第 FTP服務(wù)的配置與應(yīng)用

會計學(xué)1第FTP服務(wù)的配置與應(yīng)用本章目標(biāo)了解FTP服務(wù)的基本概念了解常用的FTP服務(wù)器和FTP客戶端軟件掌握vsftpd服務(wù)器的配置和管理掌握使用ftp命令對FTP服務(wù)器進(jìn)行測試第1頁/共36頁本章結(jié)構(gòu)FTP服務(wù)器FTP服務(wù)概述FTP服務(wù)的安裝和簡單配置

FTP服務(wù)器及基本原理

ftp命令與FTP客戶端軟件

安裝vsftpd

vsftpd服務(wù)器的配置基本

vsftpd服務(wù)的啟動和關(guān)閉

配置FTP服務(wù)器的虛擬用戶

典型FTP服務(wù)器設(shè)置

FTP服務(wù)應(yīng)用舉例

第2頁/共36頁FTP服務(wù)器及基本原理FTP服務(wù)的基本概念FTP是用于進(jìn)行文件傳輸?shù)木W(wǎng)絡(luò)協(xié)議FTP服務(wù)中分為服務(wù)器和客戶機兩個角色FTP服務(wù)器的傳輸模式主動模式：由服務(wù)器主動連接客戶機建立數(shù)據(jù)鏈路被動模式：FTP服務(wù)器等待客戶機建立數(shù)據(jù)鏈路FTP服務(wù)器使用的端口21端口用于與客戶機建立命令鏈路在主動模式下服務(wù)器使用20端口向客戶機建立數(shù)據(jù)鏈路第3頁/共36頁主動模式的連接過程1：FTP客戶機由大于1024的N端口向FTP服務(wù)器的21端口發(fā)出請求建立命令鏈路2：FTP服務(wù)器由21端口向FTP客戶機的N端口回應(yīng)，確認(rèn)建立命令鏈路3：FTP服務(wù)器由20端口向FTP客戶機的N+1端口主動建立數(shù)據(jù)鏈路連接4：FTP客戶機由N+1端口向FTP服務(wù)器的20端口回應(yīng)，確認(rèn)數(shù)據(jù)鏈路的建立第4頁/共36頁被動模式的連接過程1：FTP客戶機由大于1024的N端口向FTP服務(wù)器的21端口發(fā)出請求建立命令鏈路2：FTP服務(wù)器由21端口向FTP客戶機的N端口回應(yīng)，確認(rèn)建立命令鏈路3：FTP服務(wù)器會通過已建立的數(shù)據(jù)鏈路通知客戶機自己已經(jīng)打開了大于1024的端口M，用于建路數(shù)據(jù)鏈路；當(dāng)需要傳輸數(shù)據(jù)時，F(xiàn)TP客戶機會通過N+1端口向FTP服務(wù)器的M端口請求建立數(shù)據(jù)鏈路4：FTP服務(wù)器在M端口監(jiān)聽到FTP客戶機的連接請求后，將從M端口向FTP客戶機的N+1端口確認(rèn)數(shù)據(jù)鏈路的建立第5頁/共36頁常用FTP服務(wù)器軟件Windows下常用的FTP服務(wù)器軟件IIS具有FTP服務(wù)器的功能Serv-U是流行的FTP服務(wù)器軟件Linux下的FTP服務(wù)器Wu-ftpd出現(xiàn)較早，運行穩(wěn)定，安全性稍差Proftpd在配置文件和安全性方面有很大改進(jìn)vsftpd著重強調(diào)服務(wù)的安全性，運行效率也很高vsftpd服務(wù)器是本章學(xué)習(xí)的重點第6頁/共36頁ftp命令作為FTP客戶端ftp命令是最基本的FTP客戶端軟件在Linux和Windows系統(tǒng)中都默認(rèn)提供ftp命令ftp命令的交互環(huán)境中使用命令對FTP服務(wù)器進(jìn)行操作ftp中很多命令與Bash中的命令類似binary設(shè)置傳輸二進(jìn)制文件，ascii設(shè)置傳輸文本文件get命令用于下載文件，put命令用于上傳文件mget和mput用于一次下載或上傳多個文件bye命令可退出ftp命令交互環(huán)境第7頁/共36頁FTP客戶端軟件FTP客戶端軟件的特點運行在圖形環(huán)境下的窗口程序可使用鼠標(biāo)和通過菜單進(jìn)行操作用戶界面友好，操作方便常用FTP客戶端軟件CuteFTP是Windows下流行的商業(yè)軟件Filezilla是Windows下運行的開源軟件gftp是Linux中GNOME桌面環(huán)境中運行的FTP客戶端軟件，是GNOME的重要組成部分第8頁/共36頁安裝vsftpdvsftpd的安裝需要注意以下幾點RHEL4系統(tǒng)中默認(rèn)沒有安裝vsftpd服務(wù)器vsftpd服務(wù)器的安裝文件位于第1張安裝光盤中安裝文件名稱是vsftpd-2.0.1-5.i386.rpm使用rpm命名可順利安裝該軟件包#rpm-ivhvsftpd-2.0.1-5.i386.rpm

第9頁/共36頁vsftpd.conf配置文件vsftpd.conf是vsftpd服務(wù)器的主配置文件/etc/vsftpd/vsftpd.conf

配置文件中所有的配置項都有相同的格式anonymous_enable=YES配置文件中的注釋行以“#”開始配置文件的詳細(xì)幫助信息可查詢手冊頁#manvsftpd.conf第10頁/共36頁vsftpd服務(wù)器的缺省配置vsftpd.conf文件中的缺省配置為：anonymous_enable=YESlocal_enable=YESwrite_enable=YESlocal_umask=022dirmessage_enable=YESxferlog_enable=YESconnect_from_port_20=YESxferlog_std_format=YESpam_service_name=vsftpduserlist_enable=YESlisten=YEStcp_wrappers=YESanonymous_enable設(shè)置為“YES”時FTP服務(wù)器允許匿名登錄local_enable設(shè)置為“YES”時允許本地用戶登錄

write_enable設(shè)置為“YES”時FTP服務(wù)器開放對本地用戶的寫權(quán)限local_umask設(shè)置項設(shè)置本地用戶的文件生成掩碼dirmessage_enable設(shè)置為“YES”時當(dāng)切換到FTP服務(wù)器中的某個目錄時，將顯示該目錄下的.message隱含文件的內(nèi)容xferlog_enable設(shè)置為“YES”時FTP服務(wù)器將啟用上傳和下載日志connect_from_port_20設(shè)置為“YES”時FTP服務(wù)器將啟用FTP數(shù)據(jù)端口的連接請求xferlog_std_format設(shè)置為“YES”時FTP服務(wù)器將使用標(biāo)準(zhǔn)的ftpdxferlog日志格式pam_service_name設(shè)置PAM認(rèn)證服務(wù)的配置文件名稱userlist_enable設(shè)置為“YES”時FTP服務(wù)器將檢查userlist_file設(shè)置文件中指定的用戶是否可以訪問vsftpd服務(wù)器listen設(shè)置為“YES”時FTP服務(wù)器將處于獨立啟動模式

tcp_wrappers設(shè)置為“YES”時FTP服務(wù)器將使用tcp_wrappers作為主機訪問控制方式

第11頁/共36頁vsftpd.ftpusers文件vsftpd.ftpusers用于保存不允許進(jìn)行FTP登錄的本地用戶帳號#head-5/etc/vsftpd.ftpusers#Usersthatarenotallowedtologinviaftprootbindaemonadm

vsftpd.ftpusers文件中可禁止高權(quán)限本地用戶登錄FTP服務(wù)器，提高了系統(tǒng)的安全性第12頁/共36頁vsftpd.user_list文件vsftpd.user_list文件具有對vsftpd服務(wù)器更靈活的用戶訪問控制/etc/vsftpd.user_list

使用vsftpd.user_list文件需要在主配置文件中進(jìn)行設(shè)置設(shè)置禁止vsftpd.user_list文件中的用戶登錄userlist_enable=YESuserlist_deny=YES

設(shè)置只允許vsftpd.user_list文件中的用戶登錄userlist_enable=YESuserlist_deny=NO

第13頁/共36頁匿名用戶登錄vsftpd服務(wù)器提供匿名用戶登錄的功能匿名用戶使用的登錄用戶名anonymousftp匿名FTP用戶登錄的口令通常是使用用戶的E-mail地址，在vsftpd中輸入任何字符串或直接回車都可以登錄所有匿名用戶都登錄到相同的目錄中/var/ftpFTP服務(wù)器的匿名登錄可用于構(gòu)建公共的文件下載服務(wù)器第14頁/共36頁vsftpd服務(wù)的啟動和關(guān)閉服務(wù)器啟動腳本啟動腳本名稱是vsftpd/etc/init.d/vsftpd

vsftpd服務(wù)需要設(shè)置在運行級別3和5自動啟動#chkconfig--level35vsftpdon

服務(wù)器啟動#servicevsftpdstart

服務(wù)器停止#servicevsftpdstop

服務(wù)器狀態(tài)查詢#servicevsftpdstatus

第15頁/共36頁使用ftp命令登錄FTP服務(wù)器ftp命令登錄FTP服務(wù)器的格式#ftp

匿名登錄使用用戶名anonymous或ftp登錄的FTP根目錄為系統(tǒng)目錄“/var/ftp”本地用戶登錄使用系統(tǒng)用戶帳號和口令登錄ftp服務(wù)器登錄FTP服務(wù)器后的目錄為用戶宿主目錄，用戶可轉(zhuǎn)換到系統(tǒng)中的其他目錄第16頁/共36頁FTP本地用戶帳號的問題使用FTP本地用戶帳號存在安全性問題FTP本地用戶使用Linux系統(tǒng)用戶帳號，存在安全隱患使用虛擬帳號替代本地用戶帳號可以增強系統(tǒng)的安全性本地用戶登錄FTP目錄后可從宿主目錄轉(zhuǎn)換到其他目錄，不是很安全可以設(shè)置將本地用戶禁錮在宿主目錄中第17頁/共36頁將FTP本地用戶禁錮在宿主目錄中在vsftpd.conf文件中添加設(shè)置項chroot_local_user=YES

重新啟動vsftpd服務(wù)#servicevsftpdrestart

使用ftp客戶端驗證本地用戶登錄FTP服務(wù)器后，宿主目錄將作為根（/）目錄第18頁/共36頁階段總結(jié)FTP是進(jìn)行文件傳輸?shù)木W(wǎng)絡(luò)協(xié)議FTP服務(wù)器和客戶機軟件在Linux和Windows平臺都有多種選擇vsftpd是以安全見長的FTP服務(wù)器軟件FTP客戶端可以是ftp命令或窗口程序vsftpd服務(wù)使用vsftpd.conf文件進(jìn)行核心配置vsftpd服務(wù)器的啟動腳本是vsftpdvsftpd默認(rèn)配置支持匿名用戶登錄和本地用戶登錄第19頁/共36頁階段練習(xí)查看vsftpd.conf配置文件的默認(rèn)設(shè)置使用ftp命令匿名登錄FTP服務(wù)器第20頁/共36頁vsftpd中支持的用戶類型匿名用戶使用公共的用戶帳號進(jìn)行登錄，通常用于提供公共文件下載服務(wù)本地用戶使用Linux系統(tǒng)用戶帳號登錄，每個用戶都使用各自的宿主目錄虛擬用戶使用獨立的文件保存虛擬帳號，安全性較好，可替代本地用戶第21頁/共36頁vsftpd虛擬用戶帳號的設(shè)置步驟建立虛擬用戶口令庫文件生成vsftpd的認(rèn)證文件建立虛擬用戶所需的PAM配置文件建立虛擬用戶所要訪問的目錄并設(shè)置相應(yīng)權(quán)限設(shè)置vsftpd.conf配置文件第22頁/共36頁vsftpd虛擬用戶配置3-1建立虛擬用戶口令庫文件口令庫文件中奇數(shù)行設(shè)置用戶名，偶數(shù)行設(shè)置口令#catlogins.txtmikepwabcdjohnpw1234生成vsftpd的認(rèn)證文件使用db_load命令生成認(rèn)證文件#db_load-T-thash-flogins.txt\/etc/vsftpd/vsftpd_login.db設(shè)置認(rèn)證文件只對用戶可讀可寫#chmod600/etc/vsftpd/vsftpd_login.db

第23頁/共36頁vsftpd虛擬用戶配置3-2建立虛擬用戶所需的PAM配置文件手工建立vsftpd.vu文件#cat/etc/pam.d/vsftpd.vuauthrequired/lib/security/pam_userdb.sodb=/etc/vsftpd/vsftpd_loginaccountrequired/lib/security/pam_userdb.sodb=/etc/vsftpd/vsftpd_login

建立虛擬用戶及要訪問的目錄并設(shè)置相應(yīng)的權(quán)限建立所有FTP虛擬用戶帳號使用的系統(tǒng)用戶帳號，并設(shè)置該帳號宿主目錄的權(quán)限#useradd-d/home/ftpsitevirtual#chmod700/home/ftpsite/

第24頁/共36頁vsftpd虛擬用戶配置3-3設(shè)置vsftpd.conf配置文件在配置文件中添加虛擬用戶的配置內(nèi)容guest_enable=YESguest_username=virtualpam_service_name=vsftpd.vu

重新啟動vsftpd服務(wù)程序?qū)sftpd.conf文件修改后需要重新啟動vsftpd服務(wù)程序#servicevsftpdrestart

第25頁/共36頁測試虛擬用戶帳號的FTP登錄使用ftp命令登錄FTP服務(wù)器使用已配置的虛擬用戶名和口令登錄FTP服務(wù)器，如能夠正常登錄說明虛擬帳號配置成功為了系統(tǒng)的安全，缺省配置的虛擬用戶只具有較低的用戶權(quán)限可以通過為每個虛擬用戶建立獨立的配置文件增加用戶的權(quán)限第26頁/共36頁對虛擬用戶設(shè)置不同的權(quán)限設(shè)置主配置文件在vsftpd.conf文件中添加用戶配置文件目錄設(shè)置user_config_dir=/etc/vsftpd_user_conf

建立用戶配置文件目錄使用mkdir命令建立用戶配置文件目錄#mkdir/etc/vsftpd_user_conf

為虛擬用戶建立單獨的配置文件用戶配置文件名稱與用戶名相同/etc/vsftpd_user_conf/mike

/etc/vsftpd_user_conf/john第27頁/共36頁虛擬用戶配置文件中的配置項每個FTP虛擬用戶都可以獨立設(shè)置其權(quán)限anon_world_readable_only=NOanon_upload_enable=YESanon_mkdir_write_enable=YESanon_other_write_enable=YES

“anon_world_readable_only=NO”表示用戶可以瀏覽FTP目錄和下載文件

“anon_upload_enable=YES”表示用戶可以上傳文件

“anon_mkdir_write_enable=YES”表示用戶具有建立和刪除目錄的權(quán)利

“anon_other_write_enable=YES”表示用戶具有文件改名和刪除文件的權(quán)限

第28頁/共36頁配置vsftpd服務(wù)器中的資源限制vsftpd服務(wù)器中的資源使用可以進(jìn)行限制max_clients=100max_per_ip=5local_max_rate=500000anon_max_rate=200000

max_clients設(shè)置項用于設(shè)置FTP服務(wù)器所允許的最大客戶端連接數(shù)，值為0時表示不限制

max_per_ip設(shè)置項用于設(shè)置對于同一IP地址允許的最大客戶端連接數(shù)，值為0時表示不限制

local_max_rate設(shè)置項用于設(shè)置本地用戶的最大傳輸速率，單位為bytes/sec，值為0時表示不限制

anon_max_rate設(shè)置項用于設(shè)置匿名用戶的最大傳輸速率，單位為bytes/sec，值為0表示不限制

第29頁/共36頁階段總結(jié)vsftpd服務(wù)器中可使用匿名用戶、本地用戶和虛擬用戶三種用戶類型FTP服務(wù)器中的虛擬用戶與本地用戶功能類似，但更加安全vsftpd服務(wù)器中使用虛擬用戶需要維護(hù)獨立的用戶口令庫文件vsftpd中的每個虛擬用戶可以建立用戶配置文件用于設(shè)置獨立的用戶權(quán)限vsftpd中可以限制客戶機對服務(wù)器資源的使用第30