FTP服務(wù)的基本原理

1、NoImage 作者： 孫立民 E-mail：第十一章第十一章 FTP服務(wù)服務(wù)Red Hat Enterprise Linux AS4.0教改課件教改課件NoImageFTP服務(wù)服務(wù)內(nèi)容導(dǎo)向內(nèi)容導(dǎo)向NoImageFTP服務(wù)服務(wù)教學(xué)目的與要求：教學(xué)目的與要求： 通過本節(jié)課的學(xué)習(xí)，您應(yīng)會(huì)：掌握FTP服務(wù)器的配置和客戶端的操作熟悉FTP的工作體系了解FTP服務(wù)器作用和傳輸模式 NoImageFTP服務(wù)服務(wù)重點(diǎn)：重點(diǎn)： vsftpd服務(wù)器配置重點(diǎn)：重點(diǎn)： 掌握如何使用vsftpd軟件包架設(shè)FTP服務(wù)器。關(guān)鍵詞：關(guān)鍵詞： 上傳 下載 NoImageFTP服務(wù)服務(wù)11-1 FTP的基本概念的基本概念 1.

2、 FTP FTP(文件傳輸協(xié)議)是TCP/IP協(xié)議棧所提供的一種子協(xié)議，定義了一個(gè)遠(yuǎn)程計(jì)算機(jī)系統(tǒng)和本地計(jì)算機(jī)系統(tǒng)之間傳輸文件的一個(gè)標(biāo)準(zhǔn)。 FTP的作用是唯一的，僅僅是用來傳輸文件； 根據(jù)服務(wù)的對(duì)像不同，可是分為：匿名服務(wù)器、與系統(tǒng)FTP服務(wù)器；NoImageFTP服務(wù)服務(wù)2. FTP的工作體系 服務(wù)器與客戶機(jī)之間利用TCP的21號(hào)端口建立控制連接；利用20號(hào)端口建立數(shù)據(jù)連接； 具體工作過程如下： 客戶機(jī)啟動(dòng)客戶端程序，請(qǐng)求建立服務(wù)器的連接 服務(wù)器對(duì)客戶機(jī)進(jìn)行身份驗(yàn)證 進(jìn)行相應(yīng)目錄操作和數(shù)據(jù)傳輸 斷開連接NoImageFTP服務(wù)服務(wù)3. FTP的數(shù)據(jù)傳輸模式 主動(dòng)傳輸模式: 在這種模式下，服務(wù)器

3、向客戶端發(fā)起一個(gè)用于數(shù)據(jù)傳輸?shù)倪B接，客戶端的連接端口是由服務(wù)器和客戶端通過協(xié)商通過的 被動(dòng)傳輸模式: 在這種模式下，客戶端向服務(wù)器發(fā)起一個(gè)用于數(shù)據(jù)傳輸?shù)倪B接，客戶端的連接端口是發(fā)起這個(gè)數(shù)據(jù)連請(qǐng)求時(shí)使用的端口號(hào)NoImageFTP服務(wù)服務(wù)FTP基本原理基本原理FTP 文件傳輸協(xié)議客戶機(jī)客戶機(jī)用戶接口用戶接口客戶客戶PI客戶客戶DTPFTP服務(wù)器服務(wù)器服務(wù)器服務(wù)器PI服務(wù)器服務(wù)器DTP控制連接控制連接數(shù)據(jù)連接數(shù)據(jù)連接用戶用戶NoImageFTP服務(wù)服務(wù)4. Linux下常見的FTP軟件 Vsftpd （相當(dāng)于WIN下的IIS） Proftp （相當(dāng)于Serv-U） Wu-ftp注：Red Hat

4、Enterprise Linux AS 4.0自帶的FTP服務(wù)器程序?yàn)閂sftpd；（特點(diǎn)：安全、高速、穩(wěn)定）NoImageFTP服務(wù)服務(wù)NoImageFTP服務(wù)服務(wù) 假設(shè)你是一個(gè)機(jī)房的管理人員，打算利用LINUX系統(tǒng)做一臺(tái)FTP服務(wù)器，為每個(gè)班的同學(xué)上傳文件來使用，也可以以班級(jí)為用戶名來進(jìn)行創(chuàng)建,如果想成為一個(gè)合格的機(jī)房管理員,FTP服務(wù)器要會(huì)熟練的進(jìn)行設(shè)置,在FTP服務(wù)中的設(shè)置中最主要的是用戶權(quán)限的設(shè)置,根據(jù)以下要求配置ftp服務(wù)器,具體要求如下:給出案例給出案例NoImageFTP服務(wù)服務(wù)允許匿名用戶登錄和本地用戶登錄禁止匿名用戶上傳允許本地用戶上傳和下載,且鎖定本地用戶主目錄,允許用戶

5、刪除用戶主目錄的文件建立用戶組ftpusers,同時(shí)建立用戶ftp1,ftp2屬于ftpusers組,并設(shè)置用戶的主目錄為/soft設(shè)置/soft目錄允許ftpusers組中的用戶可以寫入,但不能刪除目錄中的非自己擁有的文件本地用戶的文件生成掩碼為022案例一案例一NoImageFTP服務(wù)服務(wù) 空閑的會(huì)話時(shí)間為600秒,空閑數(shù)據(jù)連接時(shí)間為60秒,自動(dòng)中斷時(shí)間為30秒,自動(dòng)激活時(shí)間為10秒 本地用戶的最大傳輸速率為50000b/s,匿名用戶的最大傳輸速率為30000b/s 客戶端的連接端口為5000-6000（被動(dòng)模式中使用） 使用獨(dú)占啟動(dòng)方式,偵聽接口的21號(hào)端口 禁止1

6、28主機(jī)訪問FTP服務(wù)器 并發(fā)連接的客戶數(shù)為300,每臺(tái)客戶機(jī)的最大連接為5NoImageFTP服務(wù)服務(wù)11-2 FTP服務(wù)器配置服務(wù)器配置 1安裝FTP服務(wù)的相關(guān)軟件裝載第三張安裝盤 vsftpd #用于創(chuàng)建一個(gè)安全的FTP 服務(wù)器；檢查是否安裝：#rpm qa|grep vsftpd與案例有關(guān)的內(nèi)容分析與案例有關(guān)的內(nèi)容分析NoImageFTP服務(wù)服務(wù) 匿名FTP服務(wù)器目錄是/var/ftp，匿名下載目錄為/var/ftp/pub;NoImageFTP服務(wù)服務(wù) 相關(guān)文件： /etc/vsftpd/vsftpd.conf /主配置文件 /etc/vsftpd.ftpuser

7、s /指定哪些用戶不能訪問FTP服務(wù)器 /etc/vsftpd.user_list /文件中指定的用戶是否可以訪問ftp服務(wù)器由 vsftpd.conf文件中的userlist_deny的取值來決定。(userlist_deny=yes 時(shí)不能訪問FTP服務(wù)器；userlist_deny=no時(shí)，僅僅允許/etc/vsftpd.user_list中指定的用戶訪問FTP服務(wù)器)NoImageFTP服務(wù)服務(wù)/etc/vsftpd.ftpusers設(shè)置不允許登錄的用戶名單NoImageFTP服務(wù)服務(wù)/etc/vsftpd.user_list設(shè)置方法同于/etc/vsftpd.ftpusers，根據(jù)v

8、sftpd.conf中userlist_deny 的值決定這個(gè)文件的意義userlist_deny=?如果值為如果值為“yes”，則，則vsftpd.user_list記錄的用戶不可訪問記錄的用戶不可訪問FTP服務(wù)器服務(wù)器如果值為如果值為“no”，則，則FTP服務(wù)器僅僅允服務(wù)器僅僅允許許vsftpd.user_list記錄的用戶訪問記錄的用戶訪問NoImageFTP服務(wù)服務(wù)2修改/etc/vsftpd/vsftpd.conf #vi /etc/vsftpd/vsftpd.conf 功能：設(shè)置服務(wù)器相關(guān)選項(xiàng) 文件格式：#說明語句 配置選項(xiàng) NoImageFTP服務(wù)服務(wù)默認(rèn)配置: anonymou

9、s_enable=YES/允許匿名用戶登錄 local_enable= YES/允許本地用戶登錄 write_enable= YES/允許本地用戶上傳 guest_enable=yes/no /是否允許虛擬用戶登錄； 注：虛擬用戶只能登錄FTP服務(wù)器，都對(duì)應(yīng)著一個(gè)本地用戶；NoImageFTP服務(wù)服務(wù) local_mask=022/設(shè)置本地用戶的文件生成掩碼為 022,默認(rèn)值為077 dirmessage_enable= YES/設(shè)置切換到目錄時(shí)顯示.message 隱含文件的內(nèi)容 xferlog_enable= YES/激活上傳和下載日志NoImageFTP服務(wù)服務(wù) connect_from

10、_port_20= YES/啟用FTP數(shù)據(jù)端口連接 pam_service_name=vsftpd/設(shè)置PAM認(rèn)證服務(wù)的配置文件名稱, 該文件存放在/etc/pam.d目錄下 userlist_enable= YES/允許vsftpd.user_list文件中的用戶訪問服務(wù)器NoImageFTP服務(wù)服務(wù) userlist_deny= YES/拒絕vsftpd.user_list文件中的用戶訪問服務(wù)器 listen= YES/是否使用獨(dú)占啟動(dòng)方式 tcp_wrappers= YES/使用tcp_wrappers作為主機(jī)訪問控制方式NoImageFTP服務(wù)服務(wù)默認(rèn)配置文件功能說明：（1）允許匿名用

11、戶登錄/var/ftp，但不能離開主目錄（2）允許本地用戶登錄，且可離開主目錄（3）匿名用戶只能下載，不能上傳NoImageFTP服務(wù)服務(wù)（4）本地用戶允許上傳/下載（5）寫在文件/etc/vsftpd.ftpusers中的本地用戶禁止登錄（6）服務(wù)器使用獨(dú)占方式啟動(dòng)，且無限制 連接數(shù)NoImageFTP服務(wù)服務(wù)4.啟動(dòng)服務(wù)#service vsftpd startNoImageFTP服務(wù)服務(wù)11-3 FTP客戶端的操作客戶端的操作 1. linux客戶端(1) ftp #ftp 服務(wù)器IP地址/名稱ftpftp子命令 說明:常用的ftp子命令有以下幾種 ?|help /顯示ftp內(nèi)部命令的幫

12、助信息NoImageFTP服務(wù)服務(wù) !命令 /在本機(jī)中執(zhí)行shell命令后回到ftp環(huán)境中 lcd dir/將本地工作目錄切到dirclose /中斷與遠(yuǎn)程服務(wù)器的FTP會(huì)話NoImageFTP服務(wù)服務(wù) asc/使用ascii類型傳輸方式 bin/使用二進(jìn)制文件傳輸方式 cd dir-name/進(jìn)入遠(yuǎn)程主機(jī)目錄 pwd/顯示遠(yuǎn)程主機(jī)的當(dāng)前工作目錄NoImageFTP服務(wù)服務(wù) mkdir dir-name/在遠(yuǎn)程主機(jī)中建立目錄 ls dir-name/file-name/顯示遠(yuǎn)程目錄中的內(nèi)容 get 遠(yuǎn)程文件名 本地文件名/下載遠(yuǎn)程主機(jī)的文件 mget 文件名 文件名 (或者是目錄名)/下載遠(yuǎn)程

13、主機(jī)上的多個(gè)文件NoImageFTP服務(wù)服務(wù) put 本地文件/將本地文件傳送到遠(yuǎn)程FTP服務(wù)器 mput 本地文件 本地文件 /將多個(gè)本地文件傳送到遠(yuǎn)程FTP服務(wù)器 rename 舊文件名 新文件名/更改遠(yuǎn)程主機(jī)文件名 delete 文件名/刪除遠(yuǎn)程主機(jī)中的指定文件NoImageFTP服務(wù)服務(wù) mdelete 文件名/刪除遠(yuǎn)程FTP服務(wù)器中的多個(gè)文件 rmdir dir-name/刪除遠(yuǎn)程FTP服務(wù)器中的指定目錄 quit/bye/退出FTP會(huì)話NoImageFTP服務(wù)服務(wù)2. Windows客戶端 方法一：IE 方法二：c:/ftp 方法三：第三方軟件：CuteFTP注：所訪問的目錄為用戶

14、的主目錄（可以修改）NoImageFTP服務(wù)服務(wù)分組操作分組操作點(diǎn)評(píng)、操作演示：點(diǎn)評(píng)、操作演示：.NoImageFTP服務(wù)服務(wù)NoImageFTP服務(wù)服務(wù) 假 設(shè) 你 是 一 個(gè) 網(wǎng) 絡(luò) 管 理 員 ， 以 往 你 們 公 司 的 服 務(wù) 器 是 用WINDOWS系統(tǒng)做的，而你對(duì)LINUX系統(tǒng)的操作卻非常的熟練，你現(xiàn)在打算把服務(wù)器的系統(tǒng)改為LINUX，其中服務(wù)中有一個(gè)服務(wù)FTP服務(wù)尤其重要，它作為一臺(tái)文件服務(wù)器應(yīng)用是非常的廣范，你重做服務(wù)器后第一項(xiàng)工作就是利用vsftpd配置一臺(tái)支持匿名用戶和本地用戶登錄為公司里的員工所使用，若給你以下方案，你該如何去實(shí)現(xiàn):案例二案例二NoImageFTP服務(wù)

15、服務(wù)支持本地用戶和虛擬用戶登錄,不允許匿名用戶登錄允許本地用戶任意寫入鎖定本地用戶的用戶主目錄建立虛擬用戶vftp1,vftp2都對(duì)應(yīng)本地用戶guest,且虛擬用戶在用戶主目錄中可以寫入,但不能刪除設(shè)置客戶端連接時(shí)的端口為5000-6000最大空閑會(huì)話時(shí)間長度為600秒NoImageFTP服務(wù)服務(wù)設(shè)置空閑數(shù)據(jù)連接的中斷時(shí)間為200秒設(shè)置客戶端空閑時(shí)的自動(dòng)中斷時(shí)間為100秒和激活連接的時(shí)間為30秒本地用戶的最大傳輸速率為2MB/s使用獨(dú)占啟動(dòng)方式,偵聽接口的21號(hào)端口設(shè)置服務(wù)器的并發(fā)連接總數(shù)為200每個(gè)客戶機(jī)的并發(fā)連接總量為5允許/24網(wǎng)段內(nèi)的主機(jī)訪問

16、NoImageFTP服務(wù)服務(wù)11-4 vsftpd高級(jí)配置啟用ASCII傳輸方式（把兩項(xiàng)前的#號(hào)去掉即可）ascii_upload_enble=yesascii_download_enble=yes2. 設(shè)置連接服務(wù)器后的歡迎信息ftpd_banner=welcome to ftp service.banner_file=/var/vsftpd_banner_file與案例有關(guān)的內(nèi)容分析與案例有關(guān)的內(nèi)容分析NoImageFTP服務(wù)服務(wù)數(shù)據(jù)模式：1、pasv_enable=yes/no / 是否允許被動(dòng)模式傳輸；（默認(rèn)yes,端口為20）2、port_enable=yes/no /是否允許主動(dòng)模

17、式傳輸；(默認(rèn)yes)NoImageFTP服務(wù)服務(wù)3. 配置基本的性能和安全選項(xiàng) idle_session_timeout=60/限制遠(yuǎn)程的客戶機(jī)連接后，所建立的控制連接，在多長時(shí)間沒有做任何的操作就會(huì)中斷（秒） data_connection_timeout=120 /設(shè)置客戶機(jī)在進(jìn)行數(shù)據(jù)傳輸時(shí)，/設(shè)置空閑的數(shù)據(jù)中斷時(shí)間 accept_timeout=60 /設(shè)置在多長時(shí)間后自動(dòng)建立連接 connect_timeout=60 /設(shè)置數(shù)據(jù)連接的最大激活時(shí)間，多長時(shí)間斷開，為別人所使用；NoImageFTP服務(wù)服務(wù) max_clients=200 /指明服務(wù)器總的客戶并發(fā)連接數(shù)為200 max_

18、per_ip=3/指明每個(gè)客戶機(jī)的最大連接數(shù)為3 local_max_rate=50000（50kbytes/sec） anon_max_rate=30000/設(shè)置本地用戶和匿名用戶的最大傳輸速率限制 pasv_min_port=端口和pasv-max-prot=端口號(hào)； /定義最大與最小端口，為0表示任意端口；為客戶端連接指明端口； listen_address=IP地址 /設(shè)置ftp服務(wù)來監(jiān)聽的地址，客戶端可以用哪個(gè)地址來連接； listen_port=端口號(hào) /設(shè)置FTP工作的端口號(hào)，默認(rèn)的為21NoImageFTP服務(wù)服務(wù)4. 設(shè)置本地用戶能否chroot：用戶登錄后能否切換到自家目錄

19、以外的目錄；設(shè)置所有的本地用戶可以chroot chroot_local_user=YES設(shè)置指定用戶能夠chroot chroot_local_user=NO chroot_list_enable=YES chroot_list_file=/etc/vsftpd.chroot_list（只有/etc/vsftpd.chroot_list中的指定的用戶才能執(zhí)行）NoImageFTP服務(wù)服務(wù)local_root=path /無論哪個(gè)用戶都能登錄的用戶，定義登錄帳號(hào)的主目錄, 若沒有指定，則每一個(gè)用戶則進(jìn)入到個(gè)人用戶主目錄；chroot_local_user=yes/no /是否鎖定本地系統(tǒng)帳號(hào)用

20、戶主目錄（所有）；鎖定后，用戶只能訪問用戶的主目錄/home/user,不能利用cd命令向上轉(zhuǎn)；只能向下；chroot_list_enable=yes/no /鎖定指定文件中用戶的主目錄（部分）,文件：/chroot_list_file=path 中指定； NoImageFTP服務(wù)服務(wù)5. 配置基于本地用戶的訪問控制 限制指定的本地用戶不能訪問，其他本地用戶可訪問 userlist_enable=YES/NO /是否加載用戶列表文件； userlist_deny=YES /表示上面所加載的用戶是否允許拒絕登錄； userlist_file=/etc/vsftpd.user_list /列表文件

21、（使文件/etc/vsftpd.user_list 中指定的本地用戶不能訪問，而其它的本地用戶可以訪問；）NoImageFTP服務(wù)服務(wù)6. 匿名用戶的設(shè)置anon_upload_enable=yes/no /設(shè)置是否允許匿名用戶上傳文件； 注：虛擬用戶也被看作匿名用戶，也必須用這項(xiàng)進(jìn)行管理；anon_mkdir_write_enabel=yes/no /是否允許匿名用戶在登錄的目錄下進(jìn)行創(chuàng)建文件；anon_other_write_enabe=yes/no /是否允許匿名用戶進(jìn)行其它的操作，如：刪除等；NoImageFTP服務(wù)服務(wù)7、配置基于主機(jī)的訪問控制； 設(shè)置hosts.allow文件#vi

22、 /etc/hosts.allowvsftpd:28:DENY說明:vsftpd在獨(dú)占啟動(dòng)方式下支持tcp_wrappers主機(jī)訪問控制方式,tcp_wrappers的主要配置文件是/etc/hosts.allow（允許）和/etc/hosts.deny（不允許）,它們的格式都是:守護(hù)進(jìn)程名:主機(jī)表:ALLOW / DENY 或守護(hù)進(jìn)程名：主機(jī)表NoImageFTP服務(wù)服務(wù)8、#cp /usr/share/doc/vsftpd-1.1.3/vsftpd.xinetd /etc/xinetd.d/vsftpd#vi /etc/xinetd.d/vsftpd 修改：disab

23、le = no添加配置訪問的時(shí)間限制（注：與vsftpd.conf中l(wèi)isten=NO相對(duì)應(yīng)） access_time = hour:min-hour:min 例如：access_times = 8:30-11:30 13:00-18:00 表示只在這個(gè)時(shí)間段才能訪問的；NoImageFTP服務(wù)服務(wù)添加：只允許指定的主機(jī)訪問 only_from 如：only_from 只允許該網(wǎng)段內(nèi)的主機(jī)訪問： 指定不能訪問的主機(jī) no_access NoImageFTP服務(wù)服務(wù)注注:啟動(dòng)日志 /var/log/message 可以讓多個(gè)用戶去訪問同一個(gè)目錄,利用目錄的權(quán)限的粘著位,來設(shè)置每個(gè)用戶都只能刪除自己的文件;NoImageFTP服務(wù)服務(wù)分組操作分組操作點(diǎn)評(píng)、操作演示：點(diǎn)評(píng)、操作演示：.NoImageFTP服務(wù)服務(wù)NoImageFTP服務(wù)服務(wù)歸納與總結(jié)歸納與總結(jié)通過本節(jié)課學(xué)習(xí)我們要掌握以下內(nèi)容： FTP的工作體系 FTP服務(wù)器作用和傳輸模式 FTP服務(wù)器的配置 客戶端的操作 NoImageFTP服務(wù)服務(wù)利用利用VSFTPD配置一臺(tái)支持本地用戶和虛擬用戶登錄的配置一臺(tái)支持本地用戶和虛擬用戶登