Linux下搭建Ftp服務(wù)器

1、概述使用文件傳輸協(xié)議（）來通過網(wǎng)絡(luò)在計(jì)算機(jī)之間傳輸文件是很普遍的一種方法。幾乎在所有的平臺上面都有的客戶端和服務(wù)端的軟件，因此用來傳送文件也是很方便的一個(gè)方法。有很多配置服務(wù)器的不同方法。其中一種是把配置成只對系統(tǒng)中的用戶開放的私有服務(wù)器，這也是的默認(rèn)配置。一個(gè)私有的服務(wù)器只運(yùn)行系統(tǒng)中的用戶訪問，而且可以對用戶進(jìn)行訪問控制，這樣可以給予或拒絕特定用戶的訪問權(quán)限。另一種是把服務(wù)器配置成匿名服務(wù)器。匿名服務(wù)器允許任何人（不管有沒有帳號）訪問服務(wù)器并傳輸文件。因?yàn)榭赡艽嬖跐撛诘陌踩珕栴}，必須小心配置使得只允許訪問系統(tǒng)中特定的目錄。在這一節(jié)里，我們把配置成“”的方式，這種配置運(yùn)行用戶訪問，例如：站點(diǎn)的

2、目錄，但是不允許他們訪問更高一層的目錄。注意事項(xiàng)下面所有的命令都是兼容的命令。源路徑都為“”（當(dāng)然在實(shí)際情況中也可以用其它路徑）。安裝在下測試通過6要用“”用戶進(jìn)行安裝。的版本號是6編譯和安裝把軟件包（）解壓縮：編譯和優(yōu)化轉(zhuǎn)到的新目錄下，運(yùn)行下面的命令:編輯“”文件（），改變下面這一行:deed改為：#ifdefined(LINUX_BUT編輯“aames”文件（sra），am變下面這一彳?。?defineee改為：#definesree我們把“”從“”目錄改到“sr”目錄下。message“message”設(shè)置當(dāng)用戶登錄或轉(zhuǎn)到一個(gè)目錄的時(shí)候會收到什么消息?？梢栽O(shè)定多個(gè)消息。命令的格式為：me

3、ssageVaVenVa表示需要顯示的文件的完整路徑名，V和“readme”中的V意思一樣。還需要注意的是消息文件的路徑名也是相對于匿名目錄的。例如：message/home/ftp/.welcome.msgLOGINcompre、sstar、chmo、delet、eoverwri、treename如果這些都不設(shè)置，那么就使用默認(rèn)值，也就是對所有人都是“yes”。下面例子中的設(shè)置的意思是給ges組m、dfee、eerr和reame文件的權(quán)力，所有人都可以使用mreBfear例如：c、mpressyesall、aryesallchm、dyesgues、dele、eyesgues、overwrit

4、eyesguestrenameyesguestlogcommands因?yàn)榘踩系脑蛐枰涗浻脩羰褂玫拿恳粋€(gè)命令?！發(fā)ogcommands”的格式是：logcommandsVtelistVtelitt是用逗號隔開的字串，表示哪些用戶的命令需要記錄下來，字串的取值可以是：anonmousguest或real。例如：要記錄real和guest用戶的每一個(gè)命令，可以這么表示：logcommandsreal,guest這些記錄都保存在“/var/log/message文件中。logtransfers因?yàn)榘踩募枰盐募膫鬏敹加涗浵聛??！發(fā)ogtransfers”的格式是:logtransfersV

5、typelisttVdirectionstVtelitt是用逗號隔開的字串，表示哪些用戶的命令需要記錄下來，字串的取值可以是：anonmousguest或real。Vdirection也是用逗號隔開的字串，設(shè)置需要記錄的文件傳輸?shù)姆较颍梢赃x擇的兩個(gè)傳輸方向是“inbound”（向內(nèi)）和“outbound”（向外）。page例如，用下面表示記錄所有real和guest用戶的“inbound”和“outbound方向的文件傳輸：logtransfersreal,guestinbound,outbound這些記錄保存在“/var/log/xferlog文件中。guestgroup這個(gè)命令用來設(shè)置g

6、uest組，每一行只能有一個(gè)成員。例如：guestgroupftpadminguestgroupwebmasterlogsecurity用來設(shè)置記錄real、guest或anonymous用戶違反安全規(guī)則的行為。logsecurityVtypelistVtypelist是用逗號隔開的字串，字串的取值可以是：anonymous、guest或real“real”表示真正在ftp服務(wù)器上有帳號的用戶，“anonymous”表示匿名用戶，“guest”表示guest用戶。例如：logsecurityreal,guestrestricted-uid、restricted-gid、guest-root這些

7、用來設(shè)置是否允許real和guest用戶訪問家目錄之外的目錄。格式為:guest-rootVroot-dirrestricted-uidVuid-rangerestricted-gidVgid-range例如：guest-rootrestricted-restricted-/home/ftpftpadminwebmasteruidftpadminwebmastergidadminftpwebmasterVrootdi設(shè)置chroot環(huán)境的用戶路徑。在一行里可以有多個(gè)uid地范圍。如果為用戶設(shè)置了guestroot那么該用戶的家目錄就在“Vrootdi/etc/passwd”文件中設(shè)定，而“/e

8、tc/passwd”文件中的設(shè)定是無效的。當(dāng)“ftpadmin和“webmaster被改變了根目錄(chrooted)到“/home/ftp”目錄下，他們就被限制在各自的家目錄下而不能訪問別人的文件。greeting設(shè)置用戶登錄時(shí)候的歡迎信息。格式為：greetingfull|brief|terse“greetingfull”是默認(rèn)的設(shè)置顯示主機(jī)名和ftpdaemon地版本，“greetingbrief顯示主機(jī)名，“greetingterse簡單地顯示“FTPserverready”。例如：greetingterseeepaliveVyesno設(shè)置soce啲TPP參數(shù)。這樣在必要的時(shí)候可以斷開

9、網(wǎng)絡(luò)連接?！皔es”有效，“no”無效。最好設(shè)成“yes”：Keepaliveyespage配置“/etc/ftphosts文件“/etc/ftphosts文件為每一個(gè)用戶建立規(guī)則，指定允許用戶從某個(gè)主機(jī)登錄ftp服務(wù)器，或者不允許用戶從某個(gè)主機(jī)登錄ftp服務(wù)器。創(chuàng)建“ftphosts文件(touch/etc/ftphosts),加入下面這幾行:Examplehostaccessfile#Everythingaftera#istreatedascomment,emptylinesareignoredallowftpadmin208.164.1把文件的權(quán)限改為60：0rootdeep#chmod

10、600/etc/ftphosts每一行可能是：alloVusernameVaddrglob或denyVusernameVaddrglob“allow允許用戶用VusernaR用戶名，從Vaddrlo地址訪問ftp服務(wù)器。Vaddrlob可以包含多個(gè)地址?！癲eny禁止用戶名為Vuserna的用戶，從Vaddrlob地址訪問ftp服務(wù)器。Vaddrlob可以包含多個(gè)地址。配置“/etc/ftpusers文件“/etc/ftpusers”文件設(shè)置哪些用戶不允許連接到ftp服務(wù)器。創(chuàng)建“ftpusers文件(touc/etc/ftpuse),加入下面這幾行：rootbindaemonadmlpsyn

11、cshutdownhaltmailnewsuucpoperatorgamesnobody把文件的權(quán)限設(shè)成60：0rootdeep#chmod600/etc/ftpusers配置“/etc/ftpconversions文件tar“/etc/ftpconversions”是用來控制當(dāng)傳輸文件的時(shí)候是否進(jìn)行壓縮。創(chuàng)建“ftpconversions文件（touc加入：/etc/ftpconversions，在文件中:.Z:/bin/compress-d-c%s:T_REG|T_ASCII:.Z:/bin/compress-c%s:T_REG:O_COM:.gz:/bin/gzip-cd%s:T_REG

12、|T_ASC:.gz:/bin/gzip-c%s:T_REG:O_C:.tar:/bin/tar-c-f-%s:T_REG|T_D:.tar.Z:/bin/tar-c-Z-fs/bin/tars:T_REG|T_DIR:O_COMPRESS|:.crc:/bin/cksum%s:T_REG:.md5:/bin/md5sum%s:T_REG把文件的屬性改為SUMD5SUGZIProotdeep#chmod/etc/ftpconversions配置“/etc/pam.d/ftp”文件配置“/etc/pam.d/ftp”文件使其支持P安全驗(yàn)證。page創(chuàng)建“ftp文件（toch/etc/pam.d/

13、ftp并加入:#%PAM-1.0authrequired/lib/security/pam_listfile.soitem=usersense=denyfile=/etc/ftpusersonerr=succeedauthrequired/lib/security/pam_pwdb.soshadownullokauthrequired/lib/security/pam_shells.soaccontreired/li/secrity/pampd.sosessionreired/li/secrity/pampd.so配置“/etc/logrotate.d/ftpd”文件配置“/etc/logro

14、tate.d/ftpd”文件使得日志文件每周自動循環(huán)更新。創(chuàng)建“ftpd文件（toch/etc/logrorate.d/ftpd并加入：/var/log/xferlog#ftpddoesnthandleSIGHUPproperlynocompress配置ftp使其使用inetd超級服務(wù)器(用于實(shí)現(xiàn)tcprapperstcprapper用來啟動和中止ftpd服務(wù)。當(dāng)inetd執(zhí)行的時(shí)候，它會從默認(rèn)為“/etc/inetd.conf”的配置文件讀入配置信息。配置文件中每一行中的項(xiàng)用或空格隔開。編輯inetd.conf文件(i/etc/inetd.conf),加入并驗(yàn)證是否存在下面這一行：ftpst

15、reamtcpnowaitroot/usr/sbin/tcpdin.ftpd-l-a注意：更新完“inetd.conf”文件之后要發(fā)給inetd個(gè)SIGUP信號，運(yùn)行下面的命令：rooteep/rootillallinet編輯“hosts.allow文件(i/etc/hosts.allOw加入這一行:這表示地址為“并且主機(jī)名為“的計(jì)算機(jī)允許訪問七胡服務(wù)器。管理工具ftpwhotpwho顯示當(dāng)前連接到七胡服務(wù)器上的所有用戶。這個(gè)命令菜單輸出類似“/bin/ps”的輸出，其格式為：VpiVtimeVttVconnectionetaife其中Vpi表示tpaemor用來處理這次文件傳輸?shù)倪M(jìn)程號，Vt

16、ime表示用戶什么時(shí)候連接到tp!服務(wù)器上，Vtt總是用問號（）表示因?yàn)槭峭ㄟ^tp而不是telnet連接，Vconnectionetai告訴連接是來自哪里、用戶是誰以及用戶現(xiàn)在在干什么。F面是tpwhc輸出的一個(gè)例子:rootdeep#ftpwhoerviceclassopenarch:443:00ftpd:admin1users(20maximum)pae可以看到現(xiàn)在有一個(gè)用戶登錄（最多可以有20個(gè)用戶同時(shí)登錄），這個(gè)用戶的用戶名是amir來自。tpconttpcor是tpwh啲簡化版，只顯示登錄到tpf服務(wù)器的用戶數(shù)以及最多允許多少個(gè)用戶登錄。下面是一個(gè)例子：rooteeptpconter

17、iceclassopenarch1users20maximum保證tp服務(wù)器的安全首先確保已經(jīng)創(chuàng)建了“/etc/ftpusers”文件，這個(gè)文件用來設(shè)置不允許哪些用戶登錄ftp服務(wù)器，其中至少要包括：root、bin、daemon、adm、lp、sncshutdonhalt、mail、nesuucp、operator、amesnobod以及所有inu發(fā)行商在系統(tǒng)中提供的默認(rèn)帳號。如果想禁止匿名ftp服務(wù)，把ftp用戶從passorc文件中移去，再用下面的命令確定在系統(tǒng)中沒有安裝anonftpversion.i軟件包：rootdeep#rpmanonftp.upload命令在默認(rèn)情況下，服務(wù)器給

18、所有的uest用戶上載的權(quán)限。當(dāng)用戶登錄的時(shí)候，被改變根目錄(chroot)到“/home/ftp”就不能訪問這個(gè)目錄之外的地方。但是“/home/ftp”目錄中的一些地方還是需要保護(hù)，不能讓用戶隨便訪問。在我們配置的ftp服務(wù)器中為“/home/ftp”目錄下的“bin”、“etc”、“dev”和“l(fā)ib”目錄。我們不允許用戶上載文件到這些目錄。所以我們要為這些目錄設(shè)置訪問權(quán)限，可以在“/etc/ftpaccess”文件中設(shè)置上載權(quán)限。在我們的例子中是這樣設(shè)置的：upload/home/ftp/*/noupload/home/ftp/*/etcnoupload/home/ftp/*/devn

19、oupload/home/ftp/*/binno(requireonlyifyouarenotusingthe-enablel-s”option)upload/home/ftp/*/libno(requireonlyifyouarenotusingtheenables”option)noretrieve命令最好禁止某些用戶從“/home/ftp”目錄下的某些子目錄中下載文件，可以用“noretrieve”命令在“/etc/ftpaccess”文件中設(shè)置。noretrieve/home/ftp/etcnoretrieve/home/ftp/devnoretrieve/home/ftp/bin(r

20、equireonlyifyouarenotusingthe-enablel-s”option)noretrieve/home/ftp/lib(requireonlyifyouarenotusingthe-enablel-s”option)“.notar”文件無論是否允許即時(shí)的目錄打包(onthefltar)，都必須保證用戶不能打包(tar)禁止上載的目錄。在“/home/ftp”目錄的每個(gè)子目錄中都創(chuàng)建“.notar”文件。rootdeep#touch/home/ftp/.notarrootdeep#chmod0/home/ftp/.notarrootdeep#touch/home/ftp/etc/.notarrootdeep#chmod0/home/ftp/etc/.notarrootdeep#touch/home/ftp/dev/.notarrootdeep#chmod0/home/ftp/dev/.notarrootdeeptou#ch/home/ftp/bin/.nota(rrequiroenl)if)ouarenotusingthe“-enables-”option)rootde