Linux系列-RedHat5平臺下的FTP服務搭建

1、上次我們看到了基于 RedHat5 平臺下的 DHCP 服務的搭建， 本次我們通過一個例子來看一下 RedHat5 平臺下的 FTP 服務的搭建。FTP （FileTransferProtocol,文件傳輸協(xié)議） 是典型的 C/S 結構的應用層網絡協(xié)議，需要有相應的客戶端和服務器端軟件才能進行文件傳輸。本次我們以 vsftpd 服務器端軟件為例。該軟件可以從站點 /中下載，在 RHEL5 系統(tǒng)中會自帶有 vsftpd 軟件。并且，安裝好 vsftpd 軟件包以后，將自動添加 vsftpd 系統(tǒng)服務，通過“/etc/init.d/vsftpd 腳本可

2、以控制 vsftpd 服務的啟動和終止，而無需手動執(zhí)行“/usr/sbin/vs 即 d 程序。下面我們來看看在 RedHat5 上是如何通過 vsftpd 服務器軟件，搭建 FTP 的。具體的概念以及配置步驟和注意事項，咱們邊做邊說。第一部分：建立基于本地用戶的vsftpd 服務1 .匿名 FTP訪問匿名 FTP 服務器時不需要密碼，只要使用用戶名“ftp 或anonymous 即可通過驗證。當需要提供公開訪問的文件下載資源，或者讓用戶上傳一些無需保密的數(shù)據資料時，可以選擇搭建匿名 FTP 服務器。搭建的步驟如下所示：1.調整匿名上傳目錄權限。在 RHEL5 系統(tǒng)中，匿名用戶對應的系統(tǒng)帳戶為

3、 ftp,其宿主目錄為“/var/ftp:該目錄也就是匿名用戶訪問 vsftpd 服務時所在的根目錄（可通過 anon_root 配置項更改）。HedHatEnterpriseLinu.xSeruerrelease5(Tikanga)KerneI2.6,18-8.曰15onan1686FTPseruerlogin：rootPassuofd!Last1oginSatJam16Q8-24i20antty1Eroo-tPFTPserverLrootOFTPservcr21ttLrootOFTFserverrootPFTPserverP”皿？ftproot!?FTPserver*#Is_-dizvar

4、zftpzpubzdrwxT-xr-xZftprootJan17200?LrootBFTFserver說明： 將其中 pub 子目錄的屬主修改為 ftp,并保留其可寫權限， 可提供給匿名用戶上傳文件使用。我們給/var/ftp/創(chuàng)建一個文件到/var/ftp/目錄下，以便稍后的測試。2.修改 vsftpd.conf 配置文件，開放匿名用戶訪問、上傳許可。rootQFTPseruerIttanon_u.pload_enable=YES/etc/vsftpd/usftpd/etc/vsftpd/vsftpd.-uJ#/*etc/vsftpd/vsftpd.confwrite_ena.ble=YES

5、local_umask-022dirmessage_enib1e=YESxferlog_eTiab1eYESconnect_fpom_por*t_Z0=YESxfer*log_&td_forfnat=YES1istein=YESpam_serviice_name=vsftpduser!ist_enable=EStcp_uriippGrs=YESfl.non_up1oad_eiiiible=YESanon_mdLr*_writez-Cnatile=YESroot(?FTPserver說明：如果希望匿名用戶在上傳目錄中能夠進行覆蓋、操作,還可以添力口 anon_other_write_enable

6、=YES 能帶來安全性問題，所以啟謹慎.用。一注意：由于匿名 FTP 根目錄/var/ftp/”的默認權限為的屬主更改為 ftp,否則匿名訪問時可能會報錯 500OOPS:vsftpd:refusingtorunwithwritableanonymousroot，此錯誤會導致訪問失敗。3.重新啟動 vsftpd 服務ErooteFTPservepCroDtl?FTPseruer111yetcxinit.dzusftpdrestartShuttingdounusftpd：StartingvsTtpdforvsftpd：LrooteFTPserverH/etc/init.d/vsftpdresta

7、rtShuttingdounvsftpd：Startingusftpdforvsftpd;rootPFTFscrvcr的4.此時，我們到客戶機上訪問 FTP 服務器，測試下載及上傳功能rootOFTPserverIttrootPFTPserverIttechorootOFTFserver1HechorootGFTPserMerJHable=YESlocal_cnable=YES刪除、重命名文件等寫入”的配置項。此項配置可755,因此不要將該目錄rroolPGlieiit，相后京口CoriYiectedto.2Z0(vsFTPd2.0,53|530Pleaseloginwi

8、iliUSERand.PASS.530PIeaseloginultliUSEFendPASSKEREEBOS_Urej已匚tbdasanauthenticationtypeNAMC(19Z.168.1,1：roct)：ftp|331Pleasespecifiytliepassuor-d.Password二Z30Loginsuccessfu1.HemotesystemtypeisUNIX.U5lngbinartjmodetotransferfiLes.ftpTsIZZ7EnterirgFassiveMode113乙j16B,111.63,63)150Herecomesthedirectory1i

9、sting.-ruj-r-p-100Z597Jan1613:50ftpconf1g.tar.bsZdrwxr-xr-x21404096Jan17Z9&7pubZZbDirectarysend01.添加 FTP 測試用戶（也就是本地用戶）。新建一個文件 file1 以便測試。CrateFTTsepuer*ltttraotFTPseruerlitusepaddzpprooteFTFseruerJ#poswudzppChangingpassunpdfor*userzpp.NeuUNIXpassuond:RetypeneuUNIXpassuard：passud：allauthenticationtok

10、ensupdatedsuccessfully.rootSFTPseruerlttcd/homc/zppPOo19FTPsepwepzppJUtouchrileitrootsFlTseruerzppjtt2.修改 vsftpd.conf 配置文件，開放本地用戶rootPFTPseruerroDtFTPseruerJUgrep-uptt*/etcxusftpd/usftpd.confanonyinous_enable=MOlocalenable=YESwriteenable=YES1口匚己l_umash=0ZZdirmcssetgcjenablc=YESxferlog_enable=YESconn

11、ect_from_port_20=VESxferlog_st( (1_format=YESchroot_local_user=YE3pasu_enable=YESpam_seruice_name=usftpdUSET!ist_enable=YES1isten=YEStcp_urappers=YESLrootPFTPseruerltt說明：配置 chroot_local_user=YES”項，可以有效提高 FTP 服務器的安全性。否則，默認將允許 5 戶切決到服務器中的/Var/、/etc/boot/”等宿主目錄以外的文件夾，可能帶來安風險。如果啟用 lbcal_root=/var/ftproo

12、t”的配置選項時，本地用戶登錄該 FTP 服務器后，根目錄和更改為指定的文件夾。該選項適用于 FTP 根目錄需要保持固定的情況。如果希望 vsftpd 服務只對特定的本地用戶開放，可以使用 userlist_enable、userlist_deny 配置項并結合用戶列表文件/etc/vsftpd/user_list”實現(xiàn)，此處不做演示。3.重新啟動 vsftpd 服務。rootFT?seruer*3iirootFTPserLeryetc/init.dusftpdrestartRhurLtingdounvsFtpd：fAILEDStartingvsftpdforvsftpd：OKJrootFTP

13、serucrltt/etc/init-d/vsftpdrestartShuttingdownvsftpd:(OKStartingvsftpdforwsftpd:OK1roDtFTFseruerltl4.在客戶端訪問 FTP 服務器，測試下載及上傳功能1.root(?Client1HrootClient-JHtp習2_*16B_.1.11IConnectedto1?2,168.1.1.ZZ0(vsFTPdZ.0,1353BFleaselogrinwithUSERandPASS.530Please1og*inuithUSEJRandPASS.KEKBER1S_U4rejectedasanaiLth

14、erticationtL|peMame(19Z.168.11；root:_zpp_331Fleasespecifythepassuord.Passuopd:Z30Loginsuccessful1.RemotesystemtypeieUNIX.Usingbinarymodetotrasferfiles.ftpIs22?EnteringPassiveMode(192,1EJ8,1,1,253,170J1S0Herecomesthedirectorylisting.26Diit*eetOTqsendOK.8Jan16Q8:05fileiftpg葉,fiB1|loc1fi1e1r-emotefi1e1

15、Z27EnteringPassiveMode(192,168j1j1,233t228?150OpeningBINARYmodedataconnectionforfileiC9bytes),226FilesendOK.f*P_bLJLlITTTl可以看到用戶登錄和下載服務器上的資源都沒有問題第二部分：建立基于虛擬用戶的 vsftpd 服務建立虛擬用戶的用戶名/密碼數(shù)據庫Vsftpd 服務的虛擬用戶數(shù)據庫是使用 BerkeleyDB 格式的數(shù)據文件。建立該數(shù)據 庫 文 件 需 要 用 到 db_load 命 令 工 具 ， 從 RHEL5 光 盤 中 安 裝db4-utils-4.3.29-9.f

16、c6.i386.rpm/件包后可獲得該工具。首先建立文本格式的用戶名/密碼列表文件，奇數(shù)行為用戶名，偶數(shù)行為上一行中用戶所對應的密碼。FOot(?FT?seruerrootPFTPseruerr-ootfJFTTser-wer1sppOOl1Z3rcomEppBBN1ZpootRFITseruerJitJitcd/etc/vsftpdzMsftpdlitcat1ngimusftpdltt說明：此處建立了兩個密碼都為 的虛擬用戶 zpp001 和 zpp002.然后用 db_load 工具將列表文件轉化為 DB 數(shù)據庫文件。ErootSFTPseruerusftpdlBraotQFTPserwe

17、rvsftpd1#dbload-T-thash-flogimuusers.dbrootHFTPsGrvGrvsftpdJ#filevusers.dbRisers,db:BerkeleyDBCHasliversion8jnatiueLytc-order)EruotSFITseruerusftpd#cliouni600/etezusftpd/kAisers.dbCrootSFITseri-crvsftpdlit說明：在 db_load 命令中，-f”選項用于指定用戶名/密碼列表文件，-T”選項允許非BerkeleyDB 的應用程序使用從文本格式轉換的 DB 數(shù)據文件，-thash”選項指定讀取數(shù)據

18、文件白基本方法。 將文件 vusers.db 的權限降底為 600 是為了安全性考慮。關于 db_load 命令的詳細說明可參閱/Usr/share/doc/db4-utils-4.3.29/utility/db_load.html”文件。2.建立 FTP 訪問的狂錄及虛擬用戶對應的系統(tǒng)帳號root(?FTPseruerueftpdJttrootUFTPscrvervsftpdJtlcdFrgotBFTTscrver#useradd-dvcir/ftproot-s/sbinznologiTivirtualrat(JFITseruer11tchmod755zuar/ftproot/CnoteFI

19、TsepuerJttcd/uar/ftproot/Lraot(?FTPseruerftprootltttouchfileLrootUFTPservcrftprootJtt說明：Vsftpd 虛擬用戶需要有一個對應的系統(tǒng)用戶帳號（該帳號不需要設置密碼及登錄 Shell）,該用戶帳號的宿主目錄作為所有虛擬用戶登錄后的共同 FTP根目錄。3.建立 PAM 認證文件POOtPFTFserer2Hcd/etc/panh.dzrootPFTTserverpam.dlttcatvsftpd.vuaitthrequiredpam_userdb-sodb-/etc/vsftpd/iscrsciccoiiTitr

20、etfuiredpftm_merdb.sodb=/etc/vsftpd/iAiserspoot(?FTPsEruerpam.dln說明：PAM 配置文件主要用于為程序提供用戶認證控制，vsftpd 服務使用的默認 PAM 配置文件為/etc/pam.d/vsftpd”,s 可以參考該文件的格式建立新的 PAM 配置文件，用于虛擬用戶的認證控制。配置時請注意將 db 選項指定為先前建立的虛擬用戶數(shù)據文件 vusers（省略.db 擴展名）4.修改 vsftpd.conf 配置文件，添加虛擬用戶支持在 vsftpd.conf 配置文件中，添力口 guest_enable、guest_useruse

21、rname 配置項，將訪問 FTP 服務的所有虛擬用戶。應到同一系統(tǒng)用戶帳號 virtual,并修改 pam_service_name 配置項，指向上一步建立的 PAM 配置文件/etc/pam.d/vsftpd.vu”。rootSFITsepuerliteclioguest_enab1e=YES/etc/usfti) )d7vsftpd.confCpao10FTTseruerltt巴匚hciguest_usemarrte=uirtua1yetc/vsftpdyusftpd.canfroot0FT?seruerJaechopam_serujce_iiame=jsftjjd/etc/vsftjd

22、/i/sftpd+confrootSFITsepuerJitgrep-u*/etc/usftpdyvsftpd.corfanonymoiis_enabIE二NOlocal_eviable=YESwrite_eviable=YESlocalumask=02Z( (1irmessaje_enable-VESxferLog_enab1G=VESconncctrom_port_2曰=YESxferLog_std_fornrwit=YESpAsv_enftb1e=VESpam_servicc_name=vsftpduserIist_enablc=YESlisten=YEStcpi_idrftppers=

23、VE3甲lust_enabLe=YESauest_username=uir1tam_seruice_name=usftpd.uuTPOtSFTPseruerlit說明：在 vsftpd 服務中，虛擬用戶賬戶默認作為匿名用戶處理以降低權限，因此對應的權限設置通常使用以 anon_開頭的配置項，5.為不同的虛擬用戶建立獨立的配置文件通過前面的四步，實際上已經可以重啟 vsftpd 并提供服務了，使用虛擬用戶帳號可以登錄 FTP 服務器并下載文件。此步驟介紹如何為個別虛擬用戶設置不同的訪問權限。假如現(xiàn)在有這樣的要求：zpp001 用戶只有瀏覽和下載的權限，而 zpp002 可以瀏覽、下載、改名、刪除

24、文件、建立和刪除目錄的權限，可以按如下的步驟實現(xiàn)：1.修改 vsftpd.conf 主配置文件，添加用戶配置目錄支持。rooteFTPseruepLrootQFTPserwerilechouser_coinfig_dir=./e*tc1vsfpdwiserxdir/巳tc/gPtpd/gFlroDtPFTPserverlit；說明：添加此行配置，指定用戶配置目錄的位置。2.為用戶 zpp001 和 zpp002 建立獨立的配置目錄及文件rotSFTPseruerlited/etcusftpdtootOFTPserwerusftpdlttIsloginvsftpd.confwsers.dbwse

25、rsdirLrotSFTTservervsftpdl#cdVAAsers_dir/rt0FTPserversers_dirlttIs=pp001zpp002ratHFTPserueruuseis_diirjttcatzppBQliinon_worLd_readable_ony=N0ratSFTFserueruisers_dirttcatzpp00Zstnon_wor1d_peadable_on1y=N0anan_upLad._enab1e=ESananmkdip_urite_enable=YESiinon_other_write_enab1e=YESErootlJFTPserverrisers

26、dirJti說明：如果需要禁用或者允許一部分虛擬用戶帳號，同樣可以使用/etc/vs 即d/user_list”列表文件。需要注意的是，在/etc/vsftpd/ftpusers”文件中加入虛擬用戶名，并不能禁用對應的系統(tǒng)帳號。6.重新啟動 vsftpd 服務pootPFTFsierueplitIr-ootOFTPserkierlttzeto*init.d/vsftpdrestartShuttingdownvsftpd：UK1Startingvsftpdforvsftpd;OK1(root(?FTTserwer7.使用虛擬用戶帳戶訪問 FTP 服務LrootWC1lentJttftp19Z-1

27、68.1.1ConnEctedto192.1btf.I.-1.(vsFTPdZ.0.1J530FIeaseloginuitliUSERandPASS,530FleaseloginuitliUSERandPASS,KERBEB0S_U4rejectedasananthentleationtypeNSME(19Z.168.1.1：root)：|zppB91331PIeasespecifytliepassuoFT.Password:239Loginsuccessful1.RemotesijsteintypeisUNIX.Lisinabinargmodetotransferfiles.rtpis22?EnteringPassiveMode(192J681iJS乙245)150Herecomest