第4章FTP服務(wù)器的配置與應(yīng)用

江蘇理工學(xué)院計(jì)算機(jī)工程學(xué)院Linux服務(wù)器管理與應(yīng)用史培中spz0812@第4章FTP服務(wù)器的配置與應(yīng)用4.1FTP服務(wù)概述4.2vsftpd服務(wù)器的安裝與配置4.3PureFTPD服務(wù)器的安裝與配置4.4FTP客戶端的配置與訪問4.5文件傳輸命令產(chǎn)生背景：實(shí)現(xiàn)信息共享是使用因特網(wǎng)的首要目的，而文件傳輸是信息共享非常重要的內(nèi)容之一。以HTTP協(xié)議為基礎(chǔ)的Web服務(wù)功能雖然強(qiáng)大，但對(duì)于文件傳輸來說卻略顯不足，需要一種專門用作文件傳輸?shù)姆?wù)。FTP服務(wù)：文件傳輸協(xié)議（FileTransferProtocol），用于Internet上的控制文件的雙向傳輸，它同時(shí)也是一個(gè)應(yīng)用程序。優(yōu)點(diǎn)：用戶通過它可以把自己的PC與所有運(yùn)行FTP協(xié)議的服務(wù)器相連，訪問服務(wù)器上的大量程序和信息，具有更強(qiáng)的文件傳輸可靠性和更高的傳輸效率。4.1FTP服務(wù)概述4.1.1FTP工作原理FTP協(xié)議大大簡(jiǎn)化了文件傳輸?shù)膹?fù)雜性，它能夠使文件通過網(wǎng)絡(luò)從一臺(tái)主機(jī)傳送到另外一臺(tái)計(jì)算機(jī)上，卻不受計(jì)算機(jī)和操作系統(tǒng)類型的限制。4.1FTP服務(wù)概述4.1.2匿名用戶訪問方式 FTP服務(wù)不同于WWW，它首先要求登錄到服務(wù)器上，然后再進(jìn)行文件的傳輸，這對(duì)于很多公開提供軟件下載的服務(wù)器來說十分不方便，于是匿名用戶訪問就誕生了。匿名用戶登錄

通過使用一個(gè)公用的用戶名Anonymous，密碼不限的管理策略，讓任何用戶都可以很方便地從這些服務(wù)器上下載軟件。4.1FTP服務(wù)概述4.1.3FTP服務(wù)的傳輸模式主動(dòng)傳輸模式

FTP客戶端隨機(jī)開啟一個(gè)大于1024的端口N（1025）向服務(wù)器的21端口發(fā)起連接，然后開放N+1號(hào)端口

（1026）進(jìn)行監(jiān)聽，并向服務(wù)器發(fā)

出PORT1026命令。

服務(wù)器接收到命令后，會(huì)用本地的 FTP數(shù)據(jù)端口（20）來連接客戶端

指定的端口1026，進(jìn)行數(shù)據(jù)傳輸。4.1FTP服務(wù)概述4.1.3FTP服務(wù)的傳輸模式被動(dòng)傳輸模式

FTP客戶端隨機(jī)開啟一個(gè)大于1024的端口N（1025）向服務(wù)器的21號(hào)端口發(fā)起連接，同時(shí)會(huì)開啟 N+1號(hào)端口（1026），然后

向服務(wù)器發(fā)送PASV命令，通知

服務(wù)器自己處于被動(dòng)模式。服務(wù)

器收到命令后，會(huì)開放一個(gè)大于 1024的端口P（1521）進(jìn)行監(jiān)

聽，然后用PORTP命令通知客

戶端。4.1FTP服務(wù)概述4.1.4流行的FTP服務(wù)器軟件簡(jiǎn)介Wu-ftpd

發(fā)布較早，程序組織比較亂，安全性不太好。Proftpd

容易配置，下載速度比較快，緩沖溢出的錯(cuò)誤較少。Vsftpd

RHEL5內(nèi)置的FTP服務(wù)器軟件，使用方法簡(jiǎn)單，安全性高。PureFTPD

它是Linux下一款很著名的FTP服務(wù)器軟件，在SuSE、Debian中內(nèi)置，不過在RHEL5中卻沒有內(nèi)置。

4.1FTP服務(wù)概述RHEL5內(nèi)置有RedHatContentAcceletatot和vsftpd兩款FTP服務(wù)器軟件。RedHatContentAcceletatot：是一款基于內(nèi)核的Web服務(wù)器，不過它提供了Web和FTP兩種服務(wù)。VerySecureFTPDaemon：以安全作為第一要素的，穩(wěn)定性、效率方面表現(xiàn)也不錯(cuò)。4.2vsftpd服務(wù)器的安裝與配置4.2.1安裝vsftpd服務(wù)vsftpd服務(wù)器的安裝很簡(jiǎn)單，只要安裝一個(gè)RPM軟件包即可

（1）查詢是否安裝了vsftpd服務(wù)

（2）安裝vsftpd4.2vsftpd服務(wù)器的安裝與配置4.2.2vsftpd服務(wù)的啟動(dòng)與關(guān)閉啟動(dòng)vsFTPd服務(wù)

#/etc/rc.d/init.d/vsftpdstart servicevsftpdstart停止vsFTPd服務(wù)

#/etc/rc.d/init.d/vsftpdstop servicevsftpdstop重新啟動(dòng)vsFTPd服務(wù)

#/etc/rc.d/init.d/vsftpdrestart servicevsftpdrestart自動(dòng)運(yùn)行vsFTPd服務(wù)

執(zhí)行“ntsysv”命令啟動(dòng)服務(wù)配置程序，在其前面加上“*”號(hào)。4.2vsftpd服務(wù)器的安裝與配置4.2.3vsftpd的配置文件/etc/pam.d/vsftpd

加強(qiáng)vsftpd服務(wù)器的用戶認(rèn)證；/etc/vsftpd/vsftpd.conf vsftpd的主配置文件/etc/vsftpd/ftpusers

此文件內(nèi)的用戶不能訪問vsftpd服務(wù)。/etc/vsftpd/user_list

文件內(nèi)的用戶可能被拒絕，也可能被允許，取決于主配置文件中參數(shù)值。/var/ftp

提供服務(wù)的文件集散地，它包括一個(gè)pub子目錄。默認(rèn)情況下，所有目錄都為直讀，不過只有root用戶有寫權(quán)限。4.2vsftpd服務(wù)器的安裝與配置4.2.4監(jiān)聽地址與控制端口用文本編輯器打開/ect/vsftpd/vsftpd.conf文件 #vi/etc/vsftpd/vsftpd.conf在其中添加如下兩行 Listen_address= Listen_port=2121

這樣，客戶端訪問就要通過2121端口，而不是默認(rèn)的21端口進(jìn)行了。

4.2vsftpd服務(wù)器的安裝與配置4.2.5FTP模式與數(shù)據(jù)端口ftp_data_port//定義FTP傳輸數(shù)據(jù)的端口；pasv_address//定義vsftpd服務(wù)器使用PASV模式時(shí)使用IP地址；pasv_enable//默認(rèn)值為YES，也就是允許使用PASV模式；pasv_min_port//指定PASV模式可以使用的最?。ù螅┒丝冢J(rèn)為0；pasv_promiscuous//設(shè)置為YES，可以允許使用FxP功能；port_enable

//允許使用主動(dòng)傳輸模式，默認(rèn)值為YES。4.2vsftpd服務(wù)器的安裝與配置4.2.6ASCII模式ascii_download_enable

設(shè)置是否可用ASCII模式下載。默認(rèn)值為”NO”;ascii_upload_enable

設(shè)置是否可用ASCII模式上傳。默認(rèn)值為“NO”；4.2vsftpd服務(wù)器的安裝與配置4.2.7超時(shí)選項(xiàng)data_connection_timeout

定義數(shù)據(jù)在傳輸過程中被阻塞的最長(zhǎng)時(shí)間（以秒為單位，默認(rèn)300秒）;idle_session_timeout

定義客戶端閑置的最長(zhǎng)時(shí)間（以秒為單位，默認(rèn)300秒）;4.2vsftpd服務(wù)器的安裝與配置4.2.8負(fù)載控制anon_max_rate=5000

匿名用戶的最大傳輸速率（單位是bps）;local_max_rate=20000

本地用戶的最大傳輸速率（單位是bps）;4.2vsftpd服務(wù)器的安裝與配置4.2.9匿名用戶anonymous_enable //表示是否啟用匿名用戶anon_mkdir_write_enable //匿名用戶是否可以創(chuàng)建新目錄anon_root //匿名登錄后，切換到指定目錄anon_upload_enable //匿名用戶向具備寫權(quán)限的目錄上傳文件anon_world_readable_only//代表匿名用戶具備下載權(quán)限ftp_username //指定匿名用戶與本地哪個(gè)帳號(hào)相對(duì)應(yīng)no_anon_password //匿名用戶是否需要輸入密碼secure_email_list_enable //匿名用戶只有采用特定的Email作為密碼4.2vsftpd服務(wù)器的安裝與配置4.2.10本地用戶local_enable //是否允許本地用戶登錄chmod_enable //是否允許通過”SITECHMOD”命令改權(quán)限chroot_local_user //是否只能訪問到本地用戶的主目錄chroot_list_enable //是否可以例外的切換到本地用戶的主目錄以外local_root //指定本地用戶登錄后切換至的目錄local_umask //設(shè)置文件創(chuàng)建的權(quán)限掩碼4.2vsftpd服務(wù)器的安裝與配置4.2.11虛擬目錄guest_enable

當(dāng)設(shè)置為YES時(shí)，所有非匿名用戶都被映射為一個(gè)特定的本地用戶。guest_username

設(shè)置虛擬用戶映射到本地用戶，默認(rèn)值為“ftp”。4.2vsftpd服務(wù)器的安裝與配置4.2.12用戶登錄控制banner_file

設(shè)置客戶端登錄之后，服務(wù)器顯示客戶端的信息，保存在該文件；cmds_allowed

設(shè)置客戶端登錄后，客戶端可以執(zhí)行的命令集合；ftpd_banner

設(shè)置客戶端登錄后，客戶端顯示的歡迎信息或者其他相關(guān)信息；userlist_enable userlist_deny設(shè)置使用user_list文件來控制用戶的訪問權(quán)限；4.2vsftpd服務(wù)器的安裝與配置4.2.13目錄訪問控制dirlist_enabledirmessage_enableForce_dot_filesMessage_fileHide_ids4.2vsftpd服務(wù)器的安裝與配置4.2.14文件操作控制download_enable

設(shè)置是否允許下載。默認(rèn)為“YES”，即允許下載；chown_uploads

設(shè)置匿名用戶是否允許上傳文件，默認(rèn)值為“NO”；chown_username

設(shè)置匿名用戶上傳的文件的擁有者。默認(rèn)值是“root”；write_enable

設(shè)置為“YES”時(shí)，F(xiàn)TP客戶端登錄后允許使用刪除（DELE）、重命名（RNFR）和斷點(diǎn)續(xù)傳（STOR）命令。4.2vsftpd服務(wù)器的安裝與配置4.2.15新增文件權(quán)限dual_log_enablelog_ftp_protocolsyslog_enablexferlog_enablexferlog_std_format4.2vsftpd服務(wù)器的安裝與配置4.2.16日志設(shè)置Xferlog_std_format

傳輸日志文件將以標(biāo)準(zhǔn)xferlog的格式書寫。此格式的日志文件默認(rèn)為/var/log/xferlog，也可以通過xferlog_file選項(xiàng)來設(shè)定。Xferlog_enable

如果啟用將會(huì)維護(hù)一個(gè)日志文件，用于詳細(xì)記錄上傳和下載。默認(rèn)情況下，這個(gè)日志文件是/var/log/vsftpd.log4.2vsftpd服務(wù)器的安裝與配置4.2.17允許匿名用戶上傳文件第1步[root@localhost~]#vi/etc/vsftpd/vsftpd.conf第2步write_enable=YES

；允許上傳；anon_upload_enable=YES ；允許匿名用戶上傳；anon_mkdir_write_enable=YES ；允許匿名用戶創(chuàng)建目錄和上傳；anon_other_write_enable=NO ；但不允許匿名用戶刪除和改名；

第3步[root@localhost~]#chmodftp.root/var/ftp/pub第4步[root@localhost~]#servicevsftpdrestart4.2vsftpd服務(wù)器的安裝與配置4.2.18限制用戶目錄修改配置文件

打開/etc/vsftpd/vsftpd.conf文件，添加以下行：

chroot_local_user=YES重啟vsftpd服務(wù)器

執(zhí)行/etc/init.d/vsftpdrestart重啟vsftpd服務(wù)器再以本地用戶登錄

測(cè)試只能訪問本地用戶的主目錄4.2vsftpd服務(wù)器的安裝與配置4.2.19配置高安全級(jí)別的匿名FTP服務(wù)器第2步，基本安全配置anonymous_enable=YES ；啟用匿名訪問local_enable=NO ；關(guān)閉本地用戶訪問write_enable=NO ；關(guān)閉本地用戶的寫權(quán)限anon_upload_enable=NO ；關(guān)閉匿名用戶的上傳權(quán)限anon_mkdir_write_enable=NO ；關(guān)閉匿名用戶創(chuàng)建目錄和寫入文件的權(quán)限anon_other_write_enable=NO ；關(guān)閉匿名用戶刪除、改名的權(quán)限第3步，進(jìn)一步安全調(diào)整anon_world_readable_only=YES ；匿名用戶對(duì)任何資源最多只有只讀權(quán)限hide_ids=YES ；隱藏文件夾和目錄屬主，都以FTP代替pasv_min_port=50000第4步，開啟監(jiān)控xferlog_enable=YES ；打開日志，日志文件為/var/log/vsftpd.logls_recurse_enable=NO ；禁用危險(xiǎn)的“l(fā)s–R”指令ascii_download_enable=NO ；禁止ASCII模式下載第5步，性能優(yōu)化one_process_model=YES ；每個(gè)IP單一進(jìn)程模式idle_session_timeout=120 ；刪除空閑了兩分鐘后的用戶data_connection_timeout=300 ；刪除空閑了五分鐘后的下載accept_timeout=60 ；刪除掛起了一分鐘后的被動(dòng)連接connect_timeout=60 ；刪除掛起了一分鐘后的活動(dòng)連接anon_max_rate=50000 ；匿名用戶最大傳輸速率為50KB/s4.2vsftpd服務(wù)器的安裝與配置4.2.20實(shí)戰(zhàn)虛擬用戶安裝必需的軟件創(chuàng)建用戶數(shù)據(jù)庫

（1）創(chuàng)建一個(gè)臨時(shí)文件，比如/etc/vsftpd/ftp_pam_db.users；

（2）用db_load命令生成pam_userdb認(rèn)證所需要的賬號(hào)文件；

（3）配置PAM信息；

（4）配置vsftpd賬號(hào)；

（5）創(chuàng)建虛擬用戶目錄；

（6）按照該配置文件啟動(dòng)服務(wù)；

（7）用虛擬用戶測(cè)試目錄權(quán)限。4.2vsftpd服務(wù)器的