FTP服務(wù)器配置與管理(2)課件

1、FTP服務(wù)器配置與管理(2)1 第九章 FTP服務(wù)器配置與管理 FTP服務(wù)器配置與管理(2)2 VSFTP配置的相關(guān)文件 l/usr/sbin/vsftpd - VSFTPD的主程序 l/etc/init.d/vsftpd - 啟動腳本 l/etc/vs - 主配置文件 l/etc/vs - 禁止使用VSFTPD的用戶列表文件 l/etc/vs - 禁止或允許使用VSFTPD的用戶列表文件 l/etc/pam.d/vsftpd - PAM認(rèn)證文件 FTP服務(wù)器配置與管理(2)3 VSFTPD的啟動與停止 lVSFTPD可以單獨(dú)(Standalone)方式運(yùn)行，如同 httpd、named這類的

2、服務(wù)器的運(yùn)行方式，這是 RHAS3中默認(rèn)的方式；也可以采用xinetd方式 運(yùn)行，這是RHL7.x、8中的默認(rèn)方式。具體的 運(yùn)行方式由vs配置文件中的參數(shù)listen決定。 listen參數(shù)值默認(rèn)值為YES，VSFTPD單獨(dú)運(yùn)行。 可以使用腳本/etc/rc.d/init.d/vsftpd來啟動、關(guān) 閉以及重啟VSFTPD。命令如下： l/etc/init.d/vsftpd start|stop|restart FTP服務(wù)器配置與管理(2)4 VSFTPD的啟動與停止 l如果希望使用Xinetd啟動VSFTPD的運(yùn)行方式，要將vs配置文件中的listen 參數(shù)值改為NO。其次，生成一個(gè)/etc

3、/xinetd.d/vsftpd文件，內(nèi)容如下： service vsftpd disable = no socket_type = stream wait = no user = root server = /usr/sbin/vsftpd port = 21 log_on_success += PID HOST DURATION log_on_failure += HOST 通過修改disable值為no或yes，并重新啟動xinetd，從而啟動或停止 VSFTPD。 FTP服務(wù)器配置與管理(2)5 VSFTPD的設(shè)置選項(xiàng) l監(jiān)聽地址與控制端口 llisten_address=ip add

4、ress l此參數(shù)在VSFTPD使用單獨(dú)(standalone)模式下有 效。此參數(shù)定義了在主機(jī)的哪個(gè)IP地址上監(jiān)聽 FTP請求，即在哪個(gè)IP地址上提供FTP服務(wù)。對 于只有一個(gè)IP地址的主機(jī)，不需要使用此參數(shù)。 對于多址主機(jī)，不設(shè)置此參數(shù)，則監(jiān)聽所有IP地 址。默認(rèn)值為無。 llisten_port=port_value l指定FTP服務(wù)器監(jiān)聽的端口號(控制端口)，默認(rèn)值 為21。此選項(xiàng)在standalone模式下生效。 FTP服務(wù)器配置與管理(2)6 VSFTPD的設(shè)置選項(xiàng) lFTP模式與數(shù)據(jù)端口 lFTP 分為兩類，PORT FTP和PASV FTP，PORT FTP是一般形式的FTP。

5、這兩種FTP在建立控制連接 時(shí)操作是一樣的，都是由客戶端首先和FTP服務(wù)器的 控制端口(默認(rèn)值為21)建立控制鏈接，并通過此鏈接 進(jìn)行傳輸操作指令。它們的區(qū)別在于使用數(shù)據(jù)傳輸 端口()的方式。PORT FTP由FTP服務(wù)器指定數(shù)據(jù)傳 輸所使用的端口，默認(rèn)值為20。PASV FTP由FTP客 戶端決定數(shù)據(jù)傳輸?shù)亩丝凇ASV FTP這種做法，主 要是考慮到存在防火墻的環(huán)境下，由客戶端與服務(wù) 器進(jìn)行溝通(客戶端向服務(wù)器發(fā)出數(shù)據(jù)傳輸請求中包 含了數(shù)據(jù)傳輸端口)，決定兩者之間的數(shù)據(jù)傳輸端口 更為方便一些。 FTP服務(wù)器配置與管理(2)7 VSFTPD的設(shè)置選項(xiàng) lFTP模式與數(shù)據(jù)端口 lport_en

6、able=YES|NO l如果要在數(shù)據(jù)連接時(shí)取消PORT模式，值為NO。默認(rèn)值YES。 lconnetc_from_port_20=YES|NO l控制以PORT模式進(jìn)行數(shù)據(jù)傳輸時(shí)是否使用20端口()。YES使用， NO不使用。默認(rèn)值為YES。 l number l設(shè)定ftp數(shù)據(jù)傳輸端口()值。默認(rèn)值為20。此參數(shù)用于PORT FTP模 式。 lport_promiscuous=YES|NO l默認(rèn)值為NO。為YES時(shí)，取消PORT安全檢查。該檢查確保外出 的數(shù)據(jù)只能連接到客戶端上。小心打開此選項(xiàng)。 lpasv_enable=YES|NO l值為YES時(shí)允許數(shù)據(jù)傳輸時(shí)使用PASV模式。值為NO

7、時(shí)不允許使 用PASV模式。默認(rèn)值為YES。 FTP服務(wù)器配置與管理(2)8 VSFTPD的設(shè)置選項(xiàng) lFTP模式與數(shù)據(jù)端口 lpasv_min_port=port number lpasv_max_port=port number l設(shè)定在PASV模式下，建立數(shù)據(jù)傳輸所可以使用port范圍的下界和 上界，0 表示任意。默認(rèn)值為0。把端口范圍設(shè)在比較高的一段范 圍內(nèi)，比如50000-60000，將有助于安全性的提高。 lpasv_promiscuous=YES|NO l此選項(xiàng)激活時(shí)，將關(guān)閉PASV模式的安全檢查。該檢查確保數(shù)據(jù)連 接和控制連接是來自同一個(gè)IP地址。小心打開此選項(xiàng)。此選項(xiàng)唯 一合

8、理的用法是存在于由安全隧道方案構(gòu)成的組織中。默認(rèn)值為 NO。 lpasv_address= l此選項(xiàng)為一個(gè)數(shù)字IP地址，作為PASV命令的響應(yīng)。默認(rèn)值為none， 即地址是從呼入的連接套接字(incoming connectd socket)中獲取。 FTP服務(wù)器配置與管理(2)9 VSFTPD的設(shè)置選項(xiàng) lASCII模式 l默認(rèn)情況下，VSFTPD是禁止使用ASCII傳輸模式。 即使FTP客戶端使用asc命令，指明要使用ASCII模 式，但是，VSFTPD表面上接受了asc命令，而在實(shí) 際傳輸文件時(shí)，還是使用二進(jìn)制方式。下面選項(xiàng)控 制VSFTPD是否使用ASCII傳輸模式。 lascii_u

9、pload_enable=YES|NO l控制是否允許使用ascii模式上傳文件，YES允許，NO不允 許，默認(rèn)為NO。 lascii_download_enable=YES|NO l控制是否允許使用ascii模式下載文件，YES允許，NO不允 許，默認(rèn)為NO。 FTP服務(wù)器配置與管理(2)10 VSFTPD的設(shè)置選項(xiàng) l超時(shí)選項(xiàng) lidle_session_timeout= l空閑（發(fā)呆）用戶會話的超時(shí)時(shí)間，若是超出這時(shí)間沒有 數(shù)據(jù)的傳送或是指令的輸入，則會強(qiáng)迫斷線。單位為秒， 默認(rèn)值為300。 ldata_connection_timeout= l空閑的數(shù)據(jù)連接的超時(shí)時(shí)間。默認(rèn)值為300

10、秒。 laccept_timeout=numerical value l接受建立聯(lián)機(jī)的超時(shí)設(shè)定，單位為秒。默認(rèn)值為60。 lconnect_timeout=numerical value l響應(yīng)PORT方式的數(shù)據(jù)聯(lián)機(jī)的超時(shí)設(shè)定，單位為秒。默認(rèn)值 為60。以上兩個(gè)選項(xiàng)針對客戶端的，將使客戶端空閑1分鐘 后自動中斷連接，并在中斷1分鐘后自動激活連接。 FTP服務(wù)器配置與管理(2)11 VSFTPD的設(shè)置選項(xiàng) l負(fù)載控制 lmax_clients=numerical value l此參數(shù)在VSFTPD使用單獨(dú)(standalone)模式下有效。此參 數(shù)定義了FTP服務(wù)器最大的并發(fā)連接數(shù)，當(dāng)超過此連接

11、數(shù)時(shí)， 服務(wù)器拒絕客戶端連接。默認(rèn)值為0，表示不限最大連接數(shù)。 lmax_per_ip=numerical value l此參數(shù)在VSFTPD使用單獨(dú)(standalone)模式下有效。此參 數(shù)定義每個(gè)IP地址最大的并發(fā)連接數(shù)目。超過這個(gè)數(shù)目將會 拒絕連接。此選項(xiàng)的設(shè)置將影響到象網(wǎng)際快車這類的多進(jìn) 程下載軟件。默認(rèn)值為0，表示不限制。 lanon_max_rate=value l設(shè)定匿名用戶的最大數(shù)據(jù)傳輸速度value，以Bytes/s為單位。 默認(rèn)無。 FTP服務(wù)器配置與管理(2)12 VSFTPD的設(shè)置選項(xiàng) l負(fù)載控制 llocal_max_rate=value 設(shè)定用戶的最大數(shù)據(jù)傳輸速度

12、value，以Bytes/s為單位。默認(rèn) 無。此選項(xiàng)對所有的用戶都生效。此外，也可以在用戶個(gè)人配 置文件中使用此選項(xiàng)，以指定特定用戶可獲得的最大數(shù)據(jù)傳輸 速率。 步驟如下： l1、在vs中指定用戶個(gè)人配置文件所在的目錄，如： user_config_dir=/etc/vs l2、用戶個(gè)人配置文件在該目錄下的與特定用戶同名文件，如： /etc/vs l3、在用戶的個(gè)人配置文件中設(shè)置local_max_rate參數(shù)，如： local_max_rate=80000 (80KBytes/s) FTP服務(wù)器配置與管理(2)13 VSFTPD的設(shè)置選項(xiàng) l用戶選項(xiàng) lVSFTPD的用戶分為三類： l匿名用

13、戶 l本地用戶（local user） l以及虛擬用戶（guest）。 FTP服務(wù)器配置與管理(2)14 VSFTPD的設(shè)置選項(xiàng) l用戶選項(xiàng)-匿名用戶 lanonymous_enable=YES|NO l控制是否允許匿名用戶登錄，YES允許，NO不允許，默認(rèn)值為 YES。 l l匿名用戶所使用的系統(tǒng)用戶名。默認(rèn)下，此參數(shù)在配置文件中不 出現(xiàn)，值為ftp。 lno_anon_password=YES|NO l控制匿名用戶登入時(shí)是否需要密碼，YES不需要，NO需要。默認(rèn) 值為NO。 ldeny_email_enable=YES|NO l此參數(shù)默認(rèn)值為NO。當(dāng)值為YES時(shí)，拒絕使用banned_em

14、ail_file 參數(shù)指定文件中所列出的e-mail地址進(jìn)行登錄的匿名用戶。即，當(dāng) 匿名用戶使用banned_email_file文件中所列出的e-mail進(jìn)行登錄時(shí)， 被拒絕。顯然，這對于阻擊某些Dos攻擊有效。當(dāng)此參數(shù)生效時(shí)， 需追加banned_email_file參數(shù) FTP服務(wù)器配置與管理(2)15 VSFTPD的設(shè)置選項(xiàng) l用戶選項(xiàng)-匿名用戶 lbanned_email_ l指定包含被拒絕的e-mail地址的文件，默認(rèn)文件為/etc/vs。 lanon_root= l設(shè)定匿名用戶的根目錄，即匿名用戶登入后，被定位到此目錄下。主配置文件中默認(rèn) 無此項(xiàng)，默認(rèn)值為/var/ftp/。 注

15、意：匿名用戶一般使用ftp的用戶身份，故登錄的主目 錄也是ftp用戶的主目錄 lanon_world_readable_only=YES|NO l控制是否只允許匿名用戶下載可閱讀文檔。YES，只允許匿名用戶下載可閱讀的文件。 NO，允許匿名用戶瀏覽整個(gè)服務(wù)器的文件系統(tǒng)。默認(rèn)值為YES。 lanon_upload_enable=YES|NO l控制是否允許匿名用戶上傳文件，YES允許，NO不允許，默認(rèn)是不設(shè)值，即為NO。 除了這個(gè)參數(shù)外，匿名用戶要能上傳文件，還需要兩個(gè)條件：一，write_enable參數(shù) 為YES;二，在文件系統(tǒng)上，F(xiàn)TP匿名用戶對某個(gè)目錄有寫權(quán)限。 FTP服務(wù)器配置與管理(

16、2)16 VSFTPD的設(shè)置選項(xiàng) l用戶選項(xiàng)-匿名用戶 lanon_mkdir_write_enable=YES|NO l控制是否允許匿名用戶創(chuàng)建新目錄，YES允許，NO不允許，默認(rèn) 是不設(shè)值，即為NO。當(dāng)然在文件系統(tǒng)上，F(xiàn)TP匿名用戶必需對新 目錄的上層目錄擁有寫權(quán)限。 lanon_other_write_enable=YES|NO l控制匿名用戶是否擁有除了上傳和新建目錄之外的其他權(quán)限，如 刪除、更名等。YES擁有，NO不擁有，默認(rèn)值為NO。 lchown_uploads=YES|NO l是否修改匿名用戶所上傳文件的所有權(quán)。YES，匿名用戶所上傳 的文件的所有權(quán)將改為另外一個(gè)不同的用戶所有

17、，用戶由 chown_username參數(shù)指定。此選項(xiàng)默認(rèn)值為NO。 lchown_username=whoever l指定擁有匿名用戶上傳文件所有權(quán)的用戶。此參數(shù)與 chown_uploads聯(lián)用。不推薦使用root用戶。 FTP服務(wù)器配置與管理(2)17 VSFTPD的設(shè)置選項(xiàng) l用戶選項(xiàng)-本地用戶 llocal_enable=YES|NO l控制vsftpd所在的系統(tǒng)的用戶是否可以登錄vsftpd。默認(rèn)值為YES。 llocal_root= l定義所有本地用戶的根目錄。當(dāng)本地用戶登入時(shí)，將被更換到此 目錄下。默認(rèn)值為無。 luser_config_dir= l定義用戶個(gè)人配置文件所在的目

18、錄。用戶的個(gè)人配置文件為該目 錄下的同名文件。個(gè)人配置文件的格式與vs格式相同。例如定義 user_config_dir=/etc/vs，并且主機(jī)上有用戶xiaowang,lisi，那我 們可以在 user_config_dir的目錄新增名為xiaowang、lisi的兩個(gè)文 件。當(dāng)用戶lisi 登入時(shí)，VSFTPD則會讀取user_config_dir下lisi這 個(gè)文件中的設(shè)定值，應(yīng)用于用戶lisi。默認(rèn)值為無。 FTP服務(wù)器配置與管理(2)18 VSFTPD的設(shè)置選項(xiàng) l用戶選項(xiàng)-虛擬用戶 lguest_enable=YES|NO l若是啟動這項(xiàng)功能，所有的非匿名登入者都視為 guest

19、。默認(rèn)值為關(guān)閉。 lguest_username= l定義VSFTPD的guest用戶在系統(tǒng)中的用戶名。默 認(rèn)值為ftp。 FTP服務(wù)器配置與管理(2)19 VSFTPD的設(shè)置選項(xiàng) l用戶登錄控制 lpam_service_name=vsftpd l指出VSFTPD進(jìn)行PAM認(rèn)證時(shí)所使用的PAM配置文件名， 默認(rèn)值是vsftpd，默認(rèn)PAM配置文件是/etc/pam.d/vsftpd。 l/etc/vs lVSFTPD禁止列在此文件中的用戶登錄FTP服務(wù)器。這個(gè)機(jī) 制是在/etc/pam.d/vsftpd中默認(rèn)設(shè)置的。 luserlist_enable=YES|NO l此選項(xiàng)被激活后，VSFT

20、PD將讀取userlist_file參數(shù)所指定的 文件中的用戶列表。當(dāng)列表中的用戶登錄FTP服務(wù)器時(shí)，該 用戶在提示輸入密碼之前就被禁止了。即該用戶名輸入后， VSFTPD查到該用戶名在列表，VSFTPD就直接禁止掉該用 戶，不會再進(jìn)行詢問密碼等后續(xù)步聚。默認(rèn)值YES。 FTP服務(wù)器配置與管理(2)20 VSFTPD的設(shè)置選項(xiàng) l用戶登錄控制 luserlist_ l指出userlist_enable選項(xiàng)生效后，被讀取的包含用戶列表的 文件。默認(rèn)值是/etc/vs。 luserlist_deny=YES|NO l決定禁止還是只允許由userlist_file指定文件中的用戶登錄 FTP服務(wù)器。

21、此選項(xiàng)在userlist_enable 選項(xiàng)啟動后才生效。 YES，默認(rèn)值，禁止文件中的用戶登錄，同時(shí)也不向這些 用戶發(fā)出輸入口令的提示。NO，只允許在文件中的用戶登 錄FTP服務(wù)器。 ltcp_wrappers=YES|NO l在VSFTPD中使用TCP_Wrappers遠(yuǎn)程訪問控制機(jī)制，默認(rèn) 值為YES。 FTP服務(wù)器配置與管理(2)21 VSFTPD的設(shè)置選項(xiàng) l目錄訪問控制 lchroot_list_enable=YES|NO l鎖定某些用戶在自己目錄中。即當(dāng)這些用戶登錄 后，不可以轉(zhuǎn)到系統(tǒng)的其他目錄，只能在自己目 錄(及其子目錄)下。具體的用戶在chroot_list_file 參數(shù)

22、所指定的文件中列出。默認(rèn)值為NO。 lchroot_list_ l指出被鎖定在自己目錄中的用戶的列表文件。文 件格式為一行一用戶。通常該文件是/etc/vs。此 選項(xiàng)默認(rèn)不設(shè)置。 FTP服務(wù)器配置與管理(2)22 VSFTPD的設(shè)置選項(xiàng) l目錄訪問控制 lchroot_local_users=YES|NO l將本地用戶鎖定在自己目錄中。當(dāng)此項(xiàng)被激活時(shí)， chroot_list_enable和chroot_local_users參數(shù)的作用將發(fā)生 變化，chroot_list_file所指定文件中的用戶將不被鎖定在自 己目錄。本參數(shù)被激活后，可能帶來安全上的沖突，特別 是當(dāng)用戶擁有上傳、 shel

23、l訪問等權(quán)限時(shí)。因此，只有在確 實(shí)了解的情況下，才可以打開此參數(shù)。默認(rèn)值為NO。 lpasswd_chroot_enable l當(dāng)此選項(xiàng)激活時(shí)，與chroot_local_user選項(xiàng)配合，chroot() 容器的位置可以在每個(gè)用戶的基礎(chǔ)上指定。每個(gè)用戶的容 器來源于/etc/passwd中每個(gè)用戶的自己目錄字段。默認(rèn)值 為NO。 FTP服務(wù)器配置與管理(2)23 VSFTPD的設(shè)置選項(xiàng) l文件操作控制 lhide_ids=YES|NO l是否隱藏文件的所有者和組信息。YES，當(dāng)用戶使用“l(fā)s -al”之類 的指令時(shí)，在目錄列表中所有文件的擁有者和組信息都顯示為ftp。 lls_recurse

24、_enable=YES|NO lYES，允許使用ls -R 指令。這個(gè)選項(xiàng)有一個(gè)小的安全風(fēng)險(xiǎn)，因 為在一個(gè)大型FTP站點(diǎn)的根目錄下使用ls -R會消耗大量系統(tǒng)資源。 默認(rèn)值為NO。 lwrite_enable=YES|NO l控制是否允許使用任何可以修改文件系統(tǒng)的FTP 的指令，比如 STOR、DELE、RNFR、RNTO、MKD、RMD、APPE 以及SITE。 默認(rèn)值為NO，不過自帶的簡單配置文件中打開了該選項(xiàng)。 lsecure_chroot_dir= l這選項(xiàng)指向一個(gè)空目錄，并且ftp用戶對此目錄無寫權(quán)限。當(dāng)vsftpd 不需要訪問文件系統(tǒng)時(shí)，這個(gè)目錄將被作為一個(gè)安全的容器，用 戶將被限

25、制在此目錄中。默認(rèn)目錄為/usr/share/empty。 FTP服務(wù)器配置與管理(2)24 VSFTPD的設(shè)置選項(xiàng) l新增文件權(quán)限設(shè)定 lanon_umask= l匿名用戶新增文件的umask 數(shù)值。默認(rèn)值為077。 l l上傳檔案的權(quán)限，與chmod 所使用的數(shù)值相同。如果希望 上傳的文件可以執(zhí)行，設(shè)此值為0777。默認(rèn)值為0666。 llocal_umask= l本地用戶新增檔案時(shí)的umask 數(shù)值。默認(rèn)值為077。不過， 其他大多數(shù)的FTP服務(wù)器都是使用022。如果您的用戶希望 的話，可以修改為022。在自帶的配置文件中此項(xiàng)就設(shè)為了 022。 FTP服務(wù)器配置與管理(2)25 VSFTPD的設(shè)置選項(xiàng) l提示信息 l banner string l此參數(shù)定義了登錄歡迎語字符串。用戶可以自行修改。預(yù)設(shè)值為 無。 lbanner_ l此項(xiàng)指定一個(gè)文本文件，當(dāng)使用者登入時(shí)，會顯示此該文件的內(nèi) 容。與相比， banner_file是文本文件的形式，而是字串格式。 banner_file選項(xiàng)將取代選項(xiàng)。 ldirmessage_enable