《網(wǎng)絡(luò)操作系統(tǒng)》課件-第十三部分 FTP服務(wù)器 配置

Linux操作系統(tǒng)管理1第13章FTP服務(wù)器配置項目導(dǎo)入職業(yè)能力目標(biāo)和要求2

掌握FTP服務(wù)的工作原理。學(xué)會配置vsftpd服務(wù)器。某學(xué)院組建了校園網(wǎng)，建設(shè)了學(xué)院網(wǎng)站，架設(shè)了Web服務(wù)器來為學(xué)院網(wǎng)站安家，但在網(wǎng)站上傳和更新時，需要用到文件上傳和下載功能，因此還要架設(shè)FTP服務(wù)器，為學(xué)院內(nèi)部和互聯(lián)網(wǎng)用戶提供FTP等服務(wù)。本單元將實踐配置與管理FTP服務(wù)器。項目13

配置與管理FTP服務(wù)器主要內(nèi)容13.1相關(guān)知識13.1.1FTP工作原理13.1.2匿名用戶13.2項目設(shè)計與準(zhǔn)備13.3項目實施13.3.1安裝、啟動與停止vsftpd服務(wù)13.3.2認(rèn)識vsftpd的配置文件13.3.3配置匿名用戶FTP實例13.3.4配置本地模式的常規(guī)FTP服務(wù)器案例13.3.5設(shè)置vsftp虛擬賬號3項目13

配置與管理FTP服務(wù)器主要內(nèi)容13.4項目實錄13.5練習(xí)題13.6實踐習(xí)題13.7超級鏈接4513.1相關(guān)知識以HTTP為基礎(chǔ)的WWW服務(wù)功能雖然強(qiáng)大，但對于文件傳輸來說卻略顯不足。一種專門用于文件傳輸?shù)腇TP服務(wù)應(yīng)運(yùn)而生。

FTP服務(wù)就是文件傳輸服務(wù)，F(xiàn)TP的全稱是FileTransferProtocol，顧名思義，就是文件傳輸協(xié)議，具備更強(qiáng)的文件傳輸可靠性和更高的效率。

1．bind軟件包簡介BIND是一款實現(xiàn)DNS服務(wù)器的開放源碼軟件。FTP大大簡化了文件傳輸?shù)膹?fù)雜性，它能夠使文件通過網(wǎng)絡(luò)從一臺主機(jī)傳送到另外一臺計算機(jī)上卻不受計算機(jī)和操作系統(tǒng)類型的限制。無論是PC、服務(wù)器、大型機(jī)，還是IOS、Linux、Windows操作系統(tǒng)，只要雙方都支持協(xié)議FTP，就可以方便、可靠地進(jìn)行文件的傳送。613.1.1FTP的工作原理

FTP服務(wù)的具體工作過程如下，如圖11-1所示。（1）客戶端向服務(wù)器發(fā)出連接請求，同時客戶端系統(tǒng)動態(tài)地打開一個大于1024的端口等候服務(wù)器連接（比如1031端口）。（2）若FTP服務(wù)器在端口21偵聽到該請求，則會在客戶端1031端口和服務(wù)器的21端口之間建立起一個FTP會話連接。（3）當(dāng)需要傳輸數(shù)據(jù)時，F(xiàn)TP客戶端再動態(tài)地打開一個大于1024的端口（比如1032端口）連接到服務(wù)器的20端口，并在這兩個端口之間進(jìn)行數(shù)據(jù)的傳輸。當(dāng)數(shù)據(jù)傳輸完畢后，這兩個端口會自動關(guān)閉。（4）當(dāng)FTP客戶端斷開與FTP服務(wù)器的連接時，客戶端上動態(tài)分配的端口將自動釋放。7

通過使用一個共同的用戶名anonymous，密碼不限的管理策略（一般使用用戶的郵箱作為密碼即可）讓任何用戶都可以很方便地從這些服務(wù)器上下載軟件。813.1.2匿名用戶913.2項目設(shè)計與準(zhǔn)備主機(jī)名稱操作系統(tǒng)IP地址角色及其他DHCP服務(wù)器：server1CentOS7FTP服務(wù)器，VMnet1Linux客戶端：Client1CentOS70FTP客戶端，VMnet1Windows客戶端：Win7-1Windows70宿主機(jī)、FTP客戶端，直接在網(wǎng)卡VMnet1上設(shè)置IP地址為：0/24亦可1013.3項目實施13.3.1安裝、啟動與停止vsftpd服務(wù)1.安裝vsftpd服務(wù)[root@server1~]#rpm-qvsftpd[root@server1~]#mkdir/iso[root@server1~]#mount/dev/cdrom/iso[root@server1~]#yumcleanall //安裝前先清除緩存[root@server1~]#yuminstallvsftpd-y[root@server1~]#yuminstallftp-y //同時安裝ftp軟件包[root@server1~]#rpm-qa|grepvsftpd //檢查安裝組件是否成功1113.3項目實施13.3.1安裝、啟動與停止vsftpd服務(wù)2.vsftpd服務(wù)啟動、重啟、隨系統(tǒng)啟動、停止，開放防火墻，開放SELinux[root@server1~]#systemctlrestartvsftpd[root@server1~]#systemctlenablevsftpd[root@server1~]#firewall-cmd--permanent--add-service=ftp[root@server1~]#firewall-cmd--reload[root@server1~]#setsebool-Pftpd_full_access=on1213.3項目實施13.3.2認(rèn)識vsftpd的配置文件1.主配置文件[root@server1~]#mv/etc/vsftpd/vsftpd.conf/etc/vsftpd/vsftpd.conf.bak[root@server1~]#grep-v"#"/etc/vsftpd/vsftpd.conf.bak>/etc/vsftpd/vsftpd.conf[root@server1~]#cat/etc/vsftpd/vsftpd.conf-n131.主配置文件1 anonymous_enable=YES2 local_enable=YES3 write_enable=YES4 local_umask=0225 dirmessage_enable=YES6 xferlog_enable=YES7 connect_from_port_20=YES8 xferlog_std_format=YES9 listen=NO10 listen_ipv6=YES11 12 pam_service_name=vsftpd13 userlist_enable=YES14 tcp_wrappers=YES14參數(shù)作用listen=[YES|NO]是否以獨(dú)立運(yùn)行的方式監(jiān)聽服務(wù)listen_address=IP地址設(shè)置要監(jiān)聽的IP地址listen_port=21設(shè)置FTP服務(wù)的監(jiān)聽端口download_enable＝[YES|NO]是否允許下載文件userlist_enable=[YES|NO]userlist_deny=[YES|NO]設(shè)置用戶列表為“允許”還是“禁止”操作max_clients=0最大客戶端連接數(shù)，0為不限制max_per_ip=0同一IP地址的最大連接數(shù)，0為不限制anonymous_enable=[YES|NO]是否允許匿名用戶訪問anon_upload_enable=[YES|NO]是否允許匿名用戶上傳文件anon_umask=022匿名用戶上傳文件的umask值anon_root=/var/ftp匿名用戶的FTP根目錄anon_mkdir_write_enable=[YES|NO]是否允許匿名用戶創(chuàng)建目錄anon_other_write_enable=[YES|NO]是否開放匿名用戶的其他寫入權(quán)限（包括重命名、刪除等操作權(quán)限）anon_max_rate=0匿名用戶的最大傳輸速率（字節(jié)/秒），0為不限制local_enable=[YES|NO]是否允許本地用戶登錄FTPlocal_umask=022本地用戶上傳文件的umask值local_root=/var/ftp本地用戶的FTP根目錄chroot_local_user=[YES|NO]是否將用戶權(quán)限禁錮在FTP目錄，以確保安全local_max_rate=0本地用戶最大傳輸速率（字節(jié)/秒），0為不限制1513.3項目實施13.3.2認(rèn)識vsftpd的配置文件2./etc/pam.d/vsftpdvsftpd的PluggableAuthenticationModules（PAM）配置文件，主要用來加強(qiáng)vsftpd服務(wù)器的用戶認(rèn)證。3./etc/vsftpd/ftpusers所有位于此文件內(nèi)的用戶都不能訪問vsftpd服務(wù)。當(dāng)然，為了安全起見，這個文件中默認(rèn)已經(jīng)包括了root、bin和daemon等系統(tǒng)賬號。1613.3項目實施13.3.2認(rèn)識vsftpd的配置文件4./etc/vsftpd/user_list 當(dāng)userlist_deny=NO時,僅允許文件列表中的用戶訪問FTP服務(wù)器。 當(dāng)userlist_deny=YES時，這也是默認(rèn)值，拒絕文件列表中的用戶訪問FTP服務(wù)器5./var/ftp文件夾vsftpd提供服務(wù)的文件集散地，它包括一個pub子目錄。在默認(rèn)配置下，所有的目錄都是只讀的，不過只有root用戶有寫權(quán)限。1713.3.3配置匿名用戶FTP實例1.vsftpd的認(rèn)證模式vsftpd允許用戶以三種認(rèn)證模式登錄到FTP服務(wù)器上。匿名開放模式：是一種最不安全的認(rèn)證模式，任何人都可以無需密碼驗證而直接登錄到FTP服務(wù)器。本地用戶模式：是通過Linux系統(tǒng)本地的賬戶密碼信息進(jìn)行認(rèn)證的模式，相較于匿名開放模式更安全，而且配置起來也很簡單。但是如果被黑客破解了賬戶的信息，就可以暢通無阻地登錄FTP服務(wù)器，從而完全控制整臺服務(wù)器。虛擬用戶模式：是這三種模式中最安全的一種認(rèn)證模式，它需要為FTP服務(wù)單獨(dú)建立用戶數(shù)據(jù)庫文件，虛擬映射用來進(jìn)行口令驗證的賬戶信息，而這些賬戶信息在服務(wù)器系統(tǒng)中實際上是不存在的，僅供FTP服務(wù)程序進(jìn)行認(rèn)證使用。這樣，即使黑客破解了賬戶信息也無法登錄服務(wù)器，從而有效降低了破壞范圍和影響。1813.3.3配置匿名用戶FTP實例2.匿名用戶登錄的參數(shù)說明參數(shù)作用anonymous_enable=YES允許匿名訪問模式anon_umask=022匿名用戶上傳文件的umask值anon_upload_enable=YES允許匿名用戶上傳文件anon_mkdir_write_enable=YES允許匿名用戶創(chuàng)建目錄anon_other_write_enable=YES允許匿名用戶修改目錄名稱或刪除目錄1913.3.3配置匿名用戶FTP實例3.配置匿名用戶登錄FTP服務(wù)器實例【例11-1】搭建一臺FTP服務(wù)器，允許匿名用戶上傳和下載文件，匿名用戶的根目錄設(shè)置為/var/ftp。①新建測試文件，編輯/etc/vsftpd/vsftpd.conf。[root@server1~]#touch/var/ftp/pub/sample.tar[root@server1~]#vim/etc/vsftpd/vsftpd.conf②在文后添加4行（語句前后一定不要帶空格，若有重復(fù)的語句請刪除或直接在其上更改?。篴nonymous_enable=YES #允許匿名用戶登錄anon_root=/var/ftp #設(shè)置匿名用戶的根目錄為/var/ftpanon_upload_enable=YES #允許匿名用戶上傳文件anon_mkdir_write_enable=YES #允許匿名用戶創(chuàng)建文件夾2013.3.3配置匿名用戶FTP實例3.配置匿名用戶登錄FTP服務(wù)器實例【例11-1】搭建一臺FTP服務(wù)器，允許匿名用戶上傳和下載文件，匿名用戶的根目錄設(shè)置為/var/ftp。③允許SELinux，讓防火墻放行ftp服務(wù)，重啟vsftpd服務(wù)。[root@server1~]#setenforce0[root@server1~]#firewall-cmd--permanent--add-service=ftp[root@server1~]#firewall-cmd--reload[root@server1~]#firewall-cmd--list-all[root@server1~]#systemctlrestartvsftpd2113.3.3配置匿名用戶FTP實例3.配置匿名用戶登錄FTP服務(wù)器實例【例11-1】搭建一臺FTP服務(wù)器，允許匿名用戶上傳和下載文件，匿名用戶的根目錄設(shè)置為/var/ftp。在Windows7客戶端的資源管理器中輸入，打開pub目錄，新建一個文件夾，結(jié)果出錯了。如圖11-3所示。2213.3.3配置匿名用戶FTP實例3.配置匿名用戶登錄FTP服務(wù)器實例【例11-1】搭建一臺FTP服務(wù)器，允許匿名用戶上傳和下載文件，匿名用戶的根目錄設(shè)置為/var/ftp。④設(shè)置本地系統(tǒng)權(quán)限，將屬主設(shè)為ftp，或者對pub目錄賦予其他用戶寫的權(quán)限。

[root@server1~]#ll-ld/var/ftp/pubdrwxr-xr-x.2rootroot6Mar232017/var/ftp/pub //其他用戶沒有寫入權(quán)限[root@server1~]#chownftp/var/ftp/pub //將屬主改為匿名用戶ftp,或者[root@server1~]#chmodo+w/var/ftp/pub //將屬主改為匿名用戶ftp[root@server1~]#ll-ld/var/ftp/pubdrwxr-xr-x.2ftproot6Mar232017/var/ftp/pub //已將屬主改為匿名用戶ftp[root@server1~]#systemctlrestartvsftpd2313.3.3配置匿名用戶FTP實例3.配置匿名用戶登錄FTP服務(wù)器實例【例11-1】搭建一臺FTP服務(wù)器，允許匿名用戶上傳和下載文件，匿名用戶的根目錄設(shè)置為/var/ftp。⑤在Windows7客戶端再次測試，在pub目錄下能夠建立新文件夾。提示：如果在Linux上測試，用戶名輸入：ftp，密碼處直接回車即可。2413.3.4配置本地模式的常規(guī)FTP服務(wù)器案例1.FTP服務(wù)器配置要求公司內(nèi)部現(xiàn)在有一臺FTP服務(wù)器和Web服務(wù)器，F(xiàn)TP主要用于維護(hù)公司的網(wǎng)站內(nèi)容，包括上傳文件、創(chuàng)建目錄、更新網(wǎng)頁等。公司現(xiàn)有兩個部門負(fù)責(zé)維護(hù)任務(wù)，兩者分別適用team1和team2賬號進(jìn)行管理。先要求僅允許team1和team2賬號登錄FTP服務(wù)器，但不能登錄本地系統(tǒng)，并將這兩個賬號的根目錄限制為/web/www/html，不能進(jìn)入該目錄以外的任何目錄。2513.3.4配置本地模式的常規(guī)FTP服務(wù)器案例2.需求分析將FTP服務(wù)器和Web服務(wù)器做在一起是企業(yè)經(jīng)常采用的方法，這樣方便實現(xiàn)對網(wǎng)站的維護(hù)。為了增強(qiáng)安全性，首先需要使用僅允許本地用戶訪問，并禁止匿名用戶登錄。其次，使用chroot功能將team1和team2鎖定在/web/www/html目錄下。如果需要刪除文件，則還需要注意本地權(quán)限。2613.3.4配置本地模式的常規(guī)FTP服務(wù)器案例3.解決方案（1）建立維護(hù)網(wǎng)站內(nèi)容的FTP賬號team1、team2和user1并禁止本地登錄，然后為其設(shè)置密碼。[root@server1~]#useradd-s/sbin/nologinteam1[root@server1~]#useradd-s/sbin/nologinteam2[root@server1~]#useradd-s/sbin/nologinuser1[root@server1~]#passwdteam1[root@server1~]#passwdteam2[root@server1~]#passwduser12713.3.4配置本地模式的常規(guī)FTP服務(wù)器案例3.解決方案（2）配置vsftpd.conf主配置文件并做相應(yīng)修改（寫入配置文件時，注釋一定去掉，語句前后不要加空格，切記！另外，要把13.3.3的配置文件恢復(fù)到最初狀態(tài)，免提實訓(xùn)間互相影響。）[root@server1~]#vim/etc/vsftpd/vsftpd.confanonymous_enable=NO #禁止匿名用戶登錄local_enable=YES #允許本地用戶登錄local_root=/web/www/html #設(shè)置本地用戶的根目錄為/web/www/htmlchroot_local_user=NO #是否限制本地用戶，這也是默認(rèn)值，可以省略chroot_list_enable=YES #激活chroot功能chroot_list_file=/etc/vsftpd/chroot_list #設(shè)置鎖定用戶在根目錄中的列表文件allow_writeable_chroot=YES #只要啟用chroot就一定加入這條：允許chroot限制??！否則出現(xiàn)連接錯誤。切記。2813.3.4配置本地模式的常規(guī)FTP服務(wù)器案例3.解決方案實現(xiàn)鎖定目錄有兩種實現(xiàn)方法。第一種是除列表內(nèi)的用戶外，其他用戶都被限定在固定目錄內(nèi)。即列表內(nèi)用戶自由，列表外用戶受限制。（這時啟用chroot_local_user=YES）chroot_local_user=YESchroot_list_enable=YESchroot_list_file=/etc/vsftpd/chroot_listallow_writeable_chroot=YES2913.3.4配置本地模式的常規(guī)FTP服務(wù)器案例3.解決方案第二種是除列表內(nèi)的用戶外，其他用戶都可自由轉(zhuǎn)換目錄。即列表內(nèi)用戶受限制，列表外用戶自由（這時啟用chroot_local_user=NO)。為了安全，建議使用第一種。chroot_local_user=NOchroot_list_enable=YESchroot_list_file=/etc/vsftpd/chroot_listallow_writeable_chroot=YES3013.3.4配置本地模式的常規(guī)FTP服務(wù)器案例3.解決方案（3）建立/etc/vsftpd/chroot_list文件，添加team1和team2賬號。[root@server1~]#vim/etc/vsftpd/chroot_listteam1team23113.3.4配置本地模式的常規(guī)FTP服務(wù)器案例3.解決方案（4）防火墻放行和SELinux允許！重啟FTP服務(wù)。

[root@server1~]#firewall-cmd--permanent--add-service=ftp[root@server1~]#firewall-cmd--reload[root@server1~]#firewall-cmd--list-all[root@server1~]#setenforce0[root@server1~]#systemctlrestartvsftpd3213.3.4配置本地模式的常規(guī)FTP服務(wù)器案例3.解決方案（5）修改本地權(quán)限。[root@server1~]#mkdir/web/www/html-p[root@server1~]#touchtest.sample[root@server1~]#ll-d/web/www/html[root@server1~]#chmod-Ro+w/web/www/html //其他用戶可以寫入！[root@server1~]#ll-d/web/www/html3313.3.4配置本地模式的常規(guī)FTP服務(wù)器案例3.解決方案（6）在Linux客戶端client1上先安裝ftp工具，然后測試。[root@client1~]#mount/dev/cdrom/iso[root@client1~]#yumcleanall[root@client1~]#yuminstallftp–y34①使用team1和team2用戶不能轉(zhuǎn)換目錄，但能建立新文件夾，顯示的目錄是“/”，其實是/web/www/html文件夾！[root@client1~]#ftpConnectedto().220(vsFTPd3.0.2)Name(:root):team1 //鎖定用戶測試331Pleasespecifythepassword.Password:230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftp>pwd 257"/" //顯示是“/”，其實是/web/www/html，從列示的文件中就知道。35ftp>mkdirtestteam1257"/testteam1"createdftp>ls227EnteringPassiveMode(192,168,10,1,46,226).150Herecomesthedirectorylisting.-rw-r--r--1000Jul2101:25test.sampledrwxr-xr-x2100110016Jul2101:48testteam1226DirectorysendOK.ftp>cd/etc550Failedtochangedirectory. //不允許更改目錄ftp>exit221Goodbye.3613.3.4配置本地模式的常規(guī)FTP服務(wù)器案例②使用user1用戶，能自由轉(zhuǎn)換目錄，可以將/etc/passwd文件下載到主目錄，何其危險??！[root@client1~]#ftpConnectedto().220(vsFTPd3.0.2)Name(:root):user1 //列表外的用戶是自由的331Pleasespecifythepassword.Password:230Loginsuccessful.RemotesystemtypeisUNIX.Usingbinarymodetotransferfiles.ftp>pwd257"/web/www/html"ftp>mkdirtestuser1257"/web/www/html/testuser1"createdftp>cd/etc //成功轉(zhuǎn)換到/etc目錄250Directorysuccessfullychanged.37ftp>getpasswd //成功下載密碼文件passwd到/root，可以退出后查看local:passwdremote:passwd227EnteringPassiveMode(192,168,10,1,80,179).150OpeningBINARYmodedataconnectionforpasswd(2203bytes).226Transfercomplete.2203bytesreceivedin9e-05secs(24477.78Kbytes/sec)ftp>cd/web/www/html250Directorysuccessfullychanged.ftp>ls227EnteringPassiveMode(192,168,10,1,182,144).150Herecomesthedirectorylisting.-rw-r--r--1000Jul2101:25test.sampledrwxr-xr-x2100110016Jul2101:48testteam1drwxr-xr-x2100310036Jul2101:50testuser1226DirectorysendOK.3813.3.5設(shè)置vsftp虛擬賬號1．創(chuàng)建用戶數(shù)據(jù)庫（1）創(chuàng)建用戶文本文件。使用vim編輯器建立用戶文件vuser.txt，添加虛擬賬號user2和user3。如下所示。[root@server1~]#mkdir/vftp[root@server1~]#vim/vftp/vuser.txtuser212345678User3123456783913.3.5設(shè)置vsftp虛擬賬號1．創(chuàng)建用戶數(shù)據(jù)庫（2）生成數(shù)據(jù)庫。[root@server1~]#db_load-T-thash-f/vftp/vuser.txt/vftp/vuser.db[root@server1~]#ls/vftpvuser.dbvuser.txt4013.3.5設(shè)置vsftp虛擬賬號1．創(chuàng)建用戶數(shù)據(jù)庫（3）修改數(shù)據(jù)庫文件訪問權(quán)限。[root@server1~]#chmod700/vftp/vuser.db[root@server1~]#ll/vftp4113.3.5設(shè)置vsftp虛擬賬號2．配置PAM文件[root@server1~]#vim/etc/pam.d/vsftpd#PAM-1.0#session optional pam_keyinit.so force revoke#auth required pam_listfile.so item=user sense=deny#file=/etc/vsftpd/ftpusers onerr=succeed#auth required pam_shells.soauth required pam_userdb.so db=/vftp/vuseraccount required pam_userdb.so db=/vftp/vuser4213.3.5設(shè)置vsftp虛擬賬號3．創(chuàng)建虛擬賬戶對應(yīng)系統(tǒng)用戶[root@server1~]#useradd-d/var/ftp/vuservuser [root@server1~]#chownvuser.vuser/var/ftp/vuser [root@server1~]#chmod555/var/ftp/vuser [root@server1~]#ls-ld/var/ftp/vuser dr-xr-xr-x.6vuservuser127Jul2114:28/var/ftp/vuser4313.3.5設(shè)置vsftp虛擬賬號4．修改/etc/vsftpd/vsftpd.confanonymous_enable=NO anon_upload_enable=NOanon_mkdir_write_enable=NOanon_other_write_enable=NOlocal_enable=YES chroot_local_user=YES allow_writeable_chroot=YESwrite_enable=NO guest_enable=YES guest_username=vuser listen=YES pam_servi