們在尋找USENET伺服器。多數ISP限制，只有他們的客戶才能訪問他們的新聞組伺服器。打開新聞組伺服器將允許發/讀任何人的帖子，訪問被限制的新聞組伺服器，匿名發帖或發送SPAM。

埠：135
服務：Location Service
說明：Microsoft在這個埠運行DCE RPC end-point mapper為它的DCOM服務。這與UNIX 111埠的功能很相似。使用DCOM和RPC的服務利用計算機上的end-point mapper注冊它們的位置。遠端客戶連接到計算機時，它們查找end-point mapper找到服務的位置。HACKER掃描計算機的這個埠是為了找到這個計算機上運行Exchange Server嗎？什麼版本？還有些DOS攻擊直接針對這個埠。

埠：137、138、139
服務：NETBIOS Name Service
說明：其中137、138是UDP埠，當通過網上鄰居傳輸文件時用這個埠。而139埠：通過這個埠進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用於windows文件和列印機共享和SAMBA。還有WINS Regisrtation也用它。

埠：143
服務：Interim Mail Access Protocol v2
說明：和POP3的安全問題一樣，許多IMAP伺服器存在有緩沖區溢出漏洞。記住：一種LINUX蠕蟲（admv0rm）會通過這個埠繁殖，因此許多這個埠的掃描來自不知情的已經被感染的用戶。當REDHAT在他們的LINUX發布版本中默認允許IMAP後，這些漏洞變的很流行。這一埠還被用於IMAP2，但並不流行。

埠：161
服務：SNMP
說明：SNMP允許遠程管理設備。所有配置和運行信息的儲存在資料庫中，通過SNMP可獲得這些信息。許多管理員的錯誤配置將被暴露在Internet。Cackers將試圖使用默認的密碼public、private訪問系統。他們可能會試驗所有可能的組合。SNMP包可能會被錯誤的指向用戶的網路。

埠：177
服務：X Display Manager Control Protocol
說明：許多入侵者通過它訪問X-windows操作台，它同時需要打開6000埠。

埠：389
服務：LDAP、ILS
說明：輕型目錄訪問協議和NetMeeting Internet Locator Server共用這一埠。

埠：443
服務：Https
說明：網頁瀏覽埠，能提供加密和通過安全埠傳輸的另一種HTTP。

埠：456
服務：[NULL]
說明：木馬HACKERS PARADISE開放此埠。

埠：513
服務：Login,remote login
說明：是從使用cable modem或DSL登陸到子網中的UNIX計算機發出的廣播。這些人為入侵者進入他們的系統提供了信息。

埠：544
服務：[NULL]
說明：kerberos kshell

埠：548
服務：Macintosh,File Services(AFP/IP)
說明：Macintosh,文件服務。

埠：553
服務：CORBA IIOP （UDP）
說明：使用cable modem、DSL或VLAN將會看到這個埠的廣播。CORBA是一種面向對象
的RPC系統。入侵者可以利用這些信息進入系統。

埠：555
服務：DSF
說明：木馬PhAse1.0、Stealth Spy、IniKiller開放此埠。

埠：568
服務：Membership DPA
說明：成員資格 DPA。

埠：569
服務：Membership MSN
說明：成員資格 MSN。

埠：635
服務：mountd
說明：Linux的mountd Bug。這是掃描的一個流行BUG。大多數對這個埠的掃描是基於UDP的，但是基於TCP的mountd有所增加（mountd同時運行於兩個埠）。記住mountd可運行於任何埠（到底是哪個埠，需要在埠111做portmap查詢），只是Linux默認埠是635，就像NFS通常運行於2049埠。

埠：636
服務：LDAP
說明：SSL（Secure Sockets layer）

埠：666
服務：Doom Id Software
說明：木馬Attack FTP、Satanz Backdoor開放此埠

埠：993
服務：IMAP
說明：SSL（Secure Sockets layer）

埠：1001、1011
服務：[NULL]
說明：木馬Silencer、WebEx開放1001埠。木馬Doly Trojan開放1011埠。

埠：1024
服務：Reserved
說明：它是動態埠的開始，許多程序並不在乎用哪個埠連接網路，它們請求系統為它們分配下一個閑置埠。基於這一點分配從埠1024開始。這就是說第一個向系統發出請求的會分配到1024埠。你可以重啟機器，打開Telnet，再打開一個窗口運行natstat -a 將會看到Telnet被分配1024埠。還有SQL session也用此埠和5000埠。

埠：1025、1033
服務：1025：network blackjack 1033：[NULL]
說明：木馬netspy開放這2個埠。

埠：1080
服務：SOCKS
說明：這一協議以通道方式穿過防火牆，允許防火牆後面的人通過一個IP地址訪問INTERNET。理論上它應該只允許內部的通信向外到達INTERNET。但是由於錯誤的配置，它會允許位於防火牆外部的攻擊穿過防火牆。WinGate常會發生這種錯誤，在加入IRC聊天室時常會看到這種情況。

埠：1170
服務：[NULL]
說明：木馬Streaming Audio Trojan、Psyber Stream Server、Voice開放此埠。

埠：1234、1243、6711、6776
服務：[NULL]
說明：木馬SubSeven2.0、Ultors Trojan開放1234、6776埠。木馬SubSeven1.0/1.9開放1243、6711、6776埠。

埠：1245
服務：[NULL]
說明：木馬Vodoo開放此埠。

埠：1433
服務：SQL
說明：Microsoft的SQL服務開放的埠。

埠：1492
服務：stone-design-1
說明：木馬FTP99CMP開放此埠。

埠：1500
服務：RPC client fixed port session queries
說明：RPC客戶固定埠會話查詢

埠：1503
服務：NetMeeting T.120
說明：NetMeeting T.120

埠：1524
服務：ingress
說明：許多攻擊腳本將安裝一個後門SHELL於這個埠，尤其是針對SUN系統中Sendmail和RPC服務漏洞的腳本。如果剛安裝了防火牆就看到在這個埠上的連接企圖，很可能是上述原因。可以試試Telnet到用戶的計算機上的這個埠，看看它是否會給你一個SHELL。連接到600/pcserver也存在這個問題。

㈥ 協議ldaps和ldap的區別

1. curl是libcurl這個庫支持的，wget是一個純改跡碰粹的命州困令行命令。

2. 2.curl支持更多的協議。curl supports FTP, FTPS, HTTP, HTTPS, SCP, SFTP, TFTP, TELNET, DICT, LDAP, LDAPS, FILE, POP3, IMAP, SMTP and RTSP at the time of this writing. Wget supports HTTP, HTTPS and FTP.

3. 3.curl 默認支持HTTP1.1（也支持1.0），而wget僅僅支持HTTP1.0規范。

4. 4.curl在指定要的鏈接時能核談夠支持URL的序列或集合，而wget則不能這樣;

5. 5.wget支持遞歸，而curl則沒有這個功能。（這是wget的一個主要好處，wget也是有優勢的）
   

㈦ 如何在Debian里用Pure-FTPd里創建一個匿名FTP

一、安裝：
apt-get install pure-ftp-common pure-ftpd

二、配置：
Pure-FTPd的配置比較怪異，它的配置不像其他FTP通過一個配置文件來實現，而是通過命令行+參數來啟動，據開發這是為了更好的性能和安全性，我實在想不通這能起到多大的作用，相反覺得增加了用戶的使用難度。Debian的開發人員為了降低難度，採用一種變通的配置方式，在/etc下建立一個pure-ftpd的目錄，底下還有conf、db、auth這三個目錄和一個pureftpd-alias-dir文件。

每一個配置選項將以一個文件的形式存在於/etc/pure-ftpd/conf之中，例如如果想配置AnonymousOnly=yes（只允許匿名用戶），則在/etc/pure-ftpd/conf中創建一個名為AnonymousOnly的文件，裡面只有一行內容：yes。

cat /etc/pure-ftpd/conf/芹告AnonymousOnly
yes

了解了基本的配置規則後下面開始配置我們的匿名FTP伺服器，因為是匿名的，所以安全性就需要考慮得多一些。
1、創建ftp帳號和組
groupadd ftp
useradd -s /bin/false -m -c Anonymous ftp -d /home/ftp ftp ftp

2、限制匿名用戶許可權
cd /etc/pure-ftpd/conf
echo yes > AnonymousOnly
echo no > NoAnonymous
# 只允許匿名用戶
echo no > AnonymousCanCreateDirs
# 不允許匿名用戶創建目錄
echo yes > AnonymousCantUpload
# 不允許匿名用戶上傳
echo no > AllowAnonymousFXP
# 不允許匿名FXP
echo yes > ChrootEveryone
# 將則滲匿名用戶限定到ftp的家目錄，也就是/home/ftp，這樣可以提高安全性

3、綁嫌盯明定IP地址和埠
Pure-FTPd默認下會監聽所有的網卡地址，默認的埠是21
我們只需要讓它監聽本機的eth0就OK了，eth0連接的是企業的內網段，假設為192.168.100.1/24
echo yes > IPV4Only
echo 192.168.100.1,21 > Bind

4、限速
匿名FTP意味著什麼人都可以登陸我們的FTP，那就不能提供太高的下載速率，否則容易引起性能問題，甚至DDOS。
echo 2000 > AnonymousBandwidth
# 只允許所有匿名用戶使用2000 KB/s的帶寬

5、限用戶進程
同時一個IP只允許開啟兩個登陸進程
echo 2 > MaxClientsPerIP

6、配置匿名FTP的文件夾
將共享文件夾拷貝到/home/ftp，例如software
cp -r software /home/ftp
chown -R ftp:ftp /home/ftp/software
chmod -R 550 /home/ftp/software
這里需要將許可權設為550，如果設為只讀的話用戶無法進入software這個目錄中。

7、重啟伺服器
/etc/init.d/pure-ftpd restart
大功告成，一個簡單、高效的匿名FTP伺服器就這樣安裝成功了。下一篇將講如何將Pure-FTPd和LDAP進行整合。

㈧ windows98配置如何架設FTP

二、用Ｓｅｒｖ－Ｕ等第三方ＦＴＰ伺服器軟體架設
除ＩＩＳ外，還有很多ＦＴＰ伺服器軟體可以架設，如Ｗｕ－ＦＴＰ、ＰｒｏＦｔｐｄ、Ｓｅｒｖ－Ｕ等，但大部分只適用於Ｕｎｉｘ、Ｌｉｎｕｘ系統，如果使用Ｗｉｎｄｏｗｓ系統，強烈推薦使用Ｓｅｒｖ－Ｕ。Ｓｅｒｖ－Ｕ（下載地址：ｈｔｔｐ�／／ｗｗｗ．ｎｅｗｈｕａ．ｃｏｍ／ＦＴＰＳｅｒｖＵ．ｈｔｍ，含漢化包）是一種被廣泛運用的ＦＴＰ伺服器端軟體，支持Ｗｉｎｄｏｗｓ ３ｘ／９ｘ／Ｍｅ／ＮＴ／２０００等全Ｗｉｎｄｏｗｓ系列。芹此它安裝簡單，功能強大，可以用同一個ＩＰ設定多個ＦＴＰ伺服器、限定登錄用戶的許可權、登錄主目錄及空間大小、支持遠程登錄管理等，適合絕大部分個人自建ＦＴＰ的需要。

１．安裝
Ｓｅｒｖ－Ｕ的安裝比ＩＩＳ還簡單。先執行英文原版安裝文件，按提示一路「ＮＥＸＴ」即可。要注意的是，在選擇安裝目錄時，最好選擇安裝在一個非系統盤里，以免將來系統發生異常時還要重新進行賬號等的設置。然後執行漢化文件，選擇原版安裝目錄，一路「下一步」即可完成安裝。

２．設置
與ＩＩＳ不同，Ｓｅｒｖ－Ｕ在第一次運行時會以向導的方式一步一步地提示用戶進行設置，整個過程不超過五分鍾，非常人性化。為了方便說明，先假設我們要架設一個固定ＩＰ為２１８．１．１．１，埠為２１，根目錄絕對路徑為Ｇ�＼Ｆｔｐ，允許匿名訪問和擁有一個用戶名為ｄｙｓ、密碼為ｓｙｄ、嫌神迅管理賬戶名叫「ＭｙＦｔｐ」的公網ＦＴＰ伺服器。運行Ｓｅｒｖ－Ｕ，彈出向導窗口，依次設置如下選項：
１）「您的ＩＰ地址」：這里我們填入２１８．１．１．１，如果你是ＡＤＳＬ等方式撥號上網，擁有的是動態ＩＰ或者不知道本機ＩＰ，此處請留空。
２）「域名」：就是該ＦＴＰ站點的名稱，可以隨意取名，這里填入「ＭｙＦｔｐ」。
３）「匿名賬號」：瞎掘決定該ＦＴＰ站點是否允許匿名用戶訪問。選擇「是」。
４）「匿名主目錄」：設置匿名用戶登錄站點後所處的目錄位置。輸入「Ｇ�＼Ｆｔｐ」。
５）「鎖定於主目錄」：假設在「匿名主目錄」中設置匿名用戶登錄後所處的目錄位置為「Ｇ�＼Ｆｔｐ＼Ｇｕｅｓｔ」，那麼，選擇「是」後，當匿名用戶登錄ＦＴＰ後，就被鎖定在Ｇ�＼Ｆｔｐ＼Ｇｕｅｓｔ目錄下，只能查看Ｇｕｅｓｔ目錄里的內容，不能進入上級目錄「Ｆｔｐ」，同時該目錄在ＦＴＰ客戶端軟體中顯示為「＼」，如果未被鎖定，則會完整顯示為「Ｇ�＼Ｆｔｐ＼Ｇｕｅｓｔ」。這里選擇「是」。
６）「命名的賬號」：決定是否要創建有一定管理許可權的賬戶。這里選「是」。
７）「賬號名稱」：就是具有一定管理許可權的賬戶登錄名稱。填入「ｄｙｓ」。
８）「賬號密碼」：設置賬戶的登錄密碼。輸入「ｓｙｄ」。
９）「主目錄」：與「匿名主目錄」一樣，用來設置管理賬戶登錄後所處的目錄位置。輸入「Ｇ�＼Ｆｔｐ」。
１０）「鎖定於主目錄」：選擇「是」。
１１）「管理員許可權」：用來設置管理賬戶的管理許可權級別。這里選「無許可權」，後面再詳述。
設置完成，地址為：ｆｔｐ�／／２１８．１．１．１�２１的ＦＴＰ伺服器就算架設成功了。最後可用ＣｕｔｅＦＴＰ分別以匿名和ｄｙｓ的賬戶登錄驗證。
提示：以上這些設置並非最終設定，你還可以在Ｓｅｒｖ－Ｕ主界面中隨時修改。

３．用同一個ＩＰ架設多個ＦＴＰ伺服器
如果帶寬允許的話，你還可利用同一個ＩＰ輕松架設多個伺服器。在Ｓｅｒｖ－Ｕ中，將「本地伺服器」下「域」中的每個ＦＴＰ伺服器稱為「域」，剛才創建的「ＭｙＦｔｐ」伺服器就是一個名叫「ＭｙＦｔｐ」的域。要架設多個伺服器，實際上就是創建多個擁有不同埠的域而已。
右擊「域」，選「新建域」，在彈出的向導中參照「ＭｙＦｔｐ」進行設置，只是在埠處一定不要與已經創建的「域」的埠或被其他系統服務佔用的埠沖突即可。如果填入２２，則此伺服器的地址就是：ｆｔｐ�／／２１８．１．１．１�２２。依此而為，就可以架設多個ＦＴＰ伺服器了。

三、用動態ＩＰ域名解析軟體架設擁有固定域名的ＦＴＰ伺服器
在上面的介紹中，我們假設的是該伺服器擁有２１８．１．１．１的固定ＩＰ，而事實上，大部分想架設個人ＦＴＰ的用戶通常都是用ＡＤＳＬ等方式撥號上網。由於每次撥號上網後被分配到的ＩＰ地址都不相同，那這是否就意味著不能架設ＦＴＰ伺服器呢？

有兩個解決辦法：一是在剛才向導中的「您的ＩＰ地址」中留空，然後完成其它向導設置。進入Ｓｅｒｖ－Ｕ主界面，先點擊菜單欄上的「幫助→本機ＩＰ地址」，將本機ＩＰ地址復制，再通過其他途徑告知每個用戶。每撥號上網一次就重復此操作一次；二是到網上下載安裝一個動態ＩＰ域名解析軟體，如國外的ＤＮＳ２Ｇｏ、國內的花生殼、８８ＩＰ等，此類軟體不管本機的ＩＰ如何變化都能將一個固定域名自動解析到本機ＩＰ上。這樣，用戶只要輸入這個固定域名作ＦＴＰ地址就可以訪問到你的伺服器。很明顯，第一種方法相當麻煩，需要你有極大的耐心，第二種就相當簡便，用戶只要記住此域名而不用管ＩＰ是否變化。美中不足的是，目前絕大部分此類軟體需要付費注冊才能永久使用，不注冊只能免費使用３０天。
我們以８８ＩＰ為例，來了解它的設置。

假設我們要申請一個域名：ｄｙｓ２．８８ｉｐ．ｃｏｍ。首先如前文所述用Ｓｅｒｖ－Ｕ（ＩＩＳ和其他ＦＴＰ伺服器軟體亦可）架設好ＦＴＰ伺服器，注意將「您的ＩＰ地址」處留空，然後到ｈｔｔｐ�／／ｗｗｗ．８８ｉｐ．ｎｅｔ去下載並安裝８８ＩＰ標准版。
８８ＩＰ需要付費注冊才能擁有一個永久域名，如果免費注冊則僅能試用１５天。運行８８ＩＰ標准版客戶端，會彈出設置窗口。要獲得一個域名，需要先注冊。在「基本資料」中，依次填寫好用戶登錄名、有效電子郵件地址、密碼和聯系電話，接下來就要選擇你的域名，在「域名資料」中，「域名」框填入ｄｙｓ２，「域名後綴」下拉框里選擇「８８ｉｐ．ｃｏｍ」，這時，下方的「你的完整域名為」會顯示為ｄｙｓ２．８８ｉｐ．ｃｏｍ，確認無誤後，點「注冊」按鈕注冊。如果注冊的用戶名或申請的域名已經被其他用戶注冊過，軟體會做出相應的提示，修改後再次注冊即可。注冊成功後，在「執行狀態」中會顯示「注冊成功，用戶ＩＤ：�ｘｘｘｘｘｘｘｘ�」，記下用戶ＩＤ，以備將來繳費或需要技術支持之用。最後要點擊「裝載」按鈕將剛剛申請成功的賬戶信息裝載至本機上。
突破內網建網站詳細說明
1，ADSL映射設置
在主菜單中點「NAT」，會有個「natchannellist」，以在內部pc192.168.1.2上架設webserver為例子，web的一般默認埠是80，設置如下：在natchannellist裡面的mupltipleportforwarding裡面填寫以下內容：

㈨ 求linux中ftp目錄中文件夾只可以寫不可以刪除不可以覆蓋許可權設置；急用，

只需要修改ftp目錄的許可權即可，去掉寫和執行許可權，凱租使帶孫沖用chmod命令：chmod a-w-x file。這是對所有用戶生效，要精確控制個別用戶，請學習蠢殲chmod命令。

㈩ 求助，如何ftp和samba共用同一個目錄

FTP的目錄是可以自己選擇的，可以選擇C盤 D盤 E盤，也可以隨便選擇一個文件夾或者新建一個文件夾當做FTP文件夾。這個可以在搭建FTP伺服器的時候選擇路徑。
而使用SMB協議的話，需要右鍵選擇你需要的那個文件夾，點擊屬性設置為共享。你可以選擇用戶為everyone，這樣方便點。
按以上步驟即可實現FTP文件夾和SMB共享文件夾都是一個文件夾。