項目 配置與管理FTP服務(wù)器PPT課件

1、項目項目9 9 配置與管理配置與管理FTPFTP服務(wù)服務(wù)器器主講教師主講教師 XXXXXX第1頁/共32頁項目9 配置與管理FTP服務(wù)器 lFTP服務(wù)簡介 lvsftpd服務(wù)器配置l配置基于虛擬用戶的FTP服務(wù)器 l典型vsftpd服務(wù)器配置案例 第2頁/共32頁l掌握FTP服務(wù)的工作原理 l掌握vsftpd服務(wù)器的配置 和虛擬用戶的FTP服務(wù)器的配置方法l vsftpd服務(wù)器的配置文件的修改l 虛擬用戶FTP服務(wù)器的配置方法學(xué)習(xí)目標(biāo)本章難點第3頁/共32頁FTP服務(wù)概述 l FTP服務(wù)簡介l FTP工作原理l FTP的傳輸模式l FTP使用命令第4頁/共32頁FTP服務(wù)簡介 l FTP（Fi

2、le Transfer Protocol）是文件傳輸協(xié)議的縮寫，它是Internet最早提供的網(wǎng)絡(luò)服務(wù)功能之一，利用FTP服務(wù)可以實現(xiàn)文件的上傳及下載等相關(guān)的文件傳輸服務(wù) l FTP文件傳輸協(xié)議是一個用于從一臺主機到網(wǎng)絡(luò)中另外一臺主機的傳送文件的協(xié)議。l FTP協(xié)議的歷史可追溯1971年，當(dāng)時因特網(wǎng)尚處于實驗之中，不過至今仍然極為流行。第5頁/共32頁FTP服務(wù)簡介l目前FTP服務(wù)主要應(yīng)用于以下幾個方面： 文件的上傳與下載； 軟件的高速下載； Web站點的維護與更新。lFTP服務(wù)不受計算機類型以及操作系統(tǒng)的限制，無論是PC機、服務(wù)器、大型機，也不管操作系統(tǒng)是Linux、DOS還是Windows

3、，只要建立FTP連接的雙方都支持FTP協(xié)議，就可以方便地傳輸文件。 l目前在Linux系統(tǒng)下常見的FTP服務(wù)器軟件有vsftpd、proftpd和wu-ftpd。在Red Hat Enterprise Linux 4中默認帶有vsftpd的安裝軟件包，本章將重點介紹vsftpd服務(wù)器的配置和管理。第6頁/共32頁FTP工作原理 lFTP服務(wù)采用客戶機/服務(wù)器模式，F(xiàn)TP客戶機和服務(wù)器使用TCP建立連接。 lFTP服務(wù)器使用兩個并行的TCP連接來傳送文件，一個是控制連接，一個是數(shù)據(jù)連接。 控制連接用于在客戶主機和服務(wù)器主機之間發(fā)送控制信息，例如用戶名和口令、改變遠程目錄的命令、取得或放回文件的命

4、令。 數(shù)據(jù)連接用于真正傳輸文件。第7頁/共32頁FTP會話的建立lFTP客戶機和服務(wù)器的會話建立過程中，具體經(jīng)歷以下幾個階段： 當(dāng)FTP客戶機啟動與遠程FTP服務(wù)器間的一個FTP會話時，F(xiàn)TP客戶機首先發(fā)起建立與FTP服務(wù)器21端口之間的控制連接，然后經(jīng)由該控制連接把用戶名和口令發(fā)送給服務(wù)器。 客戶機經(jīng)由該控制連接把本地臨時分配的數(shù)據(jù)端口告知服務(wù)器，以便服務(wù)器發(fā)起建立一個從FTP服務(wù)器端口20到客戶機指定端口之間的數(shù)據(jù)連接。 當(dāng)用戶每次請求傳送文件時（無論上傳或下載），F(xiàn)TP將在服務(wù)器的20端口打開一個數(shù)據(jù)連接（其發(fā)起端既可能是服務(wù)器，也可能是客戶機）。當(dāng)數(shù)據(jù)傳輸完畢后，用于建立數(shù)據(jù)連接的端口

5、會自動關(guān)閉，到再有文件傳送請求時重新打開。 在FTP會話中，控制連接在整個用戶會話期間一直處于打開狀態(tài)，而數(shù)據(jù)連接則為每次文件傳送請求重新打開一次。也就是說，在整個FTP會話過程中，控制連接是持久的，而數(shù)據(jù)連接是非持久的。 第8頁/共32頁FTP的數(shù)據(jù)傳輸模式 l FTP的數(shù)據(jù)傳輸模式是針對FTP數(shù)據(jù)連接而言的，分為主動傳輸模式、被動傳輸模式和單端口傳輸模式3種 。 主動傳輸模式：當(dāng)FTP的控制連接建立后，且客戶提出目錄列表、傳輸文件時，客戶端發(fā)出PORT命令與服務(wù)器進行協(xié)商，F(xiàn)TP服務(wù)器使用一個標(biāo)準的端口20作為服務(wù)器端的數(shù)據(jù)連接端口（ftp-data）與客戶建立數(shù)據(jù)連接。端口20只用于連接

6、的源地址是服務(wù)器端的情況，并且在端口20上根本就沒有監(jiān)聽進程監(jiān)聽客戶請求。 在主動傳輸模式下，F(xiàn)TP的數(shù)據(jù)連接和控制連接的方向是相反的，也就是說，是服務(wù)器向客戶端發(fā)起一個用于數(shù)據(jù)傳輸?shù)倪B接?？蛻舳说倪B接端口是由服務(wù)器端和客戶端通過協(xié)商確定的。 第9頁/共32頁FTP的數(shù)據(jù)傳輸模式 被動傳輸模式 ：當(dāng)FTP的控制連接建立后，且客戶提出目錄列表、傳輸文件時，客戶端發(fā)送PASV命令使服務(wù)器處于被動傳輸模式，F(xiàn)TP服務(wù)器等待客戶與其聯(lián)系。FTP服務(wù)器在非20端口的其他數(shù)據(jù)傳輸端口（ftpdata）上監(jiān)聽客戶的請求。 在被動傳輸模式下，F(xiàn)TP的數(shù)據(jù)連接和控制連接的方向是一致的，也就是說，是客戶端向服務(wù)器

7、發(fā)起一個用于數(shù)據(jù)傳輸?shù)倪B接。客戶端的連接端口是發(fā)起這個數(shù)據(jù)連接請求時使用的端口號。當(dāng)FTP客戶在包過濾防火墻之后對外訪問FTP服務(wù)器時，需要使用被動傳輸模式。 單端口傳輸模式 ：如果客戶程序既不向服務(wù)器發(fā)出PASV命令也不發(fā)送PORT命令，當(dāng)FTP的控制連接建立后，且客戶提出目錄列表、傳輸文件時，F(xiàn)TP服務(wù)器就會使用FTP協(xié)議的數(shù)據(jù)傳輸端口20和客戶端的控制連接源端口建立一個數(shù)據(jù)傳輸連接。這就需要客戶程序在這個端口上監(jiān)聽。這種模式的數(shù)據(jù)連接請求是由FTP服務(wù)器發(fā)起的。使用這種傳輸模式時，客戶端的控制連接所使用的端口和客戶端的數(shù)據(jù)連接所使用的端口是一致的。由于這種模式無法在短時間連續(xù)輸入數(shù)據(jù)、傳

8、輸命令等，所以這種模式并不常用。 第10頁/共32頁FTP命令 l 在Linux或Windows系統(tǒng)的字符界面下可以利用FTP命令登錄FTP服務(wù)器，進行文件的上傳、下載等操作。FTP命令的格式如下： ftp 主機名或IP地址。l 若連接成功，系統(tǒng)提示用戶輸入用戶名和口令。l 在登錄FTP服務(wù)器時，如果允許匿名用戶登錄，常見的匿名用戶為anonymous和ftp，密碼為空或者是某個電子郵件的地址。第11頁/共32頁FTP的登錄l Windows下的FTP登錄l Linux下的FTP登錄第12頁/共32頁FTP常用命令l 在登錄成功之后，用戶就可以進行相應(yīng)的文件傳輸操作了。其中常用到的重要命令如下

9、： FTP? ：顯示 ftp 命令說明。? 與 help 相同。 格式：? command 。command指定需要幫助的命令名稱。如果沒有指定command，ftp將顯示全部的命令列表。 FTP ascii：將文件傳送類型設(shè)置為默認的ASCII。 FTP 支持兩種文件傳送類型，ASCII 碼和二進制圖像。在傳送文本文件時應(yīng)該使用ASCII。 FTP binary（或bi）：將文件傳送類型設(shè)置為二進制。 FTP bell：切換響鈴以在每個文件傳送命令完成后響鈴。默認情況下，鈴聲是關(guān)閉的。 第13頁/共32頁FTP常用命令 FTP bye：結(jié)束與遠程計算機的 FTP 會話并退出 ftp。 FTP

10、 cd：更改遠程計算機上的工作目錄。 格式：cd remote-directory FTP delete：刪除遠程計算機上的文件。 格式：delete remote-file FTP dir：顯示遠程目錄文件和子目錄列表。 FTP get：使用當(dāng)前文件轉(zhuǎn)換類型將遠程文件復(fù)制到本地計算機。 格式：get remote-file local-file FTP lcd：更改本地計算機上的工作目錄。默認情況下，工作目錄是啟動 ftp 的目錄。 格式：lcd directory FTP mkdir：創(chuàng)建遠程目錄。 格式：mkdir directory 第14頁/共32頁FTP常用命令 FTP mput：

11、使用當(dāng)前文件傳送類型將本地文件復(fù)制到遠程計算機上。 格式：mput local-files FTP pwd：顯示遠程計算機上的當(dāng)前目錄。 FTP quit：結(jié)束與遠程計算機的 FTP 會話并退出 ftp。 FTP rename：重命名遠程文件。 格式：rename filename newfilename FTP rmdir：刪除遠程目錄。 格式：rmdir directory FTP status：顯示 FTP 連接和切換的當(dāng)前狀態(tài)。 第15頁/共32頁FTP命令的返回值l當(dāng)執(zhí)行不同命令時，會發(fā)現(xiàn)FTP服務(wù)器返回一組數(shù)字，不同的數(shù)字代表的不同的信息。常見的數(shù)字及表示的信息如表中所示。 數(shù)字

12、含義數(shù)字含義125打開數(shù)據(jù)連接，傳輸開始230用戶登錄成功200命令被接受331用戶名被接受，需要密碼211系統(tǒng)狀態(tài)，或者系統(tǒng)返回的幫助421服務(wù)不可用212目錄狀態(tài)425不能打開數(shù)據(jù)連接213文件狀態(tài)426連接關(guān)閉，傳輸失敗214幫助信息452寫文件出錯220服務(wù)就緒500語法錯誤，不可識別的命令221控制連接關(guān)閉501命令參數(shù)錯誤225打開數(shù)據(jù)連接，當(dāng)前沒有傳輸進程502命令不能執(zhí)行226關(guān)閉數(shù)據(jù)連接503命令順序錯誤227進入被動傳輸狀態(tài)530登錄不成功第16頁/共32頁vsftpd服務(wù)器配置 l vsftpd服務(wù)的安裝、啟動與停止 l vsftpd服務(wù)器配置 l 設(shè)置vsftpd服務(wù)以

13、xinetd方式啟動 第17頁/共32頁vsftpd服務(wù)的安裝、啟動與停止 l vsftpd服務(wù)安裝 首先，檢查當(dāng)前系統(tǒng)是否安裝了vsftpd服務(wù) 。 如果系統(tǒng)沒有安裝vsftpd服務(wù)，也可以在系統(tǒng)安裝過后單獨安裝。vsftpd服務(wù)的軟件包在Red Hat Enterprise Linux 4的第1張安裝盤中，軟件包為vsftpd-2.0.1-5.i386.rpm。 插入第1張安裝盤，然后進行掛載： rootRHEL4 # mount /media/cdrom 進入安裝文件所在目錄 ： rootRHEL4 # cd /media/cdrom/RedHat/RPMS 安裝相應(yīng)的軟件包 ： roo

14、tRHEL4 RPMS# rpm -ivh vsftpd-2.0.1-5.i386.rpm 第18頁/共32頁vsftpd服務(wù)啟動和停止l vsftpd服務(wù)的啟動：在Red Hat Enterprise Linux4中，默認以獨立方式啟動。所以輸入下面的命令即可啟動vsftpd服務(wù)。 rootRHEL4 # service vsftpd start 重新啟動可以使用命令： rootRHEL4 # service vsftpd restartl vsftpd服務(wù)的停止：要停止 vsftpd服務(wù)，可以使用命令： rootRHEL4 # service vsftpd stop 第19頁/共32頁vs

15、ftpd服務(wù)器配置 l vsftpd服務(wù)相關(guān)的配置文件 /etc/vsftpd/vsftpd.conf：vsftpd服務(wù)器的主配置文件。 /etc/vsftpd.ftpusers：在該文件中列出的用戶清單將不能訪問FTP服務(wù)器。 /etc/vstpd.user_list：當(dāng)/etc/vsftpd/vsftpd.conf文件中的“userlist_enable”和“userlist_deny”的值都為YES時，在該文件中列出的用戶不能訪問FTP服務(wù)器。當(dāng)/etc/vsftpd/vsftpd.conf文件中的“userlist_enable”的取值為YES而“userlist_deny”的取值為N

16、O時，只有/etc/vstpd.user_list文件中列出的用戶才能訪問FTP服務(wù)器。第20頁/共32頁vsftpd.conf文件的常用配置參數(shù) l登錄及對匿名用戶的設(shè)置 anonymous_enable=YES：設(shè)置是否允許匿名用戶登錄FTP服務(wù)器。 local_enable=YES：設(shè)置是否允許本地用戶登錄FTP服務(wù)器。 write_enable=YES：全局性設(shè)置，設(shè)置是否對登錄用戶開啟寫權(quán)限。 anon_upload_enable=YES：設(shè)置是否允許匿名用戶上傳文件，只有在write_enable的值為yes時，該配置項才有效。 anon_mkdir_write_enable=YE

17、S：設(shè)置是否允許匿名用戶創(chuàng)建目錄，只有在write_enable的值為yes時，該配置項才有效。 ftp_username=ftp：設(shè)置匿名用戶的帳戶名稱，默認值為ftp。 no_anon_password=YES：設(shè)置匿名用戶登錄時是否詢問口令。設(shè)置為YES，則不詢問。 第21頁/共32頁vsftpd.conf文件的常用配置參數(shù)l設(shè)置歡迎信息 ftpd_banner=Welcome to blah FTP service.：設(shè)置登錄FTP服務(wù)器時顯示的信息。 dirmessage_enable=YES：設(shè)置進入目錄時是否顯示目錄消息。若設(shè)置為YES，則用戶進入目錄時，將顯示該目錄中由mess

18、age_file配置項指定文件（.message）中的內(nèi)容。l設(shè)置用戶在FTP客戶端登錄后所在的目錄 local_root=/var/ftp：設(shè)置本地用戶登錄后所在的目錄，默認情況下，沒有此項配置。在vsftpd.conf文件的默認配置中，本地用戶登錄FTP服務(wù)器后，所在的目錄為用戶的家目錄。 anon_root=/var/ftp：設(shè)置匿名用戶登錄FTP服務(wù)器時所在的目錄。若未指定，則默認未/var/ftp目錄。第22頁/共32頁vsftpd.conf文件的常用配置參數(shù)l客戶連接相關(guān)的設(shè)置 anon_max_rate=0：設(shè)置匿名用戶的最大傳輸速度，若取值為0，則不受限制。 local_max

19、_rate=0：設(shè)置本地用戶的最大傳輸速度，若取值為0，則不受限制。 max_clients=0：設(shè)置vsftpd在獨立啟動方式下允許的最大連接數(shù)，若取值為0，則不受限制。 accept_timeout=60：設(shè)置建立FTP連接的超時時間間隔，以秒為單位。 connect_timeout=120：設(shè)置FTP服務(wù)器在主動傳輸模式下建立數(shù)據(jù)連接的超時時間，單位為秒。l設(shè)置上傳文檔的所屬關(guān)系和權(quán)限 chown_uploads=YES：設(shè)置是否改變匿名用戶上傳文檔的屬主。默認為NO。若設(shè)置為YES，則匿名用戶上傳的文檔屬主將由chown_username參數(shù)指定。 chown_username=who

20、ever：設(shè)置匿名用戶上傳的文檔的屬主。建議不要使用root。 file_open_mode=755：設(shè)置上傳文檔的權(quán)限。 第23頁/共32頁設(shè)置vsftpd服務(wù)以xinetd方式啟動 lRed Hat Enterprise Linux 4中vsftpd服務(wù)默認以獨立方式啟動，如果想讓vsftpd服務(wù)由xinetd進程監(jiān)聽，以被動方式啟動需要做如下設(shè)置。 修改/etc/vsftpd/vsftpd.conf文件，將該文件中“l(fā)isten=YES”和“tcp_wrappers=YES”兩行的內(nèi)容注釋掉。 停掉以獨立方式啟動的vsftpd服務(wù)。命令如下： rootRHEL4 # service vs

21、ftpd stop 建立被動啟動方式的配置文件/etc/xinetd.d/vsftpd。該文件默認情況下不存在，可以由vsftpd安裝包的模板文件復(fù)制生成。具體步驟如下：rootRHEL4 # cd /usr/share/doc/vsftpd-2.0.1/ rootRHEL4 vsftpd-2.0.1# cp vsftpd.xinetd /etc/xinetd.d/vsftpd 修改/etc/xinetd.d/vsftpd文件，將disable的值設(shè)置為no。 執(zhí)行以下命令重新啟動xinetd服務(wù)，以使xinetd監(jiān)聽FTP服務(wù)。 rootRHEL4 # service xinetd rest

22、art第24頁/共32頁配置基于虛擬用戶的FTP服務(wù)器 lvsftpd中的三類用戶 匿名用戶 ：匿名用戶在登錄FTP服務(wù)器時并不需要特別的密碼就能訪問服務(wù)器。通常采用一個電子郵件的地址作為匿名用戶的登錄密碼，但并不是必須的。一般匿名用戶的用戶名為anonymous或者ftp。采用匿名用戶登錄vsftpd服務(wù)器后將映射為指定的本地用戶，一般為ftp。匿名用戶登錄FTP服務(wù)器之后所在的指定FTP目錄為/var/ftp。 本地用戶 ：本地用戶是指具有本地登錄權(quán)限的用戶。這類用戶在登錄FTP服務(wù)器時，所用的登錄名為本地用戶名，采用的密碼為本地用戶的口令。登錄成功之后進入的為本地用戶的家目錄。 虛擬用戶

23、 ：虛擬用戶只具有從遠程登錄FTP服務(wù)器的權(quán)限，只能訪問為其提供的FTP服務(wù)。虛擬用戶不具有本地登錄權(quán)限。虛擬用戶的用戶名和口令都是由用戶口令庫指定。一般采用PAM進行認證。 第25頁/共32頁使用PAM實現(xiàn)虛擬用戶FTP服務(wù)器 lPAM（Pluggable Authentication Modules）是一套身份驗證共享文件，用于限定特定應(yīng)用程序的訪問。使用PAM身份驗證機制，可以實現(xiàn)vsftpd的虛擬用戶功能。l使用PAM實現(xiàn)基于虛擬用戶的FTP服務(wù)器的關(guān)鍵是創(chuàng)建PAM用戶數(shù)據(jù)庫文件和修改vsftpd的PAM配置文件。具體操作步驟如下： 創(chuàng)建虛擬用戶口令庫文件。 創(chuàng)建過程： 生成建立口令庫

24、文件的文本文件為/root/login.txt，內(nèi)容如下： peter /此行指定虛擬用戶peter 123456 /此行設(shè)置peter用戶的FTP密碼 tom /此行指定虛擬用戶tom 213456 /此行設(shè)置tom用戶的FTP密碼 使用db_load命令生成口令庫文件 （ db_load 命令對應(yīng)軟件包在第3張光盤中） rootRHEL4 /# db_load -T -t hash -f /root/login.txt /etc/vsftpd/vsftpd_login.db。 修改數(shù)據(jù)庫文件的本地權(quán)限 rootRHEL4 # chmod 600 /etc/vsftpd/vsftpd_login.db 第26頁/共32頁使用PAM實現(xiàn)虛擬用戶FTP服務(wù)器 生成虛擬用戶所需的PAM配置文件/etc/pam.d/vsftpd。 修改vsftpd.conf文件。 利用下面的命令重新啟動vsftpd服務(wù)即可。 rootRHEL4 # service vsftpd restart rootRHEL4 #vi /etc/pam.d/vsftpd/添加如下兩行auth required /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_loginaccount required /li