Linux操作系統(tǒng)安全配置 課件 項(xiàng)目7　FTP服務(wù)安全配置

單擊此處編輯母版標(biāo)題樣式

FTP工作過程學(xué)習(xí)內(nèi)容企業(yè)需求0102FTP服務(wù)器的功能03FTP服務(wù)器的工作模式04FTP服務(wù)器的用戶分類05總結(jié)

企業(yè)需求1某公司在某校校園網(wǎng)建設(shè)的需求調(diào)查中，師生反映使用Web服務(wù)器上傳下載教學(xué)資料很不方便。公司決定在校園網(wǎng)中搭建一個FTP服務(wù)器，集中存放師生的教學(xué)資料，供師生更新、下載和上傳文檔資料；并設(shè)置訪問權(quán)限確保數(shù)據(jù)來源的正確性和數(shù)據(jù)存取的安全性。

企業(yè)需求1FTP服務(wù)拓?fù)銯TP客戶端0/24FTP移動客戶端FTP客戶端上傳下載

FTP服務(wù)器的功能21.FTP服務(wù)的作用（1）FTP(FileTransferProtocol,文件傳輸協(xié)議)是使網(wǎng)絡(luò)中的計(jì)算機(jī)之間實(shí)現(xiàn)文件傳送的標(biāo)準(zhǔn)協(xié)議。（2）FTP主要應(yīng)用于文件及軟件資源的上傳與下載和Web站點(diǎn)的維護(hù)與更新

FTP服務(wù)器的功能22.FTP的系統(tǒng)組成FTP服務(wù)系統(tǒng)由服務(wù)器軟件、客戶端軟件和FTP通信協(xié)議三部分組成。FTP服務(wù)器軟件常見的有vsftpd、wu-ftpd、Proftpd、微軟IISFTP、Serv-U等。本教程介紹的是vsftpd（verysecureFTPdaemon）。

FTP服務(wù)器的功能23.FTP服務(wù)的工作過程一個完整的FTP文件傳輸需要建立兩種類型的連接，一種為文件傳輸下命令，稱為控制連接，另一種實(shí)現(xiàn)真正的文件傳輸，稱為數(shù)據(jù)連接。（1）控制連接客戶端希望與FTP服務(wù)器建立上傳下載的數(shù)據(jù)傳輸時，它首先向服務(wù)器的TCP21端口發(fā)起一個建立連接的請求，F(xiàn)TP服務(wù)器接受來自客戶端的請求，完成連接的建立過程，這樣的連接就稱為FTP控制連接。（2）數(shù)據(jù)連接FTP控制連接建立之后，即可開始傳輸文件，傳輸文件的連接稱為FTP數(shù)據(jù)連接。FTP數(shù)據(jù)連接就是FTP傳輸數(shù)據(jù)的過程，它有兩種傳輸模式:主動模式(PORT/standard)和被動模式(PASV)。

FTP服務(wù)器的工作模式3（1）主動模式（PORT/Standard）Ftp客戶機(jī)Ftp服務(wù)器(1)隨機(jī)開放端口N（N>1024)21端口(2)向服務(wù)器的21端口發(fā)出連接請求(3)登錄FTP服務(wù)器(4)輸入正確的FTP用戶名、密碼(5)登錄成功(6)開入偵聽端口N+1(7)發(fā)送：PORTN+1命令，請求通過N+1端口建立數(shù)據(jù)連接20端口(8)連接客戶端N+1端口(9)數(shù)據(jù)連接建立，開始傳輸數(shù)據(jù)控制連接數(shù)據(jù)連接

FTP服務(wù)器的工作模式3（2）被動模式（PASV）Ftp客戶機(jī)Ftp服務(wù)器(1)隨機(jī)開放端口N（N>1024)21端口(2)向服務(wù)器的21端口發(fā)出連接請求(3)登錄FTP服務(wù)器(4)輸入正確的FTP用戶名、密碼(5)登錄成功(6)開入偵聽端口N+1(7)發(fā)送PASV命令：通知服務(wù)器處于被動模式P端口(9)連接服務(wù)器P端口，建立數(shù)據(jù)連接(10)傳輸數(shù)據(jù)控制連接數(shù)據(jù)連接(8)開啟偵聽端口P（P>1024），等待客戶端建立數(shù)據(jù)連接

FTP服務(wù)器的用戶分類4

vsftpd用戶的類型（1）匿名用戶：anonymous或ftp，通常用于公共文件的下載服務(wù)。（2）本地用戶：使用Linux系統(tǒng)用戶登錄，帳號名稱、密碼等信息保存在passwd、shadow文件中，每個用戶都使用各自的宿主目錄。（3）虛擬用戶：使用獨(dú)立的文件保存虛擬帳號，安全性較好，可替代本地用戶總結(jié)5FTP服務(wù)器的功能FTP服務(wù)器的工作模式FTP服務(wù)器的用戶分類單擊此處編輯母版標(biāo)題樣式

FTP配置本地用戶學(xué)習(xí)內(nèi)容企業(yè)需求0102配置本地用戶訪問家目錄03配置本地用戶訪問公共目錄04配置本地用戶訪問限定目錄05總結(jié)

企業(yè)需求1某公司在校園網(wǎng)中使用vsftpd搭建了一個FTP服務(wù)器，為了供服務(wù)器維護(hù)及教師下載、上傳資料，決定將此服務(wù)器中每個教師帳號既可以在自己的用戶目錄中上傳和下載資料，又可以在公用目錄public中上傳和下載資料，Web管理員用戶只能訪問指定目錄上傳和下載。

企業(yè)需求1FTP服務(wù)拓?fù)銯TP客戶端0/24FTP移動客戶端FTP客戶端上傳下載配置本地用戶訪問家目錄21.新建本地用戶[root@server~]#useraddteacher1[root@server~]#passwdteacher1[root@server~]#touch/home/teacher1/test1.txt//建立測試文件配置本地用戶訪問家目錄22.客戶端測試[root@localhost~]#touchtest2.txt//建立測試文件[root@localhost~]#ftp0……Name(0:root):teacher1//用戶登錄Password:230Loginsuccessful.……ftp>ls-rw-r--r--1000Oct0604:30test1.txt//用戶登錄默認(rèn)目錄為家目錄……配置本地用戶訪問家目錄22.客戶端測試ftp>gettest1.txt……226Transfercomplete.//下載文件ftp>mkdirabc257“/home/teacher1/abc”created//新建目錄ftp>cdabcftp>puttest2.txt……226Transfercomplete.//上傳文件配置本地用戶訪問公共目錄21.新建公共目錄[root@server~]#mkdir/var/ftp/public[root@server~]#chmodo+w/var/ftp/public[root@server~]#chcon-tpublic_content_rw_t/var/ftp/public//修改/var/ftp/share目錄的安全上下文屬性[root@server~]#setsebool-Pftpd_full_accesson//修改布爾值狀態(tài),開放ftp訪問[root@server~]#getsebool-a|grepftp//過濾與FTP相關(guān)的布爾值信息……ftpd_full_access-->on……配置本地用戶訪問公共目錄22.客戶端測試[root@localhost~]#ftp0……Name(0:root):teacher1//用戶登錄……ftp>cd/var/ftp/public//訪問公共目錄ftp>mkdirteacher1//新建目錄ftp>cdteacher1ftp>puttest2.txt//上傳文件……226Transfercomplete.配置本地用戶訪問限定目錄32.修改主配置文件[root@server~]#vim/etc/vsftpd/vsftpd.conf//查找以下各行并修改之,其他配置行保持默認(rèn)local_root=/var/www/web1 //添加至17行:設(shè)置本地用戶登錄后的根目錄allow_writeable_chroot=YES//添加至20行:使限定用戶具有寫權(quán)限chroot_local_user=NO //100行:不將所有用戶限制在登錄根目錄內(nèi)chroot_list_enable=YES //101行:開啟鎖定用戶的chroot功能chroot_list_file=/etc/vsftpd/chroot_list //103行:設(shè)置鎖定用戶的列表文件配置本地用戶訪問限定目錄33.建立/etc/vsftpd/chroot_list文件,將被鎖定的用戶adminweb加入其中。[root@server~]#vim/etc/vsftpd/chroot_listadminweb4.修改SELinux布爾量,允許本地用戶登錄。[root@ftp_server~]#getsebool-a|grepftp//查看與ftp有關(guān)的所有SElinux的布爾值[root@ftp_server~]#setsebool-Pftpd_full_accesson//開放ftp訪問配置本地用戶訪問限定目錄35.客戶端測試[root@localhost~]#ftp0……Name(0:root):adminweb//用戶登錄……ftp>cd/home/adminweb550Failedtochangedirectory.//目錄被限定，不能訪問其他目錄ftp>mkdirabc//新建目錄ftp>cdabcftp>puttest2.txt//上傳文件……226Transfercomplete.總結(jié)4本地用戶的家目錄訪問指定目錄權(quán)限及存在的問題：不能針對不同用戶進(jìn)行不同的權(quán)限設(shè)置，安全性無法保障，所以要設(shè)置虛擬用戶單擊此處編輯母版標(biāo)題樣式

FTP虛擬用戶配置學(xué)習(xí)內(nèi)容應(yīng)用需求0102FTP虛擬用戶配置03FTP客戶端配置04終結(jié)

應(yīng)用需求1某學(xué)校需要在Linux平臺上架設(shè)基于vsftp的FTP服務(wù)器，為保障服務(wù)器的安全，采用虛擬賬戶的形式，虛擬賬戶名分別為vuser01、vuser02，虛擬用戶不允許登錄Linux操作系統(tǒng)，并將其鎖定在指定目錄/var/ftp/vdirectory內(nèi)，不能進(jìn)入其他目錄，無文件上傳權(quán)限。

應(yīng)用需求1根據(jù)應(yīng)用需求，主要包括以下內(nèi)容完成FTP服務(wù)器的架設(shè)：vsftp軟件包的安裝、虛擬用戶數(shù)據(jù)庫的建立、PAM文件的配置、虛擬用戶對應(yīng)系統(tǒng)用戶的建立、vsftp服務(wù)配置文件的修改等工作。

FTP虛擬用戶配置2在Linux服務(wù)器上安裝vsftpd軟件包，啟動vsftpd服務(wù)，并設(shè)置vsftpd開機(jī)自動運(yùn)行[root@localhost~]#yuminstallvsftpd[root@localhost~]#systemctlenablevsftpd[root@localhost~]#systemctlstartvsftpd

FTP虛擬用戶配置2配置SELinux，允許vsftpd訪問所有文件和目錄，包括用戶家目錄和其他系統(tǒng)目錄。[root@localhost~]#setsebool-Pftpd_full_accesson

FTP虛擬用戶配置2防火墻firewalld放行ftp流量[root@localhost~]#firewall-cmd--permanent--add-service=ftp[root@localhost~]#firewall-cmd--reload

FTP虛擬用戶配置2在/vaccount目錄下創(chuàng)建用戶數(shù)據(jù)文件vaccount.txt[root@localhost~]#mkdir/vaccount[root@localhost~]#touch/vaccount/vaccount