lvm逻辑卷和ftp

#逻辑卷
##########lvm#######
逻辑卷的原理——水果炸汁
pv ##物理卷
被lv命令处理过的物理分区
（水果榨汁）

vg ##物理卷组
（放到大杯子）
被组装到一起的物理卷

pe ##物理扩展
lvm设备的最小单位，lv时pe的整数倍

lvm ##逻辑卷
（从大杯子放到小杯子中）
直接使用的设备，可以增大缩减并保持原有数据不变

####lvm建立
1.分区并指定标签为8e
pvcreate /dev/vdb1 ##炸汁
vgcreate vg0 /dev/vdb1 ##倒大杯子
lvcreate -L 20M -n lv0 vg0 ##倒小杯子
mkfs.xfs /dev/vg0/lv0 ##格式化
mount /dev/vg0/lv0 /mnt/
df -h /mnt ##查看

#lvm特点：可以拉伸可以缩减
###lvm拉伸
#lvm支持热拉伸

1.当vg中的剩余容量充足时
lvextend -L 80M /dev/vg0/lv0 ##拉伸设备
xfs_growfs /dev/vg0/lv0 ##拉伸文件系统

2.当vg中剩余容量不足时
pvcreate /dev/vdb2
vgextend vg0 /dev/vdb2 ##拉伸物理卷
lvextend -L 200M /dev/vg0/lv0
xfs_growfs /dev/vg0/lv0

3.针对ext文件系统的设备的拉伸和缩减
#xfs 只能拉伸不能缩减
#ext4 能拉伸也能缩减（不支持热缩减，需要先进行卸载）

umount /mnt
mkfs.ext4 /dev/vg0/lv0
mount /dev/vg0/lv0 /mnt

#拉神
lvextend -L 250M /dev/vg0/lv0 ##拉伸设备
resize2fs /dev/vg0/lv0 ##拉伸系统

#缩减
umount /dev/vg0/lv0
e2fsck -f /dev/vg0/lv0 ##检测文件系统
resize2fs /dev/vg0/lv0 100M ##缩减系统
lvreduce -L 100M /dev/vg0/lv0 ##缩减设备

mount /dev/vg0/lv0 /mnt

##缩减vg
vgreduce vg0 /dev/vdb2 ##从vg0中将vdb2去掉
vgextend vg0 /dev/vdb2 ##将vdb2加入到vg0中

##数据迁移
pvmove /dev/vdb1 /dev/vdb2 ##将vdb1中的数据转移到vdb2中，此操作时不能[ctrl+c]强制退出，会毁坏数据
vgreduce vg0 /dev/vdb1 ##解除占用vdb1
pvremove /dev/vdb1 ##将vdb1移出

##lvm快照
lvcreate -L 40M -n lv0-backup -s /dev/vg0/lv0
mount /dev/vg0/lv0-backup /mnt/
如果截取数据大于40M，会损坏设备
dd if=/dev/zero of=/mnt/file bs=1M count=60
会自动卸载掉lv0-backup，再次挂载会报错

umount /mnt
lvremove /dev/vg0/lv0-backup
lvcreate -L 40M -n lv0-backup -s /dev/vg0/lv0 ##相当于设备的reset
再次挂载可以查看到原设备的数据

#########################17
####ftp##########
#1.ftp启用
yum install -y vsftpd
systemctl start vsftpd
systemctl enable vsftpd

##2.ftp基本信息
访问数据端口：21
数据传输端口：>1024的随机端口

默认发布目录：/var/ftp
访问方式：
lftp 172.25.254.100 ##匿名用户登陆 --> /var/ftp
lftp 172.25.254.100 -u student ##用户登陆 --> /home/student
配置文件:
/etc/vsftpd/vsftpd.conf

###3.ftp的安全部署
500报错：权限内过大
530报错：认证失败
550报错：服务本身不允许
553报错：文件系统权限过小

###匿名用户上传
chmod 775 /var/ftp/pub
chmod ftp /var/ftp/pub

vim /etc/vsftpf/vsftpd.conf
anon_upload_enable=YES

#匿名用户下载
anon_world_readable_only=NO

#匿名用户建立目录
anon_mkdir_write_enable=YES

#匿名用户删除和重命名
anon_other_write_enable=YES

#匿名用户家目录修改
anon_root=/westos

#匿名用户默认上传文件权限修改
anon_umask=xxx

#匿名用户使用的用户身份修改
chown_uploads=YES
chown_username=student

限速
##最大上传速率
anon_max_rate=102400单位：字节
dd if=/dev/zero of=/mnt/bigfile bs=1M count=2000

##最大链接个数
max_clients=5

##本地用户家目录修改
local_root=/westos

##本地用户上传权限
local_umask=xxx

#限制本地用户浏览根目录
chroot_local_user=YES ##此参数要求去掉自己对家目录的写权限
chmod u-w /home/*

用户黑名单建立
chroot_local_user=NO
chroot_list_enable=YES

(default follows)

chroot_list_file=/etc/vsftpd/chroot_list

用户白名单建立
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list

##限制本地用户登陆
vim /etc/vsftpd/ftpusers ##永久黑名单
vim /etc/vsftpd/user_list ##临时黑名单

用户白名单设定
userlist_deny=NO
/etc/vsftpd/user_list ##此参数设定，此文件变成用户白名单，名单中出现的用户可以登陆ftp

##fpt虚拟用户的设定
vim /etc/vsftpd/westos ##文件名称任意
user1
123
user2
123

db_load -T -t hash -f /etc/vsftpd/westos /etc/vsftpd/westos.db

vim /etc/pam.d/westos ##文件名称任意
account required pam_userdb.so db=/etc/vsftpd/westos ##account帐号
auth required pam_userdb.so db=/etc/vsftpd/westos ##auth密码

vim /etc/vsftpd/vsftpd.conf
pam_service_name=westos
guest_enable=YES

家目录独立设定
最后一行识别$USER

#虚拟用户身份指定
guest_username=westos

#虚拟用户家目录独立设定
vim /etc/vsftpd/vsftpd.conf
local_root=/ftphome/$USERuse{r}_{s}u{b}_{t}oken=$USER

mkdir -p /ftphome/user1/user1dir
mkdir -p /ftphome/user2/user2dir

#虚拟用户独立配置
chgrp ftp /ftphome -R
chmod 775 /ftphome/user1/user1dir
chmod 775 /ftphome/user2/user2dir

vim /etc/vsftpd/vsftpd.conf
user_config_dir=/etc/vsftpd/userconf

mkdir -p /etc/vsftpd/userconf

vim /etc/vsftpd/userconf/user1
举例:anon_upload_enable=YES

unit18
#####selinux###########
内核级的加强级防火墙 enforcing
文件和目录的安全级上下文
服务的安全上下文
安全上下文没有
（/。*）当前目录下的所有文件都加
刷新
删除

touch /mnt/westos
mv /mnt/westos /var/ftp

ls -Z /var/ftp
ps auxZ |grep vsftpd
lftp 172.25.254.102 -u student ##可以上传，也可以删除

disabled --> enforcing

touch /mnt/westos1
mv /mnt/westos1 /var/ftp
ls -Z /var/ftp
ps auxZ | grep vsftpd

setenforce 0
permissive

cat /var/log/audit/audit.log

##修改安全上下文
chcon -t public_content_t /var/ftp/westos1 ##临时的

##对目录
mkdir /westos
touch /westos/westosfile{1…5}
ls -Zd /westos

vim /etc/vsftpd/vsftpd.conf
anon_root=/westos
lftp 172.25.254.100 ##不能访问
setenforce 0

chcon -t public_content_t /var/ftp/westos -R
ls -Zd /westos

##把selinux重启一次，安全上下文又变回default_t

semanage fcontext -l | grep /var/ftp
semanage fcontext -l | grep /var/westos

semanage fcontext -a -t public_content_t /westos
semanage fcontext -l | grep /westos ##只改便了westos目录的安全上下文
restorecon -Rvvf /westos ##R:递归 VV：显示过程 f：刷新

semanage fcontext -d -t public_content_t /westos

rm -fr /westos
mkdir /westos
touch /westos/file{1…5}

semanage fcontext -a -t public_content_t ‘/westos(/.*)?’
restorecon -RvvF /westos

#########################################
(sebool值的修改
打开
/var/log/message #日志
setrouble shoot #没有这个插件看不到报错日志）

getsebool -a | grep ftp
ftp_home_dir --> off

setsebool -P ftp_home_dir on
本地用户可以写，可以删除

selinux排错
***** Plugin catchall_boolean (57.6 confidence) suggests ******************

If you want to allow ftpd to full access
Then you must tell SELinux about this by enabling the ‘ftpd_full_access’ boolean.

Do
setsebool -P ftpd_full_access 1

***** Plugin catchall_labels (36.2 confidence) suggests *******************

If you want to allow vsftpd to have getattr access on the file
Then you need to change the label on $FIX_TARGET_PATH
Do

semanage fcontext -a -t FILE_TYPE ‘$FIX_TARGET_PATH’

Then execute:
restorecon -v ‘$FIX_TARGET_PATH’

***** Plugin catchall (7.64 confidence) suggests **************************

If you believe that vsftpd should be allowed getattr access on the file by default.
Then you should report this as a bug.
You can generate a local policy module to allow this access.
Do
allow this access for now by executing:
grep vsftpd /var/log/audit/audit.log | audit2allow -M mypol
semodule -i mypol.pp

输入：rpm -qa |grep setroubleshoot
可以看到：
setroubleshoot-server-3.2.17-2.el7.x86_64
setroubleshoot-3.2.17-2.el7.x86_64
setroubleshoot-plugins-3.0.59-1.el7.noarch