RedHat7使用vsftpd架設(shè)FTP服務(wù)器.doc

RedHat7使用vsftpd架設(shè)FTP服務(wù)器實驗要求采用vsftpd搭建一臺ftp服務(wù)器（28）。實驗準備默認實驗環(huán)境已經(jīng)安裝好RedHat6操作系統(tǒng)和Redhat7操作系統(tǒng)，配置完網(wǎng)卡，配置完yum庫。這個實驗其實跟Redhat6還是Redhat7沒有關(guān)系。服務(wù)器端使用vsftpd，客戶端使用lftpRedhat6安裝vsftpd# yum install vsftpdRedhat7安裝lftp# yum install lftp實驗過程Redhat6主機啟動vsftpd服務(wù)# service vsftpd start在Redhat7上做測試測試一、上傳下載在Rathat7主機上使用lftp連接FTP主機# lftp 28lftp 28: cd pub出現(xiàn)cd ok, cwd=/pub表示匿名用戶連接成功。可以進入pub目錄。執(zhí)行命令lftp 28:/pub get file1匿名用戶可以下載，下載的文件可以在本地家目錄下找到。lftp 28:/pub put putfileput: Access failed: 550 Permission denied. (putfile)說明匿名用戶無法上傳文件lftp 28:/pub mkdir abc mkdir: Access failed: 550 Permission denied. (abc)說明匿名用戶無法創(chuàng)建目錄測試二、開通匿名用戶權(quán)限權(quán)限有4部分：防火墻，selinux，目錄權(quán)限，ftp匿名用戶權(quán)限這里只談FTP，因此不討論防火墻和selinux。將這兩個軟件關(guān)閉。開通目錄權(quán)限Vsftpd默認匿名用戶在/var/ftp/pub下，因此要將此目錄給other用戶加rwx權(quán)限。特別注意，這里不能給/var/ftp/直接加o+rwx權(quán)限，如果加了將報500權(quán)限失敗的錯誤。# chmod o+rwx R /var/ftp/pub開通FTP匿名用戶權(quán)限編輯文件/etc/vsftpd/vsftpd.conf# vim /etc/vsftpd/vsftpd.conf確保以下配置正確：anonymous_enable=YES /12行，允許匿名訪問anon_upload_enable=YES /27行，允許匿名上傳anon_mkdir_write_enable=YES /31行，允許匿名創(chuàng)建目錄重啟服務(wù)器上FTP服務(wù)# service vsftpd restart客戶端匿名用戶訪問# lftp 28lftp 28:/ cd pub上傳文件，成功lftp 28:/pub put getfile創(chuàng)建目錄，成功lftp 28:/pub mkdir abcmkdir ok, abc created顯示目錄下內(nèi)容lftp 28:/pub lsdrwx- 2 14 50 4096 Nov 02 05:51 abc-rw- 1 14 50 0 Nov 02 05:51 getfile-rw-r-rw- 1 0 0 0 Nov 02 05:41 putfile剛剛創(chuàng)建的文件和目錄都已成功lftp 28:/pub rm abcrm: Access failed: 550 Permission denied. (abc)刪除目錄失敗lftp 28:/pub rm putfilerm: Access failed: 550 Permission denied. (putfile)lftp 28:/pub rm getfilerm: Access failed: 550 Permission denied. (getfile)刪除文件失敗lftp 28:/ cd /lftp 28:/ lsdrwxr-xrwx 2 0 0 4096 Nov 02 05:41 pub希望進入系統(tǒng)根目錄訪問，失敗。匿名用戶只能在/var/ftp目錄下游蕩。測試三、使用linux下客戶訪問客戶端使用lftp訪問登錄用戶# lftp Jiane28Password:lftp Jiane28:下載文件成功lftp Jiane28: get Jiane6 bytes transferred上傳文件成功lftp Jiane28: put putJiane6 bytes transferred創(chuàng)建目錄成功lftp Jiane28: mkdir abcmkdir ok, abc created顯示如下，說明創(chuàng)建目錄和上傳文件成功lftp Jiane28: ls-rw-rw-r- 1 500 500 6 Nov 02 07:16 Jianedrwxr-xr-x 2 500 500 4096 Nov 02 07:18 abc-rw-r-r- 1 500 500 6 Nov 02 07:18 putJiane刪除文件成功lftp Jiane28: rm Jianerm ok, Jiane removedlftp Jiane28: rm putJianerm ok, putJiane removed刪除目錄成功lftp Jiane28: rm -fr abcrm ok, abc removed顯示沒有文件lftp Jiane28: ls可以在任意目錄里面游蕩lftp Jiane28: cd /tmpcd ok, cwd=/tmplftp Jiane28:/tmp lsdrwxrwxrwt 2 0 0 4096 Nov 01 01:26 VMwareDnDdrwx- 2 42 42 4096 Nov 02 04:37 orbit-gdmdrwx- 2 0 0 4096 Nov 01 00:45 pulse-dKiUJVHwp5gidrwx- 2 42 42 4096 Nov 02 04:37 pulse-jMfmTL64uZ9d-rw-r-r- 1 0 0 5278 Nov 02 04:37 vgauthsvclog.txt.0drwx- 2 0 0 4096 Nov 02 04:37 vmware-root根據(jù)實驗得知，linux用戶登錄FTP是進入用戶的家目錄，并且可以在任何目錄里面游蕩。匿名用戶登錄只能在/var/ftp目錄下，并且只能在該目錄中工作。默認情況下所有l(wèi)inux的用戶都可以在任何目錄下游蕩，這個不安全。因此需要限制。確保只有部分用戶可以，其他用戶不可以。chroot_local_user=YESchroot_list_enable=YESchroot_list_file=/etc/vsftpd/chroot_list# cat /etc/vsftpd/chroot_listJiane以上命令確保了系統(tǒng)里只有Jiane這個用戶可以用ftp方式登錄服務(wù)器，并且在里面任意游蕩，其他用戶不行。登錄用戶Jiane# lftp Jiane28Password:切換到其他目錄，成功lftp Jiane28: cd /tmpcd ok, cwd=/tmplftp Jiane28:/tmp lsdrwxrwxrwt 2 0 0 4096 Nov 01 01:26 VMwareDnDdrwx- 2 42 42 4096 Nov 02 04:37 orbit-gdmdrwx- 2 0 0 4096 Nov 01 00:45 pulse-dKiUJVHwp5gidrwx- 2 42 42 4096 Nov 02 04:37 pulse-jMfmTL64uZ9d-rw-r-r- 1 0 0 5278 Nov 02 04:37 vgauthsvclog.txt.0drwx- 2 0 0 4096 Nov 02 04:37 vmware-rootlftp Jiane28:/tmp exit登錄用戶abc# lftp abc28Password:lftp abc28: ls切換到其他目錄，失敗lftp abc28:/ cd /tmpcd: Access failed: 550 Failed to change directory. (/tmp)顯示其他目錄內(nèi)容，失敗lftp abc28:/ ls /tmp測試四、白名單和黑名單設(shè)置可以訪問FTP的白名單和黑名單。首先/etc/vsftpd/ftpusers為一個黑名單，它不受任何配置影響，總是有效。而/etc/vsftpd/user_list與/etc/vsftpd/vsftpd.conf中的userlist_enable和userlist_deny密切相關(guān)。它可以有效，也可以無效，可以是黑名單，也可以是白名單。userin在/etc/vsftpd/user_list里面，userout不在/etc/vsftpd/user_list里面Userlist_enable=YESUserlist_deny=noUserlist_enable=noUserlist_deny=yesUserlist_enable=YESUserlist_deny=yesUserlist_enable=noUserlist_deny=nouserin能登錄能登錄不能登錄能登錄userout不能登錄能登錄能登錄能登錄結(jié)論：1 userlist_enable表示該表啟用與否，yes表示啟用user_list文件，no表示不啟用user_list文件。2 Userlist_deny是在userlist_enable啟用的狀態(tài)下，表示user_list中的用戶是被允許還是被拒絕。測試四、創(chuàng)建虛擬用戶訪問創(chuàng)建宿主用戶名# useradd vftp -s /bin/false該用于將被寫入/etc/vsftpd/vsftpd.conf作為虛擬用戶登錄的宿主用戶創(chuàng)建虛擬用戶# vim /etc/vsftpd/vftpuser# cat /etc/vsftpd/vftpuserchen1chen1chen2chen2# db_load -T -t hash -f /etc/vsftpd/vftpuser /etc/vsftpd/vftpuser.db/etc/vsftpd/vsftpuser.db 將被寫入/etc/pam.d/vsftpd作為用戶登錄的憑證修改/etc/pam.d/vsftpd文件# cat /etc/pam.d/vsftpd #%PAM-1.0#session optional pam_keyinit.so force revoke#auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed#auth required pam_shells.so#auth include password-auth#account include password-auth#session required pam_loginuid.so#session include password-authauth sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/vftpuseraccount sufficient /lib64/security/pam_userdb.so db=/etc/vsftpd/vftpuser在/etc/pam.d/vsftpd里面配置登錄用戶認證方式為每一個用戶創(chuàng)建一個目錄# mkdir -p /ftproot/chen1.2# touch /ftproot/chen1/chen1# touch /ftproot/chen2/chen2為每一個用戶創(chuàng)建一個目錄。修改/etc/vsftpd/vsftpd.conf文件# cat /etc/vsftpd/vsftpd.conf|grep #anonymous_enable=NO /禁止匿名用戶訪問local_enable=YESwrite_enable=YESlocal_umask=022dirmessage_enable=YESxferlog_enable=YESconnect_from_port_20=YESxferlog_std_format=YESchroot_local_user=YES /禁止用戶訪問其他目錄listen=YESguest_enable=yes /啟用客戶訪問guest_username=vftp /客戶放我采用vftp用戶user_config_dir=/etc/vsftpd/vftp.conf/客戶訪問配置文件放在/